Сильная безопасность Войти с WP Cerber
English version: Strong login security with WP Cerber
Ни для кого не секрет, что злоумышленники могут взломать только что установленный WordPress в течение нескольких минут, устроив атаку методом перебора. Это возможно, потому что WordPress не имеет встроенных механизмов защиты от атак, URL-адрес для входа по умолчанию хорошо известен, а имя пользователя администратора веб-сайта может быть легко обнаружено. WP Cerber предоставляет все необходимые инструменты для предотвращения атак методом грубой силы и защиты учетных записей пользователей.
Настройка параметров безопасности входа в WP Cerber
Настройки безопасности входа находятся на вкладке «Основные настройки». Здесь вы можете настроить ограничения на попытки входа в систему, ограничить доступ к wp-login.php и настроить сообщения об ошибках, чтобы предотвратить обнаружение имен пользователей и адресов электронной почты при использовании несуществующих имен пользователей и адресов электронной почты.
Ограничение попыток входа в систему для смягчения атак методом грубой силы
Настройки по умолчанию и рекомендуемые настройки для ограничения попыток входа в систему показаны как набор №1 на снимке экрана. Эти настройки устанавливаются при активации WP Cerber. Если у вас много клиентов на веб-сайте, например, вы управляете магазином WooCommerce, имеет смысл увеличить лимит на попытки входа в систему.
Обработка запросов аутентификации wp-login.php
См. Выбор # 2. По умолчанию WordPress использует wp-login.php в качестве страницы входа на веб-сайт, которая обрабатывает все входы пользователей, а также предоставляет форму регистрации и форму сброса пароля. Если у вас включен настраиваемый URL-адрес для входа , рекомендуется отключить wp-login.php. У вас есть два варианта. Вы можете полностью заблокировать доступ к wp-login.php и сделать файл недоступным для всех, или вы можете отключить аутентификацию через wp-login.php. Когда последний параметр включен, WP Cerber предотвращает любую аутентификацию пользователя даже с правильными именами пользователей и паролями. После попытки входа через wp-login.php WP Cerber показывает сообщение об ошибке неверного пароля по умолчанию, имитирующее стандартный процесс аутентификации WordPress. Использование этого подхода помогает WP Cerber обнаруживать медленные атаки методом перебора, используя wp-login.php в качестве ловушки для обнаружения.
Не позволяйте злоумышленникам угадывать действительные имена пользователей и адреса электронной почты.
По умолчанию сообщения об ошибках для входа в систему и сброса пароля WordPress довольно подробны и позволяют обнаруживать действительные и несуществующие имена пользователей и адреса электронной почты.
Отключить сообщение об ошибке входа по умолчанию
Если этот параметр включен, сообщения об ошибках входа в систему не указывают на недопустимые имена пользователей и адреса электронной почты при попытке входа с несуществующими . Вместо этого WP Cerber отображает сообщение об ошибке WordPress по умолчанию, используемое, когда пользователь вводит неверный пароль. Это помогает предотвратить угадывание злоумышленниками действительных имен пользователей и адресов электронной почты. Этот подход также известен как отключение подсказок для входа в систему.
Отключить сообщение об ошибке сброса пароля по умолчанию
Если этот параметр включен, сообщения об ошибках сброса пароля не указывают на недопустимые имена пользователей и адреса электронной почты при попытке сбросить пароль для несуществующего имени пользователя или несуществующего адреса электронной почты. Вместо этого WP Cerber имитирует процесс сброса паролей по умолчанию и отображает следующее сообщение всякий раз, когда пользователи вводят действительные или несуществующие имена пользователей и адреса электронной почты.
Такой подход помогает предотвратить угадывание злоумышленниками действительных имен пользователей и известен как отключение подсказок для сброса пароля.
Обратите внимание, что все функции, описанные выше, не применяются к IP-адресам в белом списке доступа IP .