Kako zaštititi WordPress od brute force napada

Šta je brute force napad?

Brute force napad je metoda u kojoj napadac automatski pokusava hiljade kombinacija korisničkih imena i lozinki dok ne pogodi ispravnu. Botovi mogu da pokušaju stotine prijavljivanja u minutu, testirajuci najčešće lozinke poput "admin123", "password" ili "123456". Posto WordPress koristi standardnu /wp-login.php stranicu, napadaci tačno znaju gde da ciljaju.

Čak i ako napadac ne uspe da pogodi lozinku, sam obim zahteva može da uspori ili srusi vaš sajt. Zato je zaštita od brute force napada dvostruko važna - stiti i vaše podatke i performanse sajta.

Promenite podrazumevani admin username

Ako vaš WordPress nalog koristi korisničko ime "admin", već ste dali napadacu polovinu informacija koje mu trebaju. Uvek koristite jedinstveno korisničko ime koje nije lako pogoditi.

WordPress ne dozvoljava direktnu promenu korisničkog imena iz admin panela. Umesto toga, kreirajte novi nalog sa administratorskim pravima i jedinstvenim imenom, a zatim obrišite stari "admin" nalog. Prilikom brisanja, WordPress će vaš pitati kome da dodeli sadržaj starog naloga - izaberite novi nalog.

Koristite jake lozinke

Jaka lozinka je prva linija odbrane. Evo minimalnih zahteva:

• Minimum 12 karaktera (idealno 16+)
• Kombinacija velikih i malih slova, brojeva i specijalnih karaktera
• Nikada ne koristite istu lozinku na više sajtova
• Izbegavajte reči iz rečnika, datume rođenja i lične informacije

Koristite menadžere lozinki poput Bitwarden-a ili 1Password-a koji generišu i čuvaju kompleksne lozinke za vaš. Ne morate da pamtite lozinku ako je menadžer čuva bezbedno.

Dvofaktorska autentifikacija (2FA)

Dvofaktorska autentifikacija dodaje drugi sloj zaštite koji zahteva nešto što imate (telefon) pored nečega što znate (lozinka). Čak i ako napadac pogodi vašu lozinku, bez pristupa vašem telefonu ne može da se prijavi.

Preporučeni plugini za 2FA:

• WP 2FA: Jednostavan plugin koji podržava Google Authenticator, Authy i email kodove. Besplatna verzija pokriva osnovne potrebe.
• Wordfence: Pored 2FA, nudi kompletnu bezbednosnu zaštitu uključujući firewall, skeniranje malvera i real-time praćenje pretnji.
• miniOrange: Podržava više metoda autentifikacije uključujući SMS, email, push notifikacije i hardverske kljuceve.

Obavezno generišete i sačuvajte rezervne kodove (backup codes) na sigurnom mestu za slučaj da izgubite pristup telefonu.

Ogranicite pokušaje prijavljivanja

Podrazumevano, WordPress dozvoljava neograničen broj pokušaja prijavljivanja. Ovo je kao da ostavite ključ u bravi i kazete lopovu "pokusavaj koliko hoces". Ogranicavanje pokušaja je jedna od najvažnijih mera zaštite.

Limit Login Attempts Reloaded je najpopularniji plugin za ovu namenu. Podrazumevano blokira IP adresu nakon 4 neuspešna pokušaja na 20 minuta, a posle ponovljenih blokada produzava vreme na 24 sata. Možete podesiti ove vrednosti prema vašim potrebama.

Na BeoHosting-u, cPHulk Brute Force Protection je ugradena zaštita na nivou servera koja automatski blokira IP adrese sa previše neuspešnih pokušaja prijavljivanja, pružajuci dodatni sloj zaštite nezavisno od WordPress plugina.

Promena URL-a login stranice

Standardna WordPress login stranica je uvek na /wp-login.php ili /wp-admin. Promena ovog URL-a na nešto jedinstveno (npr. /moj-pristup) eliminise veliki broj automatizovanih napada koji ciljaju standardne putanje.

Plugin WPS Hide Login omogućava promenu login URL-a jednim klikom. Lagan je, ne menja fajlove na serveru i kompatibilan je sa većinom tema i plugina.

Web Application Firewall (WAF)

WAF filtrira maliciozni saobraćaj pre nego što stigne do vašeg sajta. Može da prepozna i blokira brute force napade, SQL injection pokušaje, XSS napade i druge pretnje.

Cloudflare WAF: Besplatan plan pruža osnovnu zaštitu (pogledajte vodič za podešavanje Cloudflare-a), dok Pro plan ($20/mesec) nudi napredna pravila specifična za WordPress.

Wordfence firewall: Radi na nivou WordPress aplikacije i pruža WordPress-specifičnu zaštitu. Besplatna verzija uključuje osnovna pravila, dok premium verzija dobija real-time ažuriranja.

Sucuri: Cloud-based WAF koji stiti sajt pre nego što saobraćaj stigne do vašeg servera. Posebno efikasan protiv DDoS napada.

Dodatne mere zaštite

Onemogućite XML-RPC: XML-RPC je stari WordPress protokol koji napadaci mogu zloupotrebiti za brute force napade. Ako ga ne koristite (većina sajtova ne koristi), onemogućite ga dodavanjem jedne linije u .htaccess ili koristjenjem Wordfence plugina.

Zabranite editovanje fajlova iz admin panela: Dodajte define('DISALLOW_FILE_EDIT', true); u wp-config.php da sprečite editovanje tema i plugina iz WordPress admin panela. Ako napadac dobije pristup, neće moći da ubaci maliciozan kod direktno.

Redovno ažurirajte WordPress: Svako ažuriranje WordPress-a, tema i plugina zakrpljuje poznate bezbednosne propuste. Razmislite o profesionalnom WordPress održavanju za automatska ažuriranja. Aktivirajte automatska ažuriranja za manje verzije i redovno ručno ažurirajte glavne verzije.

Koristite SSL: HTTPS enkripcija osigurava da se lozinka šalje enkriptovano između pregledaca i servera. Bez SSL-a, neko na istoj mreži može presresti vašu lozinku. BeoHosting nudi besplatnu HTTPS zaštitu uz svaki hosting paket.

Zaključak

Zaštita WordPress sajta od brute force napada zahteva više slojeva odbrane. Kombinacija jakih lozinki, dvofaktorske autentifikacije, ograničenja pokušaja prijavljivanja i firewall-a pruža solidnu zaštitu. Nijedan pojedinačni metod nije dovoljan sam po sebi, ali zajedno čine vaš sajt izuzetno teškim za kompromitovanje. Zapamtite - prevencija je uvek jeftinija od saniranja posledica napada.