Silne zabezpieczenie logowania z WP Cerber
English version: Strong login security with WP Cerber
Nie jest tajemnicą, że źli aktorzy mogą włamać się do nowo zainstalowanego WordPressa w ciągu kilku minut, przeprowadzając atak brutalnej siły. Jest to możliwe, ponieważ WordPress nie ma wbudowanych mechanizmów ograniczania ataków, domyślny adres URL logowania jest dobrze znany, a nazwę użytkownika administratora witryny można łatwo znaleźć. WP Cerber zapewnia wszystkie niezbędne narzędzia do złagodzenia ataków siłowych i ochrony kont użytkowników.
Konfigurowanie ustawień bezpieczeństwa logowania WP Cerber
Ustawienia bezpieczeństwa logowania znajdują się na karcie Ustawienia główne. Tutaj możesz skonfigurować ograniczenia prób logowania, ograniczyć dostęp do wp-login.php i skonfigurować komunikaty o błędach, aby zapobiec wykrywaniu nazw użytkowników i wiadomości e-mail podczas korzystania z nieistniejących nazw użytkowników i wiadomości e-mail.
Ograniczenie prób logowania w celu złagodzenia ataków siłowych
Domyślne i zalecane ustawienia ograniczania prób logowania są pokazane jako zestaw nr 1 na zrzucie ekranu. Te ustawienia są ustawiane po aktywacji WP Cerber. Jeśli masz wielu klientów na stronie, np. Prowadzisz sklep WooCommerce, warto zwiększyć limit prób logowania.
Przetwarzanie żądań uwierzytelnienia wp-login.php
Zobacz wybór nr 2. Domyślnie WordPress używa wp-login.php jako strony logowania do witryny, która przetwarza wszystkie logowania użytkowników, a także udostępnia formularz rejestracyjny i formularz resetowania hasła. Jeśli masz włączony niestandardowy adres URL logowania , zaleca się wyłączenie wp-login.php. Masz dwie możliwości. Możesz całkowicie zablokować dostęp do wp-login.php i uniemożliwić dostęp do pliku lub możesz wyłączyć uwierzytelnianie przez wp-login.php. Gdy ostatnia opcja jest włączona, WP Cerber zapobiega uwierzytelnianiu użytkownika, nawet przy prawidłowych nazwach użytkowników i hasłach. Po próbie zalogowania się przez wp-login.php, WP Cerber wyświetla domyślny komunikat o błędzie z błędnym hasłem, naśladując standardowy proces uwierzytelniania WordPress. Takie podejście pomaga WP Cerber w wykrywaniu powolnych ataków siłowych przy użyciu wp-login.php jako przynęty do wykrywania.
Zapobiegaj odgadywaniu przez złych aktorów prawidłowych nazw użytkowników i adresów e-mail.
Domyślnie komunikaty o błędach logowania i resetowania hasła WordPress są dość szczegółowe i umożliwiają wykrycie prawidłowych i nieistniejących nazw użytkowników i wiadomości e-mail.
Wyłącz domyślny komunikat o błędzie logowania
Po włączeniu komunikaty o błędach logowania nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby zalogowania się przy użyciu nieistniejących . Zamiast tego WP Cerber wyświetla domyślny komunikat o błędzie WordPress używany, gdy użytkownik wprowadzi nieprawidłowe hasło. Zapobiega to odgadywaniu przez złych aktorów prawidłowych nazw użytkowników i e-maili. Takie podejście jest również znane jako wyłączanie wskazówek dotyczących logowania.
Wyłącz domyślny komunikat o błędzie resetowania hasła
Po włączeniu komunikaty o błędach resetowania hasła nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby zresetowania hasła dla nieistniejącej nazwy użytkownika lub nieistniejącego adresu e-mail. Zamiast tego WP Cerber naśladuje domyślny proces resetowania haseł i wyświetla następujący komunikat za każdym razem, gdy użytkownicy wprowadzają prawidłowe lub nieistniejące nazwy użytkowników i wiadomości e-mail.
Takie podejście pomaga zapobiegać odgadywaniu przez złych aktorów prawidłowych nazw użytkowników i jest znane jako wyłączanie wskazówek dotyczących resetowania hasła.
Należy pamiętać, że wszystkie funkcje opisane powyżej nie dotyczą adresów IP znajdujących się na białej liście dostępu IP .