A bejelentkezési oldalak védelme a brute force támadásoktól

előzőa következő

Minden webhely bizonyos mértékig, időszakosan vagy tartósan különböző támadásoknak van kitéve a hackerek ellen. Az egyik leggyakoribb támadás a jelszavak kiválasztása a webes erőforrás - Brute Force (bruteforce) támadások megadásához. Az ilyen típusú támadások az oldal bejelentkezési oldalain voltak, mindig és mindig. Ezek elleni küzdelem lehetséges és szükséges, annak ellenére is, hogy a védelem 100% -a senki sem tud biztosítani.








Ebben a cikkben megvizsgáljuk a BulletProof Security Pro fórum számos ajánlását a WordPress blogjainak védelme érdekében a bejelentkezési oldalak és regisztrálások brutális támadásaival szemben. És bár a WordPress példáit itt tárgyaljuk, ugyanazokat a módszereket sikeresen alkalmazhatjuk bármely más webhelytípusra, amelyekre csak a megfelelő javításokat kell elvégeznünk.

Figyelem!
Mielőtt elkezdi a kísérleteket, győződjön meg róla, hogy a .htaccess webhely gyökérfájlja és az aktuális WordPress blog fájljai legalább (FTP vagy SSH) vagy a tárhely adminisztrációs panelén keresztül férnek hozzá (szerkeszthetőséggel).

A protokollon alapuló belépési bejelentések vagy bejelentések külsők számára

Ez a módszer lehetővé teszi, hogy blokkolja az automatizált Brute Force támadások több mint 90% -át, mivel a HTTP / 1.0 verzió protokoll jellemző az automatizált brute-force támadásokra.

Miután hozzáadta ezt a kódot a .htaccess fájlhoz, a blog bejelentkezési oldalához (wp-login.php) való hozzáférés minden HTTP / 1.0 protokollt használó kérés számára blokkolódik.

Ha még mindig nem tud bejelentkezni a webhelyére, és nem fér hozzá a fájlokhoz az FTP vagy az SSH használatával, akkor segítséget kell kérnie a tárhely támogatási szolgálatához.







Az IP-hozzáférés és a protokoll blokkolása kombinálva

Engedély a belépési oldal eléréséhez csak magának

Ez a módszer a kiegészítő paraméter (vagy több paraméter) ellenőrzésén alapszik. Például:

Természetesen a SecretKey = 25637653269 mellett más paraméternév és értékek is használhatók, saját belátása szerint.
A javasolt módszer végrehajtásához ehhez hasonló kódot kell hozzáadnia a blog funkcióihoz.php file:

Amikor ezt a kódot használod, minden kérelmet a wp-login.php oldalra. amelyben nincs vagy nem egyezik a SecretKey = 25637653269. automatikusan át lesz irányítva a blog főoldalára. A Brute Force támadások bejelentkezési oldalainak védelmére szolgáló módszer használatával ne felejtse el megváltoztatni a SecretKey kérelmek 25637653269 kulcsérték-párját többször. és próbálja meg használni a legegyedibb neveket és jelentéseket számukra.

Hasonló tárgyak egyéb cikkei:

Nos, a leginkább "hűvös" védelem a bejelentkezési kísérletek ellen törölni, átnevezni vagy üresen (valami ilyesmi