Fiind unul dintre cele mai populare sisteme de administrare de continut (Content Management Systems – CMS), WordPress este adesea atacat de cei care doresc sa exploateze punctele vulnerabile ale versiunilor depasite sau doar sa acceseze zona de Admin pentru a posta sau desfiinta site-uri. Intr-o postare anterioara, am vorbit despre metode de a securiza WordPress, dar acum dorim in mod special sa discutam despre cum sa ne protejam impotriva atacurilor violente prin incercare de login. Aceste atacuri sunt facute prin bot nets (deci mii de calculatoare sunt implicate) si reprezinta tentative de a intra in zona de admin cu forta (“brute force” – incercand mii de combinatii de utilizatori si parole). Pe 6 martie 2014, WordFence (un provider de plugin-uri de WordPress popular) a facut urmatorul anunt:
Experimentam un atac WordPress extrem de mare. Sistemul nostru automatic s-a declansat si a postat pe FB si Twitter putin mai devreme azi. Atacul este vizibil pe http://www.wordfence.com/ si, dupa cum se vede, are un apogeu de 40.000 de atacuri pe minut in acest moment.
Atacul a inceput la 7:30 AM ora Pacificului in dimineata aceasta. Este inca in desfasurare. Natura atacului este un botnet mare care genereaza un imens numar de incercari ratate de login in WordPress.
Scopul acestui post este sa va invatam cum sa va protejati instalarile WordPress de asemenea atacuri.
Pentru ca solutia sa fie de succes, trebuie sa urmati si toti cei 5 pasi de mai jos. Daca aveti nevoie de ajutor cu oricare din acesti pasi, va rugam sa contactati echipa tehnica pentru asistenta prin portalul clientilor nostri.
- Pentru securitate si pentru ca urmatorii pasi sa rezulte in succes, este esential sa va asigurati ca versiunea dvs. de WordPress este absolut updatata – inclusive core, plugin-uri si orice tema (sau teme).
- Acum ca ati instalat WordPress 3.8+, instalati si urmatorul plugin: http://wordpress.org/plugins/rename-wp-login/ . Puteti face asta rapid si usor din panoul de control WordPress (dashboard) – apasati “Plugins” > “Add New”. Apoi tastati “rename wp-login” in cutia de cautare.
- Apasati “Install Now”, confirmati mesajul de avertizare si lasati-l sa incarce.
- Dupa ce WordPress termina de instalat plugin-ul, apasati “Activate Plugin”.
- Daca ati urmat toti pasii de mai sus corect, ar trebui sa fiti automat redirectionat catre pagina de “Permalink Settings”. Acolo, trebuie sa derulati pagina pana jos si sa cautati optiunea “Login url”. Acolo o sa gasiti adresa web a blogului si un camp pe care trebuie sa il completati pentru a va seta noul url de login. In acest caz, am ales “bloglogin” – va recomandam sa alegeti ceva unic, usor de retinut.
- Observati noua adresa. Pentru o activa, apasati “Save Changes”. Simplu!
- Mai e doar un pas de facut, pentru ca acum fiecare vizita a vechiului fisier /wp-login.php va face WordPress sa genereze o pagina cu eroare 404 (pagina nu a fost gasita). Adaugati urmatorul cod la capul fisierului .htaccess pentru instalare WordPress. Acest lucru se poate face prin FTP sau prin File Manager in cPanel – doar asigurati-va ca ati selectat optiunea ‘Show Hidden Files’ ca sa vizualizati fisierul .htaccess
<FilesMatch “wp-login.php”>
Deny from All
ErrorDocument 403 “Forbidden”
</FilesMatch>
Codul de mai sus va bloca toate cererile catre fisierul wp-login.php, deoarece nicio cerere legitima nu ar trebui sa se faca spre acel fisier acum ca ati schimbat adresa WordPress. Acest lucru va va proteja contul atat prevenind atacurile login contra instalarilor de WordPress, cat si reducand volumul de prosesari a executiilor PHP.
Speram ca ati gasit acest tutorial util si, ca intotdeauna, daca va trebuie ajutor, contactati-ne
Comments
Tags: wordpress security