SitePoint — איך להתמודד מול התקפות Brute Force באתרי WordPress
בעולם שבו אתר WordPress הוא הפנים הדיגיטליות של העסק שלך, SitePoint מספקת פתרונות הגנה חכמים המאפשרים למנוע ניסיונות Brute Force ולשמור על ממשק הניהול מאובטח למורשים בלבד.
"הגנה על ממשק הניהול היא הצעד הראשון להבטחת האתר והמידע הקריטי שבו."
מהם התקפות Brute Force?
התקפות Brute Force הן ניסיונות חוזרים ונשנים לפרוץ לחשבונות משתמשים דרך ממשק הניהול, לרוב על קובץ wp-login.php. התקפות אלו נעשות חכמות יותר עם שימוש בסקריפטים מתוחכמים שיכולים לעקוף הגנות קיימות.
סקריפטים להגנה בסיסית על WordPress
גישה למורשים בלבד: שימוש ב-htpasswd כדי להגביל את הגישה ל-/wp-admin/ למשתמשים מורשים בלבד:
# Protect /wp-admin/ through htpasswd
<Files wp-login.php>
AuthUserFile ~/.htpasswd
AuthName "Private access"
AuthType Basic
require user mysecretuser
</Files>חסימת גישה לפי IP: ניתן לאפשר גישה רק מטווחי IP רצויים:
# For multiple IP addresses
<FilesMatch "wp-login.php">
Order Deny,Allow
deny from all
allow from XXX.XXX.XXX.XX
allow from XXX.XXX.XX.X
</FilesMatch>חסימת התקפה על wp-login.php: סקריפט mod_rewrite לאיפוס ניסיונות POST זדוניים:
# Apache wp-login
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login)\.php*
RewriteCond %{HTTP_REFERER} !.*example.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) http://%{REMOTE_ADDR}/$1 [R=301,L]
</IfModule>חסימת xmlrpc.php: מונע ניצול של xmlrpc עבור התקפות מרובות:
# htaccess Deny xmlrpc.php
<FilesMatch "xmlrpc.php">
Order Deny,Allow
deny from all
</FilesMatch>טיפים נוספים לאבטחת WordPress
- עדכוני מערכת ותוספים: הקפדה על עדכונים שוטפים.
- ניהול סיסמאות: שימוש בסיסמאות חזקות ושונות לכל משתמש.
- גיבויים תקופתיים: שמירת מידע במקום מאובטח למקרי חירום.
- מעקב אחר פעילות חריגה: ניטור ניסיונות כניסה חשודים באמצעות תוספים ייעודיים.
לסיכום
סקריפטים אלו ושימוש בהגנות נוספות מאפשרים לאבטח את אתר WordPress שלך מפני התקפות Brute Force. למידע נוסף, ייעוץ והטמעה מקצועית, ניתן לפנות למשרדינו בטלפון 077-544-7497.
