Надежная безопасность входа в систему с WP Cerber
English version: Strong login security with WP Cerber
Ни для кого не секрет, что злоумышленники могут взломать только что установленный WordPress в течение нескольких минут, организовав атаку грубой силы. Это возможно, потому что WordPress не имеет встроенных механизмов защиты от атак, URL-адрес входа по умолчанию хорошо известен, а имя пользователя администратора веб-сайта может быть легко обнаружено. WP Cerber предоставляет все необходимые инструменты для предотвращения атак методом грубой силы и защиты учетных записей пользователей.
Настройка параметров безопасности входа в WP Cerber
Настройки безопасности входа находятся на вкладке Основные настройки. Здесь вы можете настроить ограничения на попытки входа в систему, ограничить доступ к wp-login.php и настроить сообщения об ошибках, чтобы предотвратить обнаружение имен пользователей и адресов электронной почты при использовании несуществующих имен пользователей и адресов электронной почты.
Ограничение попыток входа в систему для смягчения атак грубой силы
Параметры по умолчанию и рекомендуемые для ограничения попыток входа в систему выделены на снимке экрана цифрой 1. Эти настройки были установлены при активации WP Cerber. Если у вас много клиентов на сайте, например, вы управляете магазином WooCommerce, имеет смысл увеличить лимит на попытки входа.
Обработка запросов аутентификации wp-login.php
См. выбор № 2. По умолчанию WordPress использует wp-login.php в качестве страницы входа на веб-сайт, которая обрабатывает все входы пользователей в систему, а также предоставляет регистрационную форму и форму сброса пароля. Если вы настроили Пользовательский URL-адрес для входа , рекомендуется отключить wp-login.php. У вас есть два варианта. Вы можете полностью заблокировать доступ к wp-login.php и сделать файл недоступным для всех, а можете отключить аутентификацию пользователя через wp-login.php, не блокируя доступ к файлу. Вы можете выбрать любой из вариантов. Оба предотвращают аутентификацию пользователя через wp-login.php.
Когда первый параметр включен, WP Cerber отображает и возвращает страницу ошибки «404 Страница не найдена», как будто такого файла на веб-сайте нет. Таким образом, плохим актерам не на что нападать.
Когда второй параметр включен, WP Cerber предотвращает любую аутентификацию пользователя даже с правильными именами пользователей и паролями. Это означает, что никто не может войти в систему с помощью wp-login.php. После попытки войти через wp-login.php WP Cerber показывает сообщение об ошибке неправильного пароля по умолчанию, имитирующее стандартный процесс аутентификации WordPress. Использование этого подхода помогает WP Cerber обнаруживать медленные атаки грубой силы, используя wp-login.php в качестве приманки для обнаружения. Все попытки входа через wp-login.php регистрируются в журнале активности WP Cerber, как показано на скриншоте ниже.

WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Не позволяйте злоумышленникам обнаруживать настоящие имена пользователей и адреса электронной почты клиентов.
Сообщения об ошибках сброса пароля и входа в систему по умолчанию, генерируемые WordPress, довольно подробные и помогают хакерам обнаруживать настоящие имена пользователей и адреса электронной почты, чтобы использовать их для организации атак методом грубой силы или социальной инженерии.
Отключить сообщение об ошибке входа по умолчанию
Если этот параметр включен, в сообщениях об ошибках входа не указываются недопустимые имена пользователей и адреса электронной почты при попытке входа с несуществующими . Вместо этого WP Cerber отображает сообщение об ошибке WordPress по умолчанию, которое используется, когда пользователь вводит неправильный пароль. Это помогает предотвратить угадывание злоумышленниками действительных имен пользователей и адресов электронной почты. Этот подход также известен как отключение подсказок входа в систему.
Профессиональная версия WP Cerber позволяет указать собственное сообщение об ошибке входа в систему, используя поле настройки Пользовательское сообщение об ошибке входа .
Отключить сообщение об ошибке сброса пароля по умолчанию
Если этот параметр включен, в сообщениях об ошибках сброса пароля не указываются недопустимые имена пользователей и адреса электронной почты при попытке сбросить пароль для несуществующего имени пользователя или несуществующего адреса электронной почты. Вместо этого WP Cerber имитирует процесс сброса паролей по умолчанию и отображает следующее сообщение всякий раз, когда пользователи вводят действительные или несуществующие имена пользователей и адреса электронной почты.
Этот подход помогает предотвратить угадывание допустимых имен пользователей злоумышленниками и известен как отключение подсказок для сброса пароля.
Профессиональная версия WP Cerber позволяет вам указать собственное сообщение об ошибке сброса пароля, используя поле настройки Пользовательское сообщение об ошибке входа в систему .
Обратите внимание, что все описанные выше функции не относятся к IP-адресам из белого списка доступа IP .