WordPress Security How To

Silne bezpieczeństwo logowania dzięki WP Cerber


English version: Strong login security with WP Cerber


Nie jest tajemnicą, że źli aktorzy mogą włamać się do nowo zainstalowanego WordPressa w ciągu kilku minut, przeprowadzając atak brute-force. Jest to możliwe, ponieważ WordPress nie ma wbudowanych mechanizmów ograniczających ataki, domyślny adres URL logowania jest dobrze znany, a nazwę użytkownika administratora witryny można łatwo wykryć. WP Cerber zapewnia wszystkie niezbędne narzędzia do łagodzenia ataków siłowych i ochrony kont użytkowników.

Konfigurowanie ustawień bezpieczeństwa logowania WP Cerber

Ustawienia bezpieczeństwa logowania znajdują się w zakładce Ustawienia główne. Tutaj możesz skonfigurować limity prób logowania, ograniczyć dostęp do wp-login.php i skonfigurować komunikaty o błędach, aby zapobiec wykrywaniu nazw użytkowników i wiadomości e-mail podczas korzystania z nieistniejących nazw użytkowników i wiadomości e-mail.

Ograniczanie prób logowania w celu złagodzenia ataków typu brute-force

Domyślne i zalecane ustawienia ograniczania prób logowania są oznaczone numerem 1 na zrzucie ekranu. Te ustawienia zostały ustawione podczas aktywacji WP Cerber. Jeśli masz wielu klientów na stronie, np. prowadzisz sklep WooCommerce, warto zwiększyć limit prób logowania.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Przetwarzanie żądań uwierzytelnienia wp-login.php

Zobacz wybór nr 2. Domyślnie WordPress używa wp-login.php jako strony logowania do witryny, która przetwarza wszystkie loginy użytkowników, a także udostępnia formularz rejestracyjny i formularz resetowania hasła. Jeśli skonfigurowałeś niestandardowy adres URL logowania , zaleca się wyłączenie wp-login.php. Masz dwie opcje. Możesz całkowicie zablokować dostęp do wp-login.php i sprawić, że plik będzie niedostępny dla nikogo, lub możesz wyłączyć uwierzytelnianie użytkownika przez wp-login.php bez blokowania dostępu do pliku. Możesz wybrać dowolną z opcji. Oba zapobiegają uwierzytelnianiu użytkownika przez wp-login.php.

Gdy pierwsza opcja jest włączona, WP Cerber renderuje i zwraca stronę błędu „404 Nie znaleziono strony”, tak jakby nie było takiego pliku na stronie. Tak więc źli aktorzy nie mają nic do zaatakowania.

Gdy druga opcja jest włączona, WP Cerber uniemożliwia uwierzytelnienie użytkownika nawet przy poprawnych nazwach użytkownika i hasłach. Oznacza to, że nikt nie może się zalogować za pomocą wp-login.php. Po próbie zalogowania się przez wp-login.php, WP Cerber wyświetla domyślny komunikat o błędzie nieprawidłowego hasła, naśladując standardowy proces uwierzytelniania WordPress. Zastosowanie tego podejścia pomaga WP Cerber wykryć powolne ataki brute-force za pomocą wp-login.php jako pułapki wykrywającej. Wszystkie próby zalogowania się przez wp-login.php są rejestrowane w dzienniku aktywności WP Cerber, jak pokazano na zrzucie ekranu poniżej.

An attempt to log into WordPress denied (Forbidden URL)

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label

Uniemożliwiaj hakerom odkrywanie prawdziwych nazw użytkowników i adresów e-mail klientów

Domyślne komunikaty o błędach logowania i resetowania hasła generowane przez WordPress są dość szczegółowe i pomagają hakerom wykryć prawdziwe nazwy użytkowników i e-maile, aby użyć ich do montowania ataków siłowych lub socjotechnicznych.

Wyłącz domyślny komunikat o błędzie logowania

Po włączeniu komunikaty o błędach logowania nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby zalogowania się przy użyciu nieistniejących nazw . Zamiast tego WP Cerber wyświetla domyślny komunikat o błędzie WordPress używany, gdy użytkownik wprowadzi nieprawidłowe hasło. Pomaga to zapobiegać zgadywaniu przez złe podmioty prawidłowych nazw użytkowników i adresów e-mail. Takie podejście jest również znane jako wyłączanie wskazówek dotyczących logowania.

Profesjonalna wersja WP Cerber umożliwia określenie własnego komunikatu o błędzie logowania za pomocą pola ustawień Niestandardowy komunikat o błędzie logowania .

Wyłącz domyślny komunikat o błędzie resetowania hasła

Po włączeniu komunikaty o błędach resetowania hasła nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby zresetowania hasła dla nieistniejącej nazwy użytkownika lub nieistniejącego adresu e-mail. Zamiast tego WP Cerber naśladuje domyślny proces resetowania haseł i wyświetla następujący komunikat za każdym razem, gdy użytkownicy wprowadzą prawidłowe lub nieistniejące nazwy użytkownika i adresy e-mail.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Takie podejście pomaga zapobiegać odgadywaniu prawidłowych nazw użytkowników przez złe podmioty i jest znane jako wyłączanie wskazówek dotyczących resetowania hasła.

Profesjonalna wersja WP Cerber umożliwia określenie własnego komunikatu o błędzie resetowania hasła za pomocą pola ustawień Niestandardowy komunikat o błędzie logowania .

Należy pamiętać, że wszystkie opisane powyżej funkcje nie mają zastosowania do adresów IP znajdujących się na Białej liście dostępu IP .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.