ДОСТИГНУТО:

01.11.2016-300 страниц в индексе Google;
19.01.2017-300 страниц в индексе Яндекса;
03.02.2017-40 ТИЦ;
05.02.2017- сайт принят в DMOZ каталог;

Защита страниц логина от Brute Force атак

.

brutЗащита страниц логина от Brute Force атак

Приветствую тебя на страницах своего блога дорогой друг!

Каждый сайт в той или иной степени, периодически или постоянно, подвергается различным атакам хакеров. Одной из наиболее распространенных атак является подбор паролей для входа на веб-ресурс — Brute Force (брутфорс) атаки. Атаки такого рода на страницы логинов сайтов были, есть и по видимому будут всегда. Бороться с ними можно и нужно, даже не взирая на то, что 100% защиты никто не сможет предоставить.

В данной заметке мы рассмотрим несколько рекомендаций с форума BulletProofSecurity Pro по защите блогов на WordPress от брутфорс-атак на страницы логина и регистраций. И хотя здесь будут рассмотрены примеры касательно WordPress, но те же методы с успехом могут применяться на любых других типах сайтов, для чего понадобится всего лишь внести соответствующие поправки в код.

Внимание!
Перед началом экспериментов убедитесь, что у Вас есть доступ (с возможностью редактировать) к корневому файлу сайта .htaccess и к файлам текущей темы блога WordPress как минимум по FTP или SSH, или из админ-панели хостинга.

Ограничение для логина или регистраций по IP-адресам

В предлагаемом примере защита страниц для логина/регистрации блога от Brute Force атак осуществляется с помощью .htaccess на основе IP-адресов.

Имейте ввиду, что даже легальные пользователи сайта, у которых IP адрес не будет соответствовать IP адресу (или диапазону адресов подсети), прописанному в коде, не смогут залогиниться на сайте.
Однако в код можно добавить (если это действительно нужно) дополнительные IP-адреса, как полные, так и по группам из 2-х или 3-х октетов.

В соответствии с кодом файла .htaccess данного примера доступ к странице логина сайта будет доступен только для:
домена «yourdomain.ru»;
 — сервера, на котором находится сайт с IP 69.200.95.111;
 — всех IP адресов подсети 65.100.50.xxx

Внимание!
Если после использования защиты от Brute Force атак предложенным методом на основе IP-адресов Вы не смогли залогиниться на свой сайт  или блог , то вероятнее всего IP вашего сайта изменяется динамически, причем в широком диапазоне. Следовательно такой тип защиты Вам может не подойти, но можно воспользоваться другим методом, на основе протокола.

Запрет логина или регистраций для посторонних на основе протокола

Данный метод позволит заблокировать более 90% попыток автоматизированных Brute Force атак, так как именно протокол версии HTTP/1.0 является типичным для автоматизированных брутфорс-атак.

После добавления этого кода в файл .htaccess доступ к странице логина блога (wp-login.php) будет заблокирован для всех запросов, использующих протокол HTTP/1.0.

Если Вы не можете войти на сайт после ограничение по IP-адресам

1) Зайдите на свой сайт по FTP или SSH и скачайте себе на локальный компьютер файл .htaccess из корневой директории сайта.

2) Отредактируйте .htaccess с помощью редактора Notepad или Notepad++ (но только не используйте для редактирования файла .htaccess редакторы MS Word или WordPad, так как они могут повредить структуру .htaccess).
3) Замените код Ограничение для логина или регистраций по IP-адресам  на код Запрет логина или регистраций для посторонних на основе протокола;
4) Загрузите измененный файл .htaccess снова в корневую директорию своего сайта.

Если все же Вы не смогли залогиниться на свой сайт и у Вас нет доступа к его файлам по FTP или SSH, то тогда уж придется обращаться за помощью к службе поддержки хостинга.

Комбинирование блокировки доступа по IP и протоколу

Если страница логина была запрошена по протоколу HTTP 1.0 (который часто используют брутфорс-боты) или IP-адрес не совпадает с вашим IP (конкретным IP или по маске подсети), то доступ к странице логина будет запрещен.

Вместо xxx\.xxx\.xxx нужно будет прописать соответственно необходимые Вам октеты IP-адресов.

Разрешение доступа к странице логина только для себя

Этот метод основан на проверке дополнительного параметра (или нескольких параметров) в запросе.

Например таком:

http://www.yourdomain.ru/wp-login.php?SecretKey=25637653269

Естественно, что кроме SecretKey=25637653269 Вы можете использовать другое имя параметра и его значения, по вашему усмотрению.
Для реализации предлагаемого метода нужно в файл functions.php активной темы вашего блога добавить код, подобный этому:

При использования этого кода все запросы к странице wp-login.php, в которых отсутствует или не совпадает SecretKey=25637653269, будут автоматически перенаправлены на главную страницу блога. Используя данный метод защиты страниц логина от Brute Force атак не забывайте на всякий случай почаще менять пары ключ-значение для запросов SecretKey=25637653269, и к тому же старайтесь использовать для них наиболее уникальные имена и значения.

Примечание:
Если при использовании защиты страницы логина на основе ключа в запросе Вы будете получать предупреждение типа «Warning: Cannot modify header information — headers already sent …», то можно закомментировать строку «header ( ‘Location: http://’ . $_SERVER['SERVER_NAME'] . ‘/’ );» и вместо нее использовать конструкцию exit;.

Ну вот и все.Не забываем подписываться , комментировать данную статью и лайкать.

БЕРЕГИТЕ СЕБЯ!




лайк

Эти красотки хотят чтобы ты их жестко лайкнул и даже несколько раз твитнул!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *