Silne bezpieczeństwo logowania dzięki WP Cerber
English version: Strong login security with WP Cerber
Nie jest tajemnicą, że źli aktorzy mogą włamać się do nowo zainstalowanego WordPressa w ciągu kilku minut, przeprowadzając atak siłowy. Jest to możliwe, ponieważ WordPress nie ma wbudowanych mechanizmów łagodzenia ataków, domyślny adres URL logowania jest dobrze znany, a nazwę użytkownika administratora witryny można łatwo odkryć. WP Cerber oferuje wszystkie niezbędne narzędzia do łagodzenia ataków siłowych i ochrony kont użytkowników.
Konfigurowanie ustawień bezpieczeństwa logowania WP Cerber
Ustawienia zabezpieczeń logowania znajdują się na karcie Ustawienia główne. Tutaj możesz skonfigurować limity prób logowania, ograniczyć dostęp do wp-login.php i skonfigurować komunikaty o błędach, aby zapobiec odkrywaniu nazw użytkowników i adresów e-mail podczas korzystania z nieistniejących nazw użytkowników i adresów e-mail.
Ograniczanie prób logowania w celu złagodzenia ataków siłowych
Domyślne i zalecane ustawienia ograniczające próby logowania są podświetlone jako #1 na zrzucie ekranu. Ustawienia te zostały ustawione, gdy aktywowałeś WP Cerber. Jeśli masz wielu klientów na stronie internetowej, na przykład prowadzisz sklep WooCommerce, ma sens zwiększenie limitu prób logowania.
WordPress Login Security – WP Cerber Settings
Przetwarzanie żądań uwierzytelniania wp-login.php
Zobacz wybór nr 2. Domyślnie WordPress używa wp-login.php jako strony logowania do witryny, która przetwarza wszystkie logowania użytkowników, a także udostępnia formularz rejestracyjny i formularz resetowania hasła. Jeśli skonfigurowano niestandardowy adres URL logowania , zaleca się wyłączenie wp-login.php. Masz dwie opcje. Możesz całkowicie zablokować dostęp do wp-login.php i uczynić plik niedostępnym dla wszystkich lub możesz wyłączyć uwierzytelnianie użytkownika za pomocą wp-login.php bez blokowania dostępu do pliku. Możesz wybrać dowolną z opcji. Obie uniemożliwiają uwierzytelnianie użytkownika za pomocą wp-login.php.
Gdy włączona jest pierwsza opcja, WP Cerber renderuje i zwraca stronę błędu „404 Page Not Found”, jakby takiego pliku nie było na stronie. W ten sposób źli aktorzy nie mają nic do zaatakowania.
Gdy włączona jest druga opcja, WP Cerber uniemożliwia uwierzytelnianie użytkownika nawet przy poprawnych nazwach użytkownika i hasłach. Oznacza to, że nikt nie może się zalogować za pomocą wp-login.php. Po próbie zalogowania się za pomocą wp-login.php, WP Cerber wyświetla domyślny komunikat o błędzie nieprawidłowego hasła, naśladując standardowy proces uwierzytelniania WordPress. Korzystanie z tego podejścia pomaga WP Cerber wykrywać powolne ataki siłowe za pomocą wp-login.php jako pułapki wykrywającej. Wszystkie próby zalogowania się za pomocą wp-login.php są rejestrowane w dzienniku aktywności WP Cerber, jak pokazano na poniższym zrzucie ekranu.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Zapobiegaj odkrywaniu prawdziwych nazw użytkowników i adresów e-mail klientów przez osoby trzecie
Domyślne komunikaty o błędach logowania i resetowania hasła generowane przez WordPress są dość rozwlekłe i mogą pomóc hakerom wykryć prawdziwe nazwy użytkowników i adresy e-mail, a następnie wykorzystać je do przeprowadzania ataków siłowych lub socjotechnicznych.
Wyłącz domyślny komunikat o błędzie logowania
Po włączeniu komunikaty o błędach logowania nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby logowania przy użyciu nieistniejących nazw . Zamiast tego WP Cerber wyświetla domyślny komunikat o błędzie WordPress używany, gdy użytkownik wprowadzi nieprawidłowe hasło. Pomaga to zapobiec zgadywaniu prawidłowych nazw użytkowników i adresów e-mail przez osoby nieuprawnione. To podejście jest również znane jako wyłączanie wskazówek dotyczących logowania.
Profesjonalna wersja WP Cerber umożliwia określenie własnego komunikatu o błędzie logowania za pomocą pola ustawień niestandardowego komunikatu o błędzie logowania .
Wyłącz domyślny komunikat o błędzie resetowania hasła
Po włączeniu komunikaty o błędach resetowania hasła nie wskazują nieprawidłowych nazw użytkowników i adresów e-mail podczas próby zresetowania hasła dla nieistniejącej nazwy użytkownika lub nieistniejącego adresu e-mail. Zamiast tego WP Cerber naśladuje domyślny proces resetowania haseł i wyświetla następujący komunikat za każdym razem, gdy użytkownicy wprowadzają prawidłowe lub nieistniejące nazwy użytkowników i adresy e-mail.
The new WordPress password reset message generated by WP Cerber Security
Takie podejście pomaga uniemożliwić hakerom odgadnięcie prawidłowych nazw użytkowników i jest znane jako wyłączenie wskazówek dotyczących resetowania hasła.
Profesjonalna wersja WP Cerber umożliwia określenie własnego komunikatu o błędzie resetowania hasła za pomocą pola ustawienia niestandardowego komunikatu o błędzie logowania .
Należy pamiętać, że wszystkie opisane powyżej funkcje nie mają zastosowania do adresów IP znajdujących się na białej liście dostępu IP .
Development version 8.5.9.1
WP Cerber Security 8.6
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.