Надежная защита авторизации с помощью WP Cerber
English version: Strong login security with WP Cerber
Ни для кого не секрет, что злоумышленники могут взломать только что установленный WordPress за несколько минут, используя атаку методом перебора паролей. Это возможно, потому что в WordPress нет встроенных механизмов защиты от атак, стандартный URL-адрес для входа в систему хорошо известен, а имя пользователя администратора сайта легко узнать. WP Cerber предоставляет все необходимые инструменты для защиты от атак методом перебора паролей и обеспечения безопасности учетных записей пользователей.
Настройка параметров безопасности входа в WP Cerber
Настройки безопасности входа в систему находятся на вкладке «Основные настройки». Здесь вы можете установить ограничения на количество попыток входа, ограничить доступ к wp-login.php и настроить сообщения об ошибках, чтобы предотвратить обнаружение имен пользователей и адресов электронной почты при использовании несуществующих имен пользователей и адресов электронной почты.
Ограничение количества попыток входа в систему для предотвращения атак методом перебора паролей.
На скриншоте под номером 1 выделены настройки по умолчанию и рекомендуемые настройки для ограничения попыток входа в систему. Эти настройки были установлены при активации WP Cerber. Если у вас много клиентов на сайте, например, если вы используете магазин WooCommerce, имеет смысл увеличить лимит попыток входа.
WordPress Login Security – WP Cerber Settings
Обработка запросов аутентификации wp-login.php
См. пункт №2. По умолчанию WordPress использует wp-login.php в качестве страницы входа на сайт, которая обрабатывает все входы пользователей, а также предоставляет форму регистрации и форму сброса пароля. Если вы настроили пользовательский URL-адрес для входа , рекомендуется отключить wp-login.php. У вас есть два варианта. Вы можете полностью заблокировать доступ к wp-login.php и сделать файл недоступным для всех, или вы можете отключить аутентификацию пользователей через wp-login.php, не блокируя доступ к файлу. Вы можете выбрать любой из вариантов. Оба варианта предотвращают аутентификацию пользователей через wp-login.php.
При включении первого параметра WP Cerber отображает и возвращает страницу ошибки "404 Страница не найдена", как будто такого файла на сайте нет. Таким образом, злоумышленникам нечего атаковать.
При включении второго варианта WP Cerber блокирует любую аутентификацию пользователей, даже при использовании правильных имен пользователей и паролей. Это означает, что никто не сможет войти в систему, используя wp-login.php. После попытки входа через wp-login.php WP Cerber отображает стандартное сообщение об ошибке «неверный пароль», имитирующее стандартный процесс аутентификации WordPress. Использование этого подхода помогает WP Cerber обнаруживать медленные атаки методом перебора паролей, используя wp-login.php в качестве ловушки для обнаружения. Все попытки входа через wp-login.php регистрируются в журнале активности WP Cerber, как показано на скриншоте ниже.
WP Cerber denies attempts to log in via wp-login.php and logs such events with the Forbidden URL label
Предотвратите обнаружение злоумышленниками реальных имен пользователей и адресов электронной почты клиентов.
Сообщения об ошибках при входе в систему и сбросе пароля, генерируемые WordPress по умолчанию, довольно многословны и помогают хакерам обнаруживать реальные имена пользователей и адреса электронной почты, чтобы использовать их для проведения атак методом перебора паролей или социальной инженерии.
Отключите стандартное сообщение об ошибке при входе в систему.
При включении этой функции сообщения об ошибках входа не указывают на недействительные имена пользователей и адреса электронной почты при попытке входа с использованием несуществующих учетных записей . Вместо этого WP Cerber отображает стандартное сообщение об ошибке WordPress, используемое при вводе пользователем неверного пароля. Это помогает предотвратить попытки злоумышленников угадать действительные имена пользователей и адреса электронной почты. Такой подход также известен как отключение подсказок при входе.
Профессиональная версия WP Cerber позволяет указать собственное сообщение об ошибке при входе в систему с помощью поля «Пользовательское сообщение об ошибке при входе в систему» .
Отключите сообщение об ошибке сброса пароля по умолчанию.
При включении этой функции сообщения об ошибках сброса пароля не указывают на недействительные имена пользователей и адреса электронной почты при попытке сбросить пароль для несуществующего имени пользователя или адреса электронной почты. Вместо этого WP Cerber имитирует стандартный процесс сброса паролей и отображает следующее сообщение всякий раз, когда пользователи вводят действительные или несуществующие имена пользователей и адреса электронной почты.
The new WordPress password reset message generated by WP Cerber Security
Этот подход помогает предотвратить попытки злоумышленников угадать действительные имена пользователей и известен как отключение подсказок для сброса пароля.
Профессиональная версия WP Cerber позволяет указать собственное сообщение об ошибке при сбросе пароля, используя поле «Пользовательское сообщение об ошибке при входе в систему» .
Обратите внимание, что все описанные выше функции не применяются к IP-адресам, включенным в белый список IP-адресов .
WP Cerber Security 8.6.3
Что такое RID и как его использовать?
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.