🧐 Що робити, щоб bruteforce-атаки (викрадення логіна/пароля) вас не стосувалися? Частина 2. Друзі, перша частина тут. 6. Обмеження кількості спроб входу в адмінпанель. Можна використати будь-який плагін, який обмежує число невдалих спроб входу в адмінпанель WP. Наприклад, Limit Login Attempts Reloaded. Після встановлення й активації в налаштуваннях можна встановити ліміт спроб входу і час блокування, а також додати деякі адреси або діапазони адрес у білий або чорний список. 7. Двофакторка. Можна увімкнути будь-яким плагіном, наприклад, «miniOrange 2-Factor». Спершу слід зареєструватись на сайті розробника плагіна (це можна зробити прямо в адмінпанелі) і далі вибрати застосунок для двофакторної аутентифікації (наприклад, LastPass). 8. Зміна секретних ключів для кукі. Під час встановлення WP використовується набір однакових для всіх ключів за замовчуванням, зберігаються вони у файлі wp-config.php. Тому, якщо зловмисник зможе отримати хеш пароля адміністратора, то він зможе розшифрувати його з цими стандартними ключами. Згенерувати унікальні ключі можна на спеціальній сторінці. Кожного разу під час переходу або оновлення сторінки ключі будуть змінюватися. 9. Капча на сторінку авторизації (а також реєстрації й коментарів). Реалізувати також можна через плагін, скажімо, «Captcha by BestWebSoft». 10. Зміна адреси адмінпанелі. Один з найефективніших способів. Можна зробити це вручну, перейменувавши файл wp-login.php на випадкову послідовність рядкових латинських букв, цифри й тире, замінивши всі згадки wp-login.php всередині файлу й виконати те саме ще в десятку-другому файлів. Але можна й простіше – через спецплагін, приміром, «WPS Hide Login» → WPS Hide Login.11. Відключення повідомлень про помилки авторизації. Під час брут-форсу хакер зазвичай бачить, які саме введені дані неправильні – логін чи пароль. Тож аби ускладнити підбір, ці повідомлення можна вимкнути. Для цього додаємо ось такий рядок у functions.php теми вашого сайту → на початок файлу після відкриваючого тега (<?php ):add_filter('login_errors',create_function('$a', "return null;"));На цьому все! Будьте здорові ви й ваші сайти! Ми ж зі свого боку створимо безпечне середовище для вашого сайту: з перевірками на вразливості й щоденними бекапами. Хостинг з подарунком Сайт • Facebook • Instagram • LinkedIn • Youtube • Підтримка 24/7