Kako zaštititi WordPress od brute force napada

Šta je brute force napad?

Brute force napad je metoda u kojoj napadač automatski pokušava hiljade kombinacija korisničkih imena i lozinki dok ne pogodi ispravnu. Botovi mogu da pokušaju stotine prijavljivanja u minutu, testirajuci najčešće lozinke poput "admin123", "password" ili "123456". Posto WordPress koristi standardnu /wp-login.php stranicu, napadači tačno znaju gdje da ciljaju.

Čak i ako napadač ne uspje da pogodi lozinku, sam obim zahteva može da uspori ili sruši vaš sajt. Zato je zaštita od brute force napada dvostruko važna - štiti i vaše podatke i performanse sajta.

Promijenite podrazumevani admin username

Ako vaš WordPress nalog koristi korisničko ime "admin", već ste dali napadaču polovinu informacija koje mu trebaju. Uvijek koristite jedinstveno korisničko ime koje nije lako pogoditi.

WordPress ne dozvoljava direktnu promjenu korisničkog imena iz admin panela. Umjesto toga, kreirajte novi nalog sa administratorskim pravima i jedinstvenim imenom, a zatim obrišite stari "admin" nalog. Prilikom brisanja, WordPress će vaš pitati kome da dodeli sadržaj starog naloga - izaberite novi nalog.

Koristite jake lozinke

Jaka lozinka je prva linija odbrane. Evo minimalnih zahteva:

• Minimum 12 karaktera (idealno 16+)
• Kombinacija velikih i malih slova, brojeva i specijalnih karaktera
• Nikada ne koristite istu lozinku na više sajtova
• Izbjegavajte riječi iz rječnika, datume rođenja i lične informacije

Koristite menadžere lozinki poput Bitwarden-a ili 1Password-a koji generišu i čuvaju kompleksne lozinke za vaš. Ne morate da pamtite lozinku ako je menadžer čuva bezbjedno.

Dvofaktorska autentifikacija (2FA)

Dvofaktorska autentifikacija dodaje drugi sloj zaštite koji zahteva nešto što imate (telefon) pored nečega što znate (lozinka). Čak i ako napadač pogodi vašu lozinku, bez pristupa vašem telefonu ne može da se prijavi.

Preporučeni plugini za 2FA:

• WP 2FA: Jednostavan plugin koji podržava Google Authenticator, Authy i email kodove. Besplatna verzija pokriva osnovne potrebe.
• Wordfence: Pored 2FA, nudi kompletnu bezbjednosnu zaštitu uključujući firewall, skeniranje malvera i real-time praćenje pretnji.
• miniOrange: Podržava više metoda autentifikacije uključujući SMS, email, push notifikacije i hardverske ključeve.

Obavezno generišete i sačuvajte rezervne kodove (backup codes) na sigurnom mjestu za slučaj da izgubite pristup telefonu.

Ogranicite pokušaje prijavljivanja

Podrazumevano, WordPress dozvoljava neograničen broj pokušaja prijavljivanja. Ovo je kao da ostavite ključ u bravi i kažete lopovu "pokusavaj koliko hoces". Ogranicavanje pokušaja je jedna od najvažnijih mjera zaštite.

Limit Login Attempts Reloaded je najpopularniji plugin za ovu namjenu. Podrazumevano blokira IP adresu nakon 4 neuspešna pokušaja na 20 minuta, a poslije ponovljenih blokada produzava vrijeme na 24 sata. Možete podesiti ove vrijednosti prema vašim potrebama.

Na BeoHosting-u, cPHulk Brute Force Protection je ugradena zaštita na nivou servera koja automatski blokira IP adrese sa previše neuspešnih pokušaja prijavljivanja, pružajuci dodatni sloj zaštite nezavisno od WordPress plugina.

Promjena URL-a login stranice

Standardna WordPress login stranica je uvijek na /wp-login.php ili /wp-admin. Promjena ovog URL-a na nešto jedinstveno (npr. /moj-pristup) eliminiše veliki broj automatizovanih napada koji ciljaju standardne putanje.

Plugin WPS Hide Login omogućava promjenu login URL-a jednim klikom. Lagan je, ne menja fajlove na serveru i kompatibilan je sa većinom tema i plugina.

Web Application Firewall (WAF)

WAF filtrira maliciozni saobraćaj pre nego što stigne do vašeg sajta. Može da prepozna i blokira brute force napade, SQL injection pokušaje, XSS napade i druge pretnje.

Cloudflare WAF: Besplatan plan pruža osnovnu zaštitu (pogledajte vodič za podešavanje Cloudflare-a), dok Pro plan ($20/mesec) nudi napredna pravila specifična za WordPress.

Wordfence firewall: Radi na nivou WordPress aplikacije i pruža WordPress-specifičnu zaštitu. Besplatna verzija uključuje osnovna pravila, dok premium verzija dobija real-time ažuriranja.

Sucuri: Cloud-based WAF koji štiti sajt pre nego što saobraćaj stigne do vašeg servera. Posebno efikasan protiv DDoS napada.

Dodatne mjere zaštite

Onemogućite XML-RPC: XML-RPC je stari WordPress protokol koji napadači mogu zloupotrebiti za brute force napade. Ako ga ne koristite (većina sajtova ne koristi), onemogućite ga dodavanjem jedne linije u .htaccess ili koristjenjem Wordfence plugina.

Zabranite editovanje fajlova iz admin panela: Dodajte define('DISALLOW_FILE_EDIT', true); u wp-config.php da spriječite editovanje tema i plugina iz WordPress admin panela. Ako napadač dobije pristup, neće moći da ubaci maliciozan kod direktno.

Redovno ažurirajte WordPress: Svako ažuriranje WordPress-a, tema i plugina zakrpljuje poznate bezbjednosne propuste. Razmislite o profesionalnom WordPress održavanju za automatska ažuriranja. Aktivirajte automatska ažuriranja za manje verzije i redovno ručno ažurirajte glavne verzije.

Koristite SSL: HTTPS enkripcija osigurava da se lozinka šalje enkriptovano između pregledača i servera. Bez SSL-a, neko na istoj mreži može presresti vašu lozinku. BeoHosting nudi besplatnu HTTPS zaštitu uz svaki hosting paket.

Zaključak

Zaštita WordPress sajta od brute force napada zahteva više slojeva odbrane. Kombinacija jakih lozinki, dvofaktorske autentifikacije, ograničenja pokušaja prijavljivanja i firewall-a pruža solidnu zaštitu. Nijedan pojedinačni metod nije dovoljan sam po sebi, ali zajedno čine vaš sajt izuzetno teškim za kompromitovanje. Zapamtite - prevencija je uvijek jeftinija od saniranja posljedica napada.