Silne bezpieczeństwo logowania dzięki WP Cerber
English version: Strong login security with WP Cerber
Nie jest tajemnicą, że cyberprzestępcy potrafią włamać się do nowo zainstalowanego WordPressa w ciągu kilku minut, przeprowadzając atak siłowy. Jest to możliwe, ponieważ WordPress nie ma wbudowanych mechanizmów ochrony przed atakami, domyślny adres URL logowania jest powszechnie znany, a nazwa użytkownika administratora witryny może być łatwo odkryta. WP Cerber oferuje wszystkie niezbędne narzędzia do ochrony przed atakami siłowymi i ochrony kont użytkowników.
Konfigurowanie ustawień bezpieczeństwa logowania WP Cerber
Ustawienia bezpieczeństwa logowania znajdują się na karcie Ustawienia główne. Tutaj możesz skonfigurować limity prób logowania, ograniczyć dostęp do pliku wp-login.php oraz skonfigurować komunikaty o błędach, aby zapobiec ujawnianiu nazw użytkowników i adresów e-mail w przypadku korzystania z nieistniejących nazw użytkowników i adresów e-mail.
Ograniczanie prób logowania w celu złagodzenia ataków siłowych
Domyślne i zalecane ustawienia limitu prób logowania są zaznaczone na zrzucie ekranu numerem 1. Ustawienia te zostały wprowadzone podczas aktywacji WP Cerber. Jeśli na stronie internetowej jest wielu klientów, na przykład prowadzisz sklep WooCommerce, warto zwiększyć limit prób logowania.
WordPress Login Security – WP Cerber Settings
Przetwarzanie żądań uwierzytelniania wp-login.php
Zobacz wybór nr 2. Domyślnie WordPress używa pliku wp-login.php jako strony logowania, która przetwarza wszystkie logowania użytkowników, a także udostępnia formularz rejestracyjny i formularz resetowania hasła. Jeśli skonfigurowano niestandardowy adres URL logowania , zaleca się wyłączenie pliku wp-login.php. Masz dwie możliwości. Możesz całkowicie zablokować dostęp do pliku wp-login.php i uczynić go niedostępnym dla wszystkich lub wyłączyć uwierzytelnianie użytkowników za pomocą pliku wp-login.php bez blokowania dostępu do pliku. Możesz wybrać dowolną opcję. Obie opcje uniemożliwiają uwierzytelnianie użytkowników za pomocą pliku wp-login.php.
Po włączeniu pierwszej opcji, WP Cerber renderuje i zwraca stronę błędu „404 Page Not Found”, tak jakby na stronie nie było takiego pliku. Dzięki temu atakujący nie mają czego atakować.
Po włączeniu drugiej opcji, WP Cerber uniemożliwia uwierzytelnianie użytkowników, nawet przy poprawnych nazwach użytkowników i hasłach. Oznacza to, że nikt nie może zalogować się za pomocą pliku wp-login.php. Po próbie zalogowania się za pomocą pliku wp-login.php, WP Cerber wyświetla domyślny komunikat o błędzie nieprawidłowego hasła, naśladując standardowy proces uwierzytelniania WordPress. Takie podejście pomaga WP Cerber wykrywać powolne ataki siłowe, wykorzystując plik wp-login.php jako pułapkę detekcyjną. Wszystkie próby logowania za pomocą pliku wp-login.php są rejestrowane w dzienniku aktywności WP Cerber, jak pokazano na poniższym zrzucie ekranu.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Zapobiegaj odkryciu prawdziwych nazw użytkowników i adresów e-mail klientów przez osoby naruszające prawo
Domyślne komunikaty o błędach logowania i resetowania hasła generowane przez WordPress są dość rozwlekłe i mogą pomóc hakerom wykryć prawdziwe nazwy użytkowników i adresy e-mail, a następnie wykorzystać je do przeprowadzania ataków siłowych lub socjotechnicznych.
Wyłącz domyślny komunikat o błędzie logowania
Po włączeniu tej opcji komunikaty o błędach logowania nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby logowania przy użyciu nieistniejących danych . Zamiast tego WP Cerber wyświetla domyślny komunikat o błędzie WordPressa, który pojawia się, gdy użytkownik wprowadzi nieprawidłowe hasło. Pomaga to zapobiec odgadnięciu prawidłowych nazw użytkowników i adresów e-mail przez osoby trzecie. To podejście jest również znane jako wyłączenie podpowiedzi logowania.
Profesjonalna wersja WP Cerber umożliwia określenie własnego komunikatu o błędzie logowania za pomocą pola ustawień niestandardowego komunikatu o błędzie logowania .
Wyłącz domyślny komunikat o błędzie resetowania hasła
Po włączeniu tej opcji komunikaty o błędach resetowania hasła nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby zresetowania hasła dla nieistniejącej nazwy użytkownika lub nieistniejącego adresu e-mail. Zamiast tego WP Cerber naśladuje domyślny proces resetowania haseł i wyświetla następujący komunikat za każdym razem, gdy użytkownik wprowadzi prawidłową lub nieistniejącą nazwę użytkownika i adres e-mail.
The new WordPress password reset message generated by WP Cerber Security
Takie podejście pomaga uniemożliwić hakerom odgadnięcie prawidłowych nazw użytkowników i jest znane jako wyłączenie podpowiedzi dotyczących resetowania hasła.
Profesjonalna wersja WP Cerber umożliwia określenie własnego komunikatu o błędzie resetowania hasła za pomocą pola ustawienia Niestandardowy komunikat o błędzie logowania .
Należy pamiętać, że wszystkie opisane powyżej funkcje nie dotyczą adresów IP znajdujących się na białej liście dostępu IP .
WP Cerber Security 8.6.3
Czym jest RID i jak go używać
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.