Надежная защита входа с помощью WP Cerber
English version: Strong login security with WP Cerber
Не секрет, что злоумышленники могут взломать недавно установленный WordPress за несколько минут, применив атаку методом подбора. Это возможно, поскольку WordPress не имеет встроенных механизмов смягчения атак, URL-адрес входа по умолчанию хорошо известен, а имя пользователя администратора веб-сайта можно легко обнаружить. WP Cerber предоставляет все необходимые инструменты для смягчения атак методом подбора и защиты учетных записей пользователей.
Настройка параметров безопасности входа в WP Cerber
Настройки безопасности входа находятся на вкладке Главные настройки. Здесь вы можете настроить ограничения на попытки входа, ограничить доступ к wp-login.php и настроить сообщения об ошибках, чтобы предотвратить обнаружение имен пользователей и адресов электронной почты при использовании несуществующих имен пользователей и адресов электронной почты.
Ограничение попыток входа в систему для предотвращения атак методом подбора пароля
Настройки по умолчанию и рекомендуемые настройки для ограничения попыток входа выделены на снимке экрана как #1. Эти настройки были установлены при активации WP Cerber. Если у вас много клиентов на сайте, например, вы управляете магазином WooCommerce, имеет смысл увеличить лимит попыток входа.
Обработка запросов аутентификации wp-login.php
См. вариант №2. По умолчанию WordPress использует wp-login.php в качестве страницы входа на сайт, которая обрабатывает все входы пользователей, а также предоставляет форму регистрации и форму сброса пароля. Если вы настроили Custom login URL , рекомендуется отключить wp-login.php. У вас есть два варианта. Вы можете полностью заблокировать доступ к wp-login.php и сделать файл недоступным для всех, или вы можете отключить аутентификацию пользователя через wp-login.php, не блокируя доступ к файлу. Вы можете выбрать любой из вариантов. Оба варианта предотвращают аутентификацию пользователя через wp-login.php.
При включении первой опции WP Cerber отображает и возвращает страницу ошибки "404 Page Not Found", как будто такого файла на сайте нет. Таким образом, злоумышленникам нечего атаковать.
При включении второго параметра WP Cerber предотвращает любую аутентификацию пользователя даже с правильными именами пользователей и паролями. Это означает, что никто не сможет войти в систему с помощью wp-login.php. После попытки входа через wp-login.php WP Cerber показывает сообщение об ошибке неправильного пароля по умолчанию, имитирующее стандартный процесс аутентификации WordPress. Использование этого подхода помогает WP Cerber обнаруживать медленные атаки методом подбора, используя wp-login.php в качестве приманки для обнаружения. Все попытки входа через wp-login.php регистрируются в журнале активности WP Cerber, как показано на снимке экрана ниже.

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Не позволяйте злоумышленникам узнавать настоящие имена пользователей и адреса электронной почты клиентов
Сообщения об ошибках входа в систему и сброса пароля, генерируемые WordPress по умолчанию, довольно подробны и помогают хакерам обнаружить настоящие имена пользователей и адреса электронной почты, чтобы использовать их для проведения атак методом подбора паролей или атак социальной инженерии.
Отключить сообщение об ошибке входа по умолчанию
При включении сообщения об ошибках входа не указывают на недействительные имена пользователей и адреса электронной почты при попытке входа с несуществующими именами . Вместо этого WP Cerber отображает сообщение об ошибке WordPress по умолчанию, используемое при вводе пользователем неверного пароля. Это помогает предотвратить угадывание злоумышленниками действительных имен пользователей и адресов электронной почты. Этот подход также известен как отключение подсказок входа.
Профессиональная версия WP Cerber позволяет вам указать собственное сообщение об ошибке входа в систему с помощью поля «Настраиваемое сообщение об ошибке входа в систему» .
Отключить сообщение об ошибке сброса пароля по умолчанию
При включении сообщения об ошибках сброса пароля не указывают на недействительные имена пользователей и адреса электронной почты при попытке сбросить пароль для несуществующего имени пользователя или несуществующего адреса электронной почты. Вместо этого WP Cerber имитирует стандартный процесс сброса паролей и отображает следующее сообщение всякий раз, когда пользователи вводят действительные или несуществующие имена пользователей и адреса электронной почты.
Такой подход помогает предотвратить угадывание злоумышленниками действительных имен пользователей и известен как отключение подсказок по сбросу пароля.
Профессиональная версия WP Cerber позволяет вам указать собственное сообщение об ошибке сброса пароля с помощью поля «Настраиваемое сообщение об ошибке входа» .
Обратите внимание, что все описанные выше функции не применяются к IP-адресам в списке белого доступа IP .