Kako zaštititi WordPress od brute force napada

Što je brute force napad?

Brute force napad je metoda u kojoj napadac automatski pokusava tisuće kombinacija korisničkih imena i lozinki dok ne pogodi ispravnu. Botovi mogu da pokušaju stotine prijavljivanja u minutu, testirajuci najčešće lozinke poput "admin123", "password" ili "123456". Posto WordPress koristi standardnu /wp-login.php stranicu, napadaci točno znaju gdje da ciljaju.

Čak i ako napadac ne uspije da pogodi lozinku, sam obim zahtjeva može da uspori ili srusi vaš sajt. Zato je zaštita od brute force napada dvostruko važna - stiti i vaše podatke i performanse sajta.

Promijenite podrazumijevani admin username

Ako vaš WordPress nalog koristi korisničko ime "admin", već ste dali napadacu polovinu informacija koje mu trebaju. Uvijek koristite jedinstveno korisničko ime koje nije lako pogoditi.

WordPress ne dozvoljava direktnu promjenu korisničkog imena iz admin panela. Umjesto toga, kreirajte novi nalog sa administratorskim pravima i jedinstvenim imenom, a zatim obrišite stari "admin" nalog. Prilikom brisanja, WordPress će vaš pitati kome da dodijeli sadržaj starog naloga - izaberite novi nalog.

Koristite jake lozinke

Jaka lozinka je prva linija odbrane. Evo minimalnih zahtjeva:

• Minimum 12 karaktera (idealno 16+)
• Kombinacija velikih i malih slova, brojeva i specijalnih karaktera
• Nikada ne koristite istu lozinku na više sajtova
• Izbjegavajte reči iz rečnika, datume rođenja i lične informacije

Koristite menadžere lozinki poput Bitwarden-a ili 1Password-a koji generiraju i čuvaju kompleksne lozinke za vaš. Ne morate da pamtite lozinku ako je menadžer čuva sigurno.

Dvofaktorska autentifikacija (2FA)

Dvofaktorska autentifikacija dodaje drugi sloj zaštite koji zahtjeva nešto što imate (telefon) pored nečega što znate (lozinka). Čak i ako napadac pogodi vašu lozinku, bez pristupa vašem telefonu ne može da se prijavi.

Preporučeni plugini za 2FA:

• WP 2FA: Jednostavan plugin koji podržava Google Authenticator, Authy i email kodove. Besplatna verzija pokriva osnovne potrebe.
• Wordfence: Pored 2FA, nudi kompletnu sigurnosnu zaštitu uključujući firewall, skeniranje malvera i real-time praćenje pretnji.
• miniOrange: Podržava više metoda autentifikacije uključujući SMS, email, push notifikacije i hardverske kljuceve.

Obavezno generirate i sačuvajte rezervne kodove (backup codes) na sigurnom mjestu za slučaj da izgubite pristup telefonu.

Ogranicite pokušaje prijavljivanja

Podrazumijevano, WordPress dozvoljava neograničen broj pokušaja prijavljivanja. Ovo je kao da ostavite ključ u bravi i kazete lopovu "pokusavaj koliko hoces". Ogranicavanje pokušaja je jedna od najvažnijih mjera zaštite.

Limit Login Attempts Reloaded je najpopularniji plugin za ovu namenu. Podrazumijevano blokira IP adresu nakon 4 neuspješna pokušaja na 20 minuta, a poslije ponovljenih blokada produzava vrijeme na 24 sata. Možete podesiti ove vrijednosti prema vašim potrebama.

Na BeoHosting-u, cPHulk Brute Force Protection je ugradena zaštita na nivou servera koja automatski blokira IP adrese sa previše neuspješnih pokušaja prijavljivanja, pružajuci dodatni sloj zaštite neovisno od WordPress plugina.

Promjena URL-a login stranice

Standardna WordPress login stranica je uvijek na /wp-login.php ili /wp-admin. Promjena ovog URL-a na nešto jedinstveno (npr. /moj-pristup) eliminise veliki broj automatizovanih napada koji ciljaju standardne putanje.

Plugin WPS Hide Login omogućava promjenu login URL-a jednim klikom. Lagan je, ne mijenja fajlove na serveru i kompatibilan je sa uglavnom tema i plugina.

Web Application Firewall (WAF)

WAF filtrira maliciozni promet prije nego što stigne do vašeg sajta. Može da prepozna i blokira brute force napade, SQL injection pokušaje, XSS napade i druge pretnje.

Cloudflare WAF: Besplatan plan pruža osnovnu zaštitu (pogledajte vodič za podešavanje Cloudflare-a), dok Pro plan ($20/mjesec) nudi napredna pravila specifična za WordPress.

Wordfence firewall: Radi na nivou WordPress aplikacije i pruža WordPress-specifičnu zaštitu. Besplatna verzija uključuje osnovna pravila, dok premium verzija dobija real-time ažuriranja.

Sucuri: Cloud-based WAF koji stiti sajt prije nego što promet stigne do vašeg servera. Posebno efikasan protiv DDoS napada.

Dodatne mjere zaštite

Onemogućite XML-RPC: XML-RPC je stari WordPress protokol koji napadaci mogu zloupotrebiti za brute force napade. Ako ga ne koristite (većina sajtova ne koristi), onemogućite ga dodavanjem jedne linije u .htaccess ili koristjenjem Wordfence plugina.

Zabranite editovanje fajlova iz admin panela: Dodajte define('DISALLOW_FILE_EDIT', true); u wp-config.php da spriječite editovanje tema i plugina iz WordPress admin panela. Ako napadac dobije pristup, neće moći da ubaci maliciozan kod direktno.

Redovno ažurirajte WordPress: Svako ažuriranje WordPress-a, tema i plugina zakrpljuje poznate sigurnosne propuste. Razmislite o profesionalnom WordPress održavanju za automatska ažuriranja. Aktivirajte automatska ažuriranja za manje verzije i redovno ručno ažurirajte glavne verzije.

Koristite SSL: HTTPS enkripcija osigurava da se lozinka šalje enkriptovano između preglednika i servera. Bez SSL-a, neko na istoj mreži može presresti vašu lozinku. BeoHosting nudi besplatnu HTTPS zaštitu uz svaki hosting paket.

Zaključak

Zaštita WordPress sajta od brute force napada zahtjeva više slojeva odbrane. Kombinacija jakih lozinki, dvofaktorske autentifikacije, ograničenja pokušaja prijavljivanja i firewall-a pruža solidnu zaštitu. Nijedan pojedinačni metod nije dovoljan sam po sebi, ali zajedno čine vaš sajt izuzetno teškim za kompromitovanje. Zapamtite - prevencija je uvijek jeftinija od saniranja posljedica napada.