Надежная безопасность входа в систему с WP Cerber
English version: Strong login security with WP Cerber
Ни для кого не секрет, что злоумышленники могут взломать только что установленный WordPress в течение нескольких минут, осуществив атаку методом перебора. Это возможно, поскольку WordPress не имеет встроенных механизмов защиты от атак, URL-адрес входа по умолчанию хорошо известен, а имя пользователя администратора веб-сайта можно легко обнаружить. WP Cerber предлагает все необходимые инструменты для предотвращения атак методом перебора и защиты учетных записей пользователей.
Настройка параметров безопасности входа в WP Cerber
Настройки безопасности входа находятся на вкладке «Основные настройки». Здесь вы можете настроить ограничения на попытки входа в систему, ограничить доступ к wp-login.php и настроить сообщения об ошибках, чтобы предотвратить обнаружение имен пользователей и адресов электронной почты при использовании несуществующих имен пользователей и адресов электронной почты.
Ограничение попыток входа в систему для предотвращения атак методом перебора.
Настройки по умолчанию и рекомендуемые настройки ограничения попыток входа в систему выделены на скриншоте номером 1. Эти настройки были установлены при активации WP Cerber. Если у вас на сайте много клиентов, например, вы управляете магазином WooCommerce, имеет смысл увеличить лимит попыток входа.
WordPress Login Security – WP Cerber Settings
Обработка запросов аутентификации wp-login.php
См. выбор № 2. По умолчанию WordPress использует wp-login.php в качестве страницы входа на сайт, которая обрабатывает все входы пользователей, а также предоставляет форму регистрации и форму сброса пароля. Если вы настроили собственный URL-адрес для входа , рекомендуется отключить wp-login.php. У вас есть два варианта. Вы можете полностью заблокировать доступ к wp-login.php и сделать файл недоступным для всех, либо отключить аутентификацию пользователя через wp-login.php, не блокируя доступ к файлу. Вы можете выбрать любой из вариантов. Оба предотвращают аутентификацию пользователя через wp-login.php.
Когда включен первый вариант, WP Cerber отображает и возвращает страницу ошибки «404 Страница не найдена», как будто такого файла на веб-сайте нет. Таким образом, злоумышленникам нечего атаковать.
Когда включен второй вариант, WP Cerber предотвращает любую аутентификацию пользователя даже при наличии правильных имен пользователей и паролей. Это означает, что никто не сможет войти в систему, используя wp-login.php. После попытки входа в систему через wp-login.php WP Cerber отображает сообщение об ошибке неправильного пароля по умолчанию, имитирующее стандартный процесс аутентификации WordPress. Использование этого подхода помогает WP Cerber обнаруживать медленные атаки методом перебора, используя wp-login.php в качестве приманки для обнаружения. Все попытки входа через wp-login.php записываются в журнал активности WP Cerber, как показано на скриншоте ниже.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Не позволяйте злоумышленникам узнавать настоящие имена пользователей и электронные письма клиентов.
Сообщения об ошибках сброса логина и пароля по умолчанию, генерируемые WordPress, довольно многословны и помогают хакерам обнаружить настоящие имена пользователей и адреса электронной почты, чтобы использовать их для проведения атак методом грубой силы или социальной инженерии.
Отключить сообщение об ошибке входа по умолчанию
Если эта функция включена, в сообщениях об ошибках входа не указываются недействительные имена пользователей и адреса электронной почты при попытке войти в систему с несуществующими адресами . Вместо этого WP Cerber отображает сообщение об ошибке WordPress по умолчанию, которое появляется, когда пользователь вводит неправильный пароль. Это помогает предотвратить угадывание действительных имен пользователей и адресов электронной почты злоумышленниками. Этот подход также известен как отключение подсказок для входа в систему.
Профессиональная версия WP Cerber позволяет вам указать собственное сообщение об ошибке входа в систему, используя поле настройки «Пользовательское сообщение об ошибке входа» .
Отключить сообщение об ошибке сброса пароля по умолчанию
Если этот параметр включен, в сообщениях об ошибках сброса пароля не указываются недействительные имена пользователей и адреса электронной почты при попытке сбросить пароль для несуществующего имени пользователя или несуществующего адреса электронной почты. Вместо этого WP Cerber имитирует стандартный процесс сброса паролей и отображает следующее сообщение всякий раз, когда пользователи вводят действительные или несуществующие имена пользователей и адреса электронной почты.
The new WordPress password reset message generated by WP Cerber Security
Этот подход помогает предотвратить угадывание действительных имен пользователей злоумышленниками и известен как отключение подсказок по сбросу пароля.
Профессиональная версия WP Cerber позволяет вам указать собственное сообщение об ошибке сброса пароля, используя поле настройки «Пользовательское сообщение об ошибке входа» .
Обратите внимание, что все описанные выше функции не применяются к IP-адресам в белом списке доступа IP .
WP Cerber Security 9.5
WP Cerber Security 9.5.3
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.