Якщо ви використовуєте CMS WordPress для вашого сайту, то переконайтеся, що пароль в адмін-панель стійкий для підбору, а також постарайтеся убезпечити свій сайт.
Поради щодо захисту від Brute Force атак, які наводить сам Wordpress:
1. Не використовуйте ім'я користувача "admin". Якщо ви не змінювали ім'я після створення свого облікового запису на WordPress, то створіть новий обліковий запис з іншим ім'ям, перенесіть туди всі пости і змініть ім'я користувача "admin" (або взагалі його видаліть). Крім того, ви можете використовувати плагін Admin Renamed Extended, який дозволяє швидко поміняти ім'я користувача.
2. Використовуйте складний пароль. Для генерації пароля можна використовувати автоматичні системи генерації паролів.
Придумуючи пароль, не використовуйте в ньому імена, назва вашої компанії або сайту, не використовуйте словникові слова, тільки букви або тільки цифри, уникайте коротких паролів.
Складний пароль захистить не тільки вміст сайту. Отримавши доступ в адмін-панель сайту, хакер може встановити різні скрипти, які можуть завдати шкоди всьому серверу.
3. Ви можете використовувати наступні плагіни, які обмежують кількість спроб входу або блокують тих, хто намагається отримати доступ до wp-admin:
- Limit Login Attempts
- Lockdown WP Admin
- WP Fail2Ban
- Admin Renamed Extended
- Enforce Strong Password
- Wordfence Security
- 3WP Activity Monitor
- All in one WP Security
4. Якщо ви - єдиний адміністратор свого сайту, ви можете заблокувати вхід в адмін-панель для всіх, крім себе через файл .htaccess. Ви можете використовувати цей спосіб, тільки якщо у вас статичний IP-адресу. Відкрийте файл в текстовому редакторі в кореневій директорії вашого сайту, наприклад public_html, і додайте наступне:
<Files wp-login.php>
order deny,allow
deny from all
allow from x.x.x.x
</Files>
SetEnvIf Remote_Addr х.х.х.х realremoteaddr order allow, deny allow from env=realremoteaddr deny from allЯкщо необхідно додати ще один IP-адрес доступу, то прописуємо аналогічний рядок з іншою адресою під вказаною. Якщо теми або плагіни вашого сайту використовують AJAX, в файл .htaccess необхідно додати наступну інформацію.
# Allow acces to wp-admin/admin-ajax.php
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Збережіть файл і завантажте його в вашу папку wp-admin. Якщо ви обмежуєте доступ до wp-admin в Nginx і використовуєте AJAX, ви повинні додати в файл наступний запис location /wp-admin/admin-ajax.php {
allow all;
}
Додаткову інформацію щодо захисту вашого сайту на Wordpress від злому ви можете прочитати тут. Подбайте про захист вмісту ваших сайтів.