Làm thế nào để bảo vệ WordPress khỏi các cuộc tấn công Brute Force?

Tấn công một trang web bằng Brute Force là một kỹ thuật cũ và vẫn tồn tại trên Internet.

Các cuộc tấn công của Brute Force có thể làm sập trang web của bạn và làm gián đoạn hoạt động kinh doanh trực tuyến của bạn nếu không có công cụ phòng ngừa cần thiết.

Tấn công Brute Force có thể được áp dụng bằng cách sử dụng con người hoặc bot bằng cách liên tục cố gắng đăng nhập với thông tin đã đoán vào trang web WordPress của bạn.

Điều này trở nên tồi tệ hơn khi trang đăng nhập không được bảo vệ và một số nghiên cứu đã nhận thấy hàng ngàn lần đăng nhập vào wp-login.php mỗi phút.

Hãy xem biểu đồ của SUCURI.

sucuri-wordpress-vũ phu

Hơn 1 triệu cuộc tấn công mỗi giờ!

sucuri mỗi giờ

Thật là lớn!

Vài ngày trước, Tài nhận được 42 email thông báo về việc khóa trang web do các cuộc tấn công vũ phu. Vì vậy, điều này có thể xảy ra với bạn.

Có nhiều cách để ngăn chặn các cuộc tấn công vũ phu; Đây là một số trong số họ, mà bạn có thể làm theo.

Ẩn đăng nhập WordPress

Một trong những điều đầu tiên sau khi thiết lập trang web của bạn, bạn nên xem xét thực hiện là ẩn khu vực đăng nhập.

Theo mặc định, một trang đăng nhập WordPress có sẵn như sau:

  •  /wp-login.php
  • /đăng nhập
  • / wp-admin
  • /quản trị viên

Biết các công nghệ bạn đang sử dụng là dễ dàng những ngày này.

Vì vậy, nếu kẻ xấu biết bạn đang sử dụng WordPress và khu vực đăng nhập không bị ẩn, thì chúng có thể dễ dàng truy cập trang đăng nhập và chuẩn bị cho một cuộc tấn công vũ phu.

Hãy ẩn khu vực đăng nhập WordPress bằng các plugin sau. Bạn có thể sử dụng bất kỳ một trong số họ.

WPS Ẩn Đăng nhập

WPS Hide Login là một plugin nhẹ với hoạt động được cài đặt hơn 400.000 . Plugin này sẽ giúp bạn thay đổi URL đăng nhập thành bất cứ điều gì bạn muốn.

Sau khi thay đổi URL đăng nhập, nếu ai đó cố gắng truy cập wp-admin / wp-login.php / login / admin, thì nó sẽ ném trang lỗi 404.

iTheme Security

Một plugin cao cấp cung cấp bảo vệ bảo mật WP toàn diện.

iTheme Security. Một số tính năng đáng chú ý là:

  • Khóa người dùng đáng ngờ
  • Ẩn URL đăng nhập
  • Xác thực hai lớp
  • Quét phần mềm độc hại
  • Sao lưu cơ sở dữ liệu

Với thiết lập tối thiểu, bạn tốt để đi.

Malcare

GDPR đã sẵn sàng, Malcare là một plugin bảo vệ bảo mật tất cả trong một cho WordPress. Nó cung cấp bảo vệ đăng nhập suốt ngày đêm và giữ lưu lượng độc hại đi.

Không chỉ bảo vệ bằng vũ lực, mà Malcare còn cung cấp các tính năng khác như quét phần mềm độc hại, loại bỏ mã độc, tường lửa web thông minh, làm cứng bằng một cú nhấp chuột, v.v. Bạn có thể bắt đầu với mức giá thấp nhất là $ 99 mỗi năm. Đầu tư giá trị của nó để đảm bảo kinh doanh trực tuyến của bạn.

Thực hiện xác thực 2 yếu tố

Xác thực 2 yếu tố bổ sung thêm một lớp bảo mật cho trang web WordPress của bạn. Cùng với thông tin đăng nhập của bạn, bạn cũng cần cung cấp mật khẩu một lần (OTP).

Điều này có thể đạt được bằng cách sử dụng các plugin sau.

Xác thực 2 Lớp

Một plugin tuyệt vời và nhẹ cho phép bạn triển khai xác thực hai yếu tố cho quản trị viên, cộng tác viên WP, v.v.

Bạn có thể thiết lập xác thực dựa trên email, Google Authenticator, U2F dựa trên email.

Trình xác thực Google

Như tên đã nói, bạn có thể sử dụng plugin này nếu bạn đang tìm kiếm thông tin đăng nhập OTP dựa trên Google Authenticator.

Khi bạn kích hoạt plugin và thiết lập xác thực, bạn sẽ thấy màn hình trên trong khi đăng nhập vào quản trị viên WP của mình.

Các kỹ thuật trên là dựa trên plugin, nhưng bạn cũng có thể xem xét sử dụng bảo vệ nhà cung cấp bảo mật dựa trên Đám mây .

Bảo mật dựa trên đám mây

Tại sao bảo mật dựa trên đám mây?

Sử dụng một plugin để bảo mật trang web của bạn có nghĩa là tất cả lưu lượng truy cập, bao gồm cả lưu lượng truy cập xấu, đến các máy chủ WordPress. Hãy tưởng tượng, bạn nhận được một số lượng lớn các giao dịch vô dụng.

Bằng cách sử dụng bảo vệ dựa trên đám mây, máy chủ WordPress của bạn chỉ nhận được lưu lượng truy cập hợp pháp. Tất cả các bot, thư rác, yêu cầu đáng ngờ bị chấm dứt tại một mạng của nhà cung cấp bảo mật.

Nghe có vẻ hay?

Có một vài lựa chọn nhưng hai trong số những lựa chọn phổ biến như sau.

THÀNH CÔNG

SUCURI chuyên về chống virus trang web và tường lửa. Chúng giúp bạn ngăn chặn các nỗ lực hack, ngăn chặn một cuộc tấn công DDoS, hack sạch và bảo mật hoàn toàn cho trang web của bạn. Bao gồm bảo vệ tấn công vũ phu.

Bảo mật WordPress của SUCURI có lẽ là điều duy nhất bạn cần để bảo mật trang web của mình khỏi Brute Force và nhiều lỗ hổng bảo mật khác. Điểm hay của SUCURI là nó hỗ trợ nhiều nền tảng khác như Joomla, Drupal, Magento, PHP, vì vậy trong trường hợp bạn thay đổi công nghệ trang web trong tương lai, bạn không cần phải chi thêm $$ cho bảo mật.

Đám mây

Một trong những nhà cung cấp CDN và bảo mật phổ biến. Cloudflare WAF được bao gồm trong gói PRO, có giá $ 20 mỗi tháng.

Bạn nhận được tất cả các bảo vệ bảo mật tiêu chuẩn như DDoS, 10 lỗ hổng hàng đầu của OWASP, spam, bot độc ác, vũ phu, v.v.

Phần kết luận

Bảo mật trang web của bạn là điều cần thiết và nếu bạn đang tìm cách giảm thiểu các cuộc tấn công vũ phu, thì một trong những plugin được liệt kê ở trên sẽ thực hiện công việc. Tuy nhiên, nếu bạn nghiêm túc tìm kiếm một giải pháp bảo mật hoàn chỉnh, thì hãy đi với bảo mật dựa trên đám mây. Như vậy cũng đáng!

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.