Silne bezpieczeństwo logowania dzięki WP Cerber
English version: Strong login security with WP Cerber
Nie jest tajemnicą, że źli aktorzy mogą w ciągu kilku minut włamać się do nowo zainstalowanego WordPressa, przeprowadzając atak brute-force. Jest to możliwe, ponieważ WordPress nie ma wbudowanych mechanizmów łagodzenia ataków, domyślny adres URL logowania jest dobrze znany, a nazwę użytkownika administratora witryny można łatwo znaleźć. WP Cerber zapewnia wszystkie niezbędne narzędzia do ograniczania ataków typu brute-force i zabezpieczania kont użytkowników.
Konfigurowanie ustawień bezpieczeństwa logowania WP Cerber
Ustawienia zabezpieczeń logowania znajdują się w zakładce Ustawienia główne. Tutaj możesz skonfigurować limity prób logowania, ograniczyć dostęp do wp-login.php i skonfigurować komunikaty o błędach, aby zapobiec odkrywaniu nazw użytkowników i e-maili podczas korzystania z nieistniejących nazw użytkowników i e-maili.
Ograniczanie prób logowania w celu złagodzenia ataków typu brute-force
Domyślne i zalecane ustawienia ograniczania prób logowania są podświetlone jako #1 na zrzucie ekranu. Te ustawienia zostały ustawione podczas aktywacji WP Cerber. Jeżeli na stronie masz wielu klientów, np. prowadzisz sklep WooCommerce, warto zwiększyć limit prób logowania.
WordPress Login Security – WP Cerber Settings
Przetwarzanie żądań uwierzytelnienia wp-login.php
Zobacz wybór nr 2. Domyślnie WordPress używa wp-login.php jako strony logowania do witryny, która przetwarza wszystkie loginy użytkowników, a także udostępnia formularz rejestracyjny i formularz resetowania hasła. Jeśli skonfigurowałeś niestandardowy adres URL logowania , zaleca się wyłączenie wp-login.php. Masz dwie opcje. Możesz całkowicie zablokować dostęp do wp-login.php i sprawić, że plik będzie niedostępny dla kogokolwiek, lub możesz wyłączyć uwierzytelnianie użytkownika poprzez wp-login.php bez blokowania dostępu do pliku. Możesz wybrać dowolną opcję. Obydwa uniemożliwiają uwierzytelnianie użytkownika poprzez wp-login.php.
Gdy pierwsza opcja jest włączona, WP Cerber renderuje i zwraca stronę błędu „404 Nie znaleziono strony”, jakby nie było takiego pliku w witrynie. Zatem źli aktorzy nie mają nic do zaatakowania.
Gdy włączona jest druga opcja, WP Cerber uniemożliwia uwierzytelnianie użytkownika nawet przy użyciu prawidłowych nazw użytkowników i haseł. Oznacza to, że nikt nie może zalogować się przy użyciu wp-login.php. Po próbie zalogowania się przez wp-login.php, WP Cerber wyświetla domyślny komunikat o błędzie nieprawidłowego hasła, naśladujący standardowy proces uwierzytelniania WordPress. Zastosowanie tego podejścia pomaga WP Cerberowi wykryć powolne ataki typu brute-force przy użyciu wp-login.php jako Honeypotu do wykrywania. Wszystkie próby zalogowania się poprzez wp-login.php są rejestrowane w dzienniku aktywności WP Cerber, jak pokazano na zrzucie ekranu poniżej.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Uniemożliwiaj złym aktorom odkrywanie prawdziwych nazw użytkowników i adresów e-mail klientów
Domyślne komunikaty o błędach logowania i resetowania hasła generowane przez WordPress są dość szczegółowe i pomagają hakerom wykryć prawdziwe nazwy użytkowników i adresy e-mail, aby wykorzystać je do przeprowadzania ataków brute-force lub socjotechniki.
Wyłącz domyślny komunikat o błędzie logowania
Po włączeniu komunikaty o błędach logowania nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby zalogowania się przy użyciu nieistniejących nazw użytkowników . Zamiast tego WP Cerber wyświetla domyślny komunikat o błędzie WordPress, używany, gdy użytkownik wprowadzi nieprawidłowe hasło. Pomaga to uniemożliwić złym aktorom odgadnięcie prawidłowych nazw użytkowników i adresów e-mail. To podejście jest również znane jako wyłączanie wskazówek dotyczących logowania.
Profesjonalna wersja WP Cerber umożliwia określenie własnego komunikatu o błędzie logowania za pomocą pola ustawień Niestandardowy komunikat o błędzie logowania .
Wyłącz domyślny komunikat o błędzie resetowania hasła
Po włączeniu komunikaty o błędach resetowania hasła nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby zresetowania hasła dla nieistniejącej nazwy użytkownika lub nieistniejącego adresu e-mail. Zamiast tego WP Cerber naśladuje domyślny proces resetowania haseł i wyświetla następujący komunikat za każdym razem, gdy użytkownik wprowadzi prawidłowe lub nieistniejące nazwy użytkownika i adresy e-mail.
The new WordPress password reset message generated by WP Cerber Security
Takie podejście pomaga uniemożliwić złym aktorom odgadnięcie prawidłowych nazw użytkowników i jest znane jako wyłączanie wskazówek dotyczących resetowania hasła.
Profesjonalna wersja WP Cerber umożliwia określenie własnego komunikatu o błędzie resetowania hasła za pomocą pola ustawień Niestandardowy komunikat o błędzie logowania .
Należy pamiętać, że wszystkie funkcje opisane powyżej nie dotyczą adresów IP znajdujących się na Białej Liście Dostępu IP .
WP Cerber Security 8.7
Zarządzanie hasłami do aplikacji WordPress w bezproblemowy sposób
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.