WordPress Security How To
Posted By Gregory

Сильная безопасность Войти с WP Cerber


English version: Strong login security with WP Cerber


Ни для кого не секрет, что злоумышленники могут взломать только что установленный WordPress в течение нескольких минут, устроив атаку методом перебора. Это возможно, потому что WordPress не имеет встроенных механизмов защиты от атак, URL-адрес для входа по умолчанию хорошо известен, а имя пользователя администратора веб-сайта может быть легко обнаружено. WP Cerber предоставляет все необходимые инструменты для предотвращения атак методом грубой силы и защиты учетных записей пользователей.

Настройка параметров безопасности входа в WP Cerber

Настройки безопасности входа находятся на вкладке «Основные настройки». Здесь вы можете настроить ограничения на попытки входа в систему, ограничить доступ к wp-login.php и настроить сообщения об ошибках, чтобы предотвратить обнаружение имен пользователей и адресов электронной почты при использовании несуществующих имен пользователей и адресов электронной почты.

Ограничение попыток входа в систему для смягчения атак методом грубой силы

Настройки по умолчанию и рекомендуемые настройки для ограничения попыток входа в систему показаны как набор №1 на снимке экрана. Эти настройки устанавливаются при активации WP Cerber. Если у вас много клиентов на веб-сайте, например, вы управляете магазином WooCommerce, имеет смысл увеличить лимит на попытки входа в систему.

WordPress Login Security - WP Cerber Settings

WordPress Login Security – WP Cerber Settings

Обработка запросов аутентификации wp-login.php

См. Выбор # 2. По умолчанию WordPress использует wp-login.php в качестве страницы входа на веб-сайт, которая обрабатывает все входы пользователей, а также предоставляет форму регистрации и форму сброса пароля. Если у вас включен настраиваемый URL-адрес для входа , рекомендуется отключить wp-login.php. У вас есть два варианта. Вы можете полностью заблокировать доступ к wp-login.php и сделать файл недоступным для всех, или вы можете отключить аутентификацию через wp-login.php. Когда последний параметр включен, WP Cerber предотвращает любую аутентификацию пользователя даже с правильными именами пользователей и паролями. После попытки входа через wp-login.php WP Cerber показывает сообщение об ошибке неверного пароля по умолчанию, имитирующее стандартный процесс аутентификации WordPress. Использование этого подхода помогает WP Cerber обнаруживать медленные атаки методом перебора, используя wp-login.php в качестве ловушки для обнаружения.

Не позволяйте злоумышленникам угадывать действительные имена пользователей и адреса электронной почты.

По умолчанию сообщения об ошибках для входа в систему и сброса пароля WordPress довольно подробны и позволяют обнаруживать действительные и несуществующие имена пользователей и адреса электронной почты.

Отключить сообщение об ошибке входа по умолчанию

Если этот параметр включен, сообщения об ошибках входа в систему не указывают на недопустимые имена пользователей и адреса электронной почты при попытке входа с несуществующими . Вместо этого WP Cerber отображает сообщение об ошибке WordPress по умолчанию, используемое, когда пользователь вводит неверный пароль. Это помогает предотвратить угадывание злоумышленниками действительных имен пользователей и адресов электронной почты. Этот подход также известен как отключение подсказок для входа в систему.

Отключить сообщение об ошибке сброса пароля по умолчанию

Если этот параметр включен, сообщения об ошибках сброса пароля не указывают на недопустимые имена пользователей и адреса электронной почты при попытке сбросить пароль для несуществующего имени пользователя или несуществующего адреса электронной почты. Вместо этого WP Cerber имитирует процесс сброса паролей по умолчанию и отображает следующее сообщение всякий раз, когда пользователи вводят действительные или несуществующие имена пользователей и адреса электронной почты.

New WordPress password reset message by WP Cerber

The new WordPress password reset message generated by WP Cerber Security

Такой подход помогает предотвратить угадывание злоумышленниками действительных имен пользователей и известен как отключение подсказок для сброса пароля.

Обратите внимание, что все функции, описанные выше, не применяются к IP-адресам в белом списке доступа IP .


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.