Каждый раз при регистрации учётной записи администратора или нового автора сайта на WordPress, этот движок в первую очередь предлагает придумать хороший пароль. Почему так важно обратить особое внимание на этот аспект безопасности веб-проекта?
Всё дело в том, что WordPress является заложником своей популярности. На его основе реализовано огромное количество сайтов, которые совокупно привлекают миллионы посетителей ежедневно. Именно их данные, прежде всего платёжные и персональные, становятся лакомой добычей для компьютерных злоумышленников.
Самым частым направлением для их атак является доступ к административной панели. Как правило, взлому подвержены те проекты, создатели которых используют короткие или стандартные пароли — их легче всего подобрать элементарным перебором. Чтобы этого не случилось, вам просто необходима надёжная парольная комбинация.
В этой статье мы расскажем про основные правила составления устойчивого ко взлому пароля, а также попутно коснёмся других правил безопасной эксплуатации сайтов на WordPress.
Меняем пароль WordPress на новый
Первым делом после осознания проблемы со слабыми паролями, которые используются в вашем проекте, вы должны сменить их на более сложные. Сделать это очень просто — достаточно перейти в административную панель и зайти в раздел управления пользователями.
Во время ввода новой защитной комбинации WordPress будет активно подсказывать вам, каким стандартам должен соответствовать пароль. Игнорировать их не стоит, поскольку эта информация действительно полезна и обладает высокой ценностью.
Правила составления хорошего пароля
Даже если вы будете следовать только стандартным рекомендациям WordPress, вы получите пароль, который нельзя взломать за разумное время. Дополнительно рекомендуем соблюдать следующие правила:
- не бойтесь длинных паролей — для их хранения удобно пользоваться специальными онлайн-сервисами и программами-менеджерами;
- не привязывайтесь к общеупотребительным словам, а также к личным именам и датам, которые легко узнать;
- избегайте стандартных сочетаний и последовательностей, например, qwerty или 12345678.
- используйте всю мощь алфавита — сочетайте маленькие и большие буквы, а также цифры и специальные символы;
- помните, лучший пароль тот, который вам самому будет сложно запомнить;
- никогда не используйте старую версию пароля в качестве обновления, поскольку есть вероятность, что он был скомпрометирован.
Защита от перебора паролей
В реальности злоумышленники почти никогда не будут пользоваться ручным перебором. Опираясь на похищенные базы данные, они составляют словари наиболее вероятных паролей и пишут программный код, который будет их перебирать в автоматическом режиме.
Если ваш пароль состоит из пары десятков символов, то при актуальном уровне развития вычислительной техники на его подбор могу уйти многие годы. Если же пароль короткий, то всегда лучше подстраховаться, то есть ограничить количество попыток логина.
Для этого мы будем использовать плагин Login LockDown. Если заглянуть в его настройки, то там можно изменить все его основные параметры:
- задать число ошибочных попыток ввода пароля, после которых вступят в силу ограничения;
- период времени в минутах между неудачными попытками ввода пароля;
- количество минут для блокировки IP-адреса, с которого были зафиксированы попытки подбора пароля;
- включить режим блокировки, если была обнаружена ошибка в имени пользователя;
- выбирать содержимое сообщения, которое будет отображаться при неудачном вводе пароля.
Дополнительные меры безопасности
Сложные пароли — только один из аспектов безопасности проекта. В каждый момент времени вы должны помнить о других угрозах, а также пока ещё неизвестных методах атак. Чтобы повысить общую безопасность сайта, следуйте дополнительным рекомендациям:
- регулярно меняйте пароли, даже если вы считаете, что они полностью безопасны;
- позаботьтесь о том, чтобы все авторы и модераторы вашего сайта также получили надёжные пароли;
- не используйте учётную запись с полными полномочиями администратора, если для конкретной задачи подходит «учётка» с меньшими правами;
- следите за новостями из области информационной безопасности — в них может быть свежая информация о новых уязвимостях, а также о крупных утечках баз с паролями;
- поддерживайте движок и плагины в актуальном состоянии — устанавливайте последние обновления с важными исправлениями;
- избегайте посещения подозрительных сайтов и не ходите по ссылкам от неизвестных отправителей.
Если администратору требуется обеспечить надёжность паролей сразу для множества пользователей, то нет смысла делать это в ручном режиме. Использование плагина Wordfence позволяет автоматизировать такие проверки. Кстати, этот модуль также выполняет роль firewall и сканера вредоносных программ, что также помогает обеспечить безопасность сайта.
Полезно: iThemes Security как стандарт безопасности для сайта
Настраиваем двойную проверку входа
Хорошей идеей является внедрение двойной проверки при входе в административную панель сайта. Если в качестве первого фактора при таком подходе используется привычный пароль, то в качестве дополнительного — уникальная комбинация из SMS, push-уведомления или специального приложения.
Чтобы злоумышленнику взломать такую защиту, ему потребуется не только узнать основной пароль, но и получить контроль над вашим телефоном или SIM-картой. Сделать это будет очень сложно, а поэтому данный метод является одним из самых мощных способов усилить безопасность сайта.
Добавить такую возможность можно с помощью плагинов Duo Two-Factor Authentication или «Двухфакторная Аутентификация». Оба позволяют добавить ещё один слой безопасности для администратора и пользователя, помимо привычного пароля.
Модули активно поддерживаются разработчиками, которые регулярно выпускают новые версии. Это является дополнительным стимулом к их установке, поскольку даёт хоть какую-то уверенность в своевременном устранении уязвимостей.
Для получения дополнительного пароля в Duo Two-Factor Authentication предлагается использовать мобильное приложение, SMS или аппаратный генератор кодов. Модуль отличается простыми настройками, но имеет ограничения по функциональности.
«Двухфакторная Аутентификация» задействует возможности Google Authenticator, а также поддерживает популярные плагины для электронной коммерции WooCommerce. Кроме того, этот плагин обладает премиальной версией с дополнительными возможностями. Расширенный функционал позволяет выпускать коды для экстренного восстановления доступа, а также видеть коды для доступа всех пользователей. У модуля есть русский перевод, а также поддержка всех актуальных версий WordPress от 3.4 до 5.6.1.
Заключение
Перечисленные в статье методы защиты учётной записи WordPress с помощью создания надёжного пароля помогут вам уберечься от одного из самых популярных способов взлома. К сожалению, только один хороший пароль не сможет обеспечить полную защиту проекта. К безопасности сайта необходимо подходить комплексно, соблюдая дополнительные меры, например, настроить автообновления движка, тем и других подключаемых модулей, а также подключить двойную аутентификацию.