Zabezpečení WP #2: zakázání přístupu do admina po zadání chybného hesla
Internet 1 843x zobrazeno Přidat komentářV minulém příspěvku jsme se podívali na to, jak změnit základní uživatelské jméno, nyní se podíváme, jak zablokovat přístup do administrace s určité IP adresy při zadání špatného hesla.
Určitě se najde na světě hodně lidí, kteří chtějí prolomit vaše heslo pomocí brutal attack neboli útoku hrubou silou, což v praxi znamená, že je zkoušena kombinace náhodných hesel. Pokud je vaše heslo dostatečně dlouhé a dobře vymyšlené, tak na tento útok v reálném čase lze zapomenout.
Další metodu, kterou lze k zjištění hesla použít je wordlist neboli slovníkový útok, při kterém útočník používá wordlist (neboli slovník běžných slov pro nás v ČJ) a zkouší všechna slova v různých modifikacích, zda se neshodují s heslem.
Jak se těmto útokům bránit ve WP?
Stačí jednoduché rozšíření, které po X špatných pokusech zakáže danou IP adresu na určený čas, popř. napořád. Plugin, který toto dokáže, se jmenuje Limit Login Attempts, ve kterém lze nastavit následující věci: kolikrát lze zadat špatné heslo + v jakém intervalu a to nejdůležitější na jakou dobu zakázat dané IP adrese přístup do administrace. Dále také dokáže zakázat chybně zadané uživatelské jména a v poslední řadě maskovat chybové zprávy.
Štítky: redakční systém, Wordpress, zabezpečení
(zatím nehodnoceno)
Loading...RSS feed for comments on this post. TrackBack URL
Poslední komentáře