Предотвращение нападения грубой силы

Я уже использовал Limit Login Attempts wordpress plugin. Существуют ли другие способы предотвращения нападений с применением грубой силы?

Я волнуюсь, потому что видел много запертых.

Solutions Collecting From Web of "Предотвращение нападения грубой силы"

Атаки грубой силы запускаются с сильно автоматизированными сценариями. Эти сценарии сосредоточены на регулярных установках; большинство из них не могут обрабатывать изменения в обычном процессе входа ( пример ).

Вы не можете останавливать запросы на странице входа, но вы можете изменить способ работы с регистрацией, поэтому сценарий должен учитывать вашу конкретную ситуацию. Почти все скрипты терпят неудачу.

Пример:

На wpkrauts.com я запускаю настраиваемый плагин для регистрации подозрительного поведения. Он имеет встроенный трекер регистрации и может временно блокировать IP-адреса.

скриншот входа в систему

У плагина все еще есть некоторые проблемы с пользовательским интерфейсом, поэтому я не опубликовал его для публики. 🙂

4 июня я установил еще один плагин , для которого требуется щелчок. Флажок установлен с JavaScript, и его имя зависит от сайта:

  if ( defined( 'LOGGED_IN_SALT' ) ) $salt = LOGGED_IN_SALT; else $salt = filemtime( __FILE__ ); $this->unique = md5( $_SERVER[ 'HTTP_HOST' ] . $salt ); 

Первый плагин не заблокировал ни одного IP с этого дня, потому что ни один скрипт не смог проанализировать очень простой JavaScript. Идея здесь такова: даже если атакующий скрипт правильно угадывает пароль, он никогда не узнает.

Атаки грубой силы основываются на стандартных установках. Измените стандарт, и атака, вероятно, потерпит неудачу.


Замечание о попытках входа в лимит: этот плагин сохраняет все зарегистрированные IP-адреса в одной опции, которая должна быть деактивирована / сериализована. Этот список может быть довольно длинным через некоторое время, включая десять тысяч адресов. Я бы этого не использовал.
Более эффективным способом является поиск только одного IP-адреса из отдельной таблицы.


Связано: Увеличение неудачных попыток входа в систему, атаки с использованием грубой силы?

Существует также двухфакторная аутентификация Duo, поэтому вам необходимо подключиться к стороннему сервису, но, похоже, хорошо работает для моего личного блога. Я попробовал его с помощью приложения WordPress BlackBerry и не смог его подключить. Но это может быть хорошим вариантом.

В чем вас беспокоит локаут? Есть ли особенности, которые вы ищете? Мне нравится Limit Logins для его простоты.

Тем не менее, Limit Logins не имеет возможности разблокировать определенный IP-адрес, который является обломком. Есть несколько подобных плагинов, но если вы не возражаете над дополнительными функциями (которые в любом случае хороши для безопасности), я очень люблю WordFence ( http://wordpress.org/plugins/wordfence/ ).

Мне особенно нравятся функции дросселирования трафика, которые помогают плохим ботам вести себя, когда они хотят обходить ваш сайт. И, конечно же, он имеет защиту от грубой силы, а также множество других встроенных функций безопасности.

Ты это пробовал?

Я недавно атаковал, и ограничить попытки входа в систему и блокирование стран временно было всем необходимым. Я думаю, что если бы у меня были неоднократные попытки, которые были очень раздражающими, я бы сделал что-то более радикальное, как изменение процесса входа в систему. Я бы не стал затруднять регистрацию себя каждый раз, хотя.

Я слышал о защите паролем wp-login. Это эффективно?

Вот опыт, который у меня был с грубой силой, и как я использовал Wordfence и Cloudflare для управления им: http://webeminence.com/brute-force-wordpress-login/

Вы должны полностью предотвратить атаки грубой силы на уровне сервера / сети.

Поскольку большинство людей не имеют доступа к сети, некоторые варианты:

1- Если у вас нет доступа к серверу или вы просто хотите использовать стороннее приложение, Cloudflare остановит некоторые атаки с использованием грубой силы, особенно от ботов, трогающих сеть в массовом порядке.

2- Вы можете защитить паролем страницу входа, используя файл .htpasswd Apache.

  <Files wp-login.php> AuthUserFile ~/.htpasswd AuthName “Private access” AuthType Basic require user mysecretuser </Files> 

Вы можете больше узнать о настройке его здесь . Вы также можете ограничить логины на 1 IP-адрес, используя файл .htaccess .

3- Вы можете настроить брандмауэр серверов для чтения непосредственно из неудавшихся попыток и блокировать IP-адреса с помощью правил. Это может управляться аналогично попыткам входа в систему, но намного быстрее и имеет много других функций. 3 варианта, которые можно комбинировать или использовать вместе (лучше).

  • IPTables
  • fail2ban
  • ModSecurity

Существует плагин WP, который будет записывать неудавшиеся логины в Fail2Ban: http://wordpress.org/plugins/wp-fail2ban/

Сообщение о том, как настроить Mod_Security для неудачных входов: http://blog.spiderlabs.com/2013/04/defending-wordpress-logins-from-brute-force-attacks.html

Также некоторые хозяева должны атаковать с применением грубой силы, вы должны спросить их, какие меры у них есть и что еще не сделано.