Jak ochránit WordPress před brute force útoky

Co je brute force útok?

Brute force útok je metoda, při níž útočník automaticky zkouší tisíce kombinací uživatelských jmen a hesel, dokud nenarazí na to správné. Boti mohou zkoušet stovky přihlášení za minutu a testovat nejběžnější hesla jako „admin123", „heslo" nebo „123456". Protože WordPress používá standardní stránku /wp-login.php, útočníci přesně vědí, kam mířit.

I když se útočníkovi heslo uhodnout nepodaří, samotný objem požadavků může web zpomalit nebo shodit. Proto je ochrana před brute force útoky dvojnásob důležitá - chrání jak vaše data, tak výkon webu.

Změňte výchozí uživatelské jméno administrátora

Pokud váš WordPress účet používá uživatelské jméno „admin", už jste útočníkovi dali polovinu informací, které potřebuje. Vždy používejte unikátní uživatelské jméno, které se snadno neuhodne.

WordPress neumožňuje měnit uživatelské jméno přímo z administrace. Místo toho vytvořte nový účet s právy administrátora a unikátním jménem a poté starý účet „admin" smažte. Při mazání se vás WordPress zeptá, komu má přiřadit obsah starého účtu - zvolte nový účet.

Používejte silná hesla

Silné heslo je první linií obrany. Minimální požadavky:

• Minimálně 12 znaků (ideálně 16+)
• Kombinace velkých a malých písmen, číslic a speciálních znaků
• Nikdy nepoužívejte stejné heslo na více webech
• Vyhněte se slovníkovým slovům, datům narození a osobním údajům

Používejte správce hesel jako Bitwarden nebo 1Password, kteří za vás složitá hesla generují a ukládají. Heslo si nemusíte pamatovat, když ho správce bezpečně uchovává.

Dvoufaktorové ověření (2FA)

Dvoufaktorové ověření přidává druhou vrstvu ochrany, která kromě něčeho, co znáte (heslo), vyžaduje i něco, co máte (telefon). I kdyby útočník vaše heslo uhodl, bez přístupu k telefonu se nepřihlásí.

Doporučené pluginy pro 2FA:

• WP 2FA: Jednoduchý plugin podporující Google Authenticator, Authy a kódy přes e-mail. Bezplatná verze pokryje základní potřeby.
• Wordfence: Kromě 2FA poskytuje kompletní zabezpečení včetně firewallu, skenování malwaru a monitoringu hrozeb v reálném čase.
• miniOrange: Podporuje více metod ověření včetně SMS, e-mailu, push notifikací a hardwarových klíčů.

Nezapomeňte vygenerovat a uložit záložní kódy na bezpečné místo pro případ, že ztratíte přístup k telefonu.

Omezte počet pokusů o přihlášení

Ve výchozím nastavení WordPress umožňuje neomezený počet pokusů o přihlášení. To je jako nechat klíč v zámku a říct zloději „zkoušej, jak chceš". Omezení počtu pokusů je jednou z nejdůležitějších ochran.

Limit Login Attempts Reloaded je nejoblíbenější plugin pro tento účel. Ve výchozím nastavení zablokuje IP adresu po 4 neúspěšných pokusech na 20 minut a po opakovaných blokacích prodlouží dobu na 24 hodin. Tyto hodnoty si můžete přizpůsobit svým potřebám.

Na BeoHostingu je cPHulk Brute Force Protection vestavěná ochrana na úrovni serveru, která automaticky blokuje IP adresy s příliš mnoha neúspěšnými přihlášeními a poskytuje další vrstvu ochrany nezávislou na WordPress pluginech.

Změňte URL přihlašovací stránky

Standardní přihlašovací stránka WordPressu je vždy na /wp-login.php nebo /wp-admin. Změna této URL na něco unikátního (např. /muj-pristup) eliminuje velké množství automatizovaných útoků mířících na standardní cesty.

Plugin WPS Hide Login umožňuje změnit přihlašovací URL jedním kliknutím. Je lehký, neupravuje serverové soubory a je kompatibilní s většinou šablon a pluginů.

Web Application Firewall (WAF)

WAF filtruje škodlivý provoz dřív, než se dostane k vašemu webu. Dokáže rozpoznat a zablokovat brute force útoky, pokusy o SQL injection, XSS útoky a další hrozby.

Cloudflare WAF: Bezplatný tarif poskytuje základní ochranu (viz návod na nastavení Cloudflare), zatímco tarif Pro (20 USD měsíčně) přidává pokročilá pravidla specifická pro WordPress.

Wordfence firewall: Běží na úrovni aplikace WordPress a poskytuje ochranu specifickou pro WordPress. Bezplatná verze obsahuje základní pravidla, zatímco prémiová získává aktualizace v reálném čase.

Sucuri: Cloudový WAF, který chrání web dřív, než se provoz dostane k vašemu serveru. Obzvlášť účinný proti DDoS útokům.

Další ochranná opatření

Vypněte XML-RPC: XML-RPC je starý protokol WordPressu, který útočníci mohou zneužít k brute force útokům. Pokud ho nepoužíváte (většina webů ne), vypněte ho přidáním jediného řádku do .htaccess nebo pomocí pluginu Wordfence.

Zakažte úpravu souborů z administrace: Přidejte define('DISALLOW_FILE_EDIT', true); do wp-config.php, abyste zabránili úpravám šablon a pluginů z administrace WordPressu. Pokud útočník získá přístup, nemůže vložit škodlivý kód přímo.

Pravidelně aktualizujte WordPress: Každá aktualizace WordPressu, šablony a pluginu opraví známé bezpečnostní díry. Zvažte profesionální údržbu WordPressu pro automatizované aktualizace. Zapněte automatické aktualizace pro menší verze a hlavní verze aktualizujte ručně podle pravidelného harmonogramu.

Používejte SSL: Šifrování HTTPS zajistí, že se heslo přenáší mezi prohlížečem a serverem zašifrované. Bez SSL může někdo ve stejné síti vaše heslo odposlechnout. BeoHosting nabízí bezplatnou ochranu HTTPS ke každému hostingovému tarifu.

Závěr

Ochrana WordPress webu před brute force útoky vyžaduje více vrstev obrany. Kombinace silných hesel, dvoufaktorového ověření, omezení počtu pokusů o přihlášení a firewallu poskytuje solidní ochranu. Žádná jednotlivá metoda sama o sobě nestačí, ale dohromady udělají z vašeho webu cíl, který je extrémně těžké kompromitovat. Pamatujte - prevence je vždy levnější než řešení následků útoku.