Dnes jsem na webu vytvořil novou kategorii, která se bude zabývat bezpečností WordPressu. Ukážeme si, jak omezit počet pokus o opakované přihlášení na váš web.
Hacknutí webu, je noční můra, pro každého Webmastera. Kdo by také chtěl jen tak přijít o plody své práce, během několika málo chvil. Dobrou zprávou je, že většina „hackerů“, to prostě jenom zkouší a nemají dostatek dovedností na sofistikovanější útoky na váš web.
Jednou ze snadných cest, jak se dostat k někomu do administrace WordPressu je útok na přihlašovací formulář, pomocí brutální síly. Bohužel nemá WP možnost, jak omezit počet opakovaných přihlášení a tak stačí jen do nekonečna používat některý z generátorů esel a snažit se najít to správné. Teoreticky vám tímto způsobem prolomí heslo kdokoliv, ale počet variant, se při použití kvalitního hesla, zvyšuje do neuvěřitelných čísel.
Pokud máte heslo, které je snadněji prolomitelné, vystavujete se riziku, že přijdete o plody své práce. Jeden ze způsobů, jak ztížit hackerům život, je plugin, jenž umožní omezit počet opakovaných přihlášení.
Limit Login Attemps
Tento na nastavení, poměrně jednoduchý plugin, nainstalujete z repositáře WordPress.org – Limit Login Attempts a podle toho, jaké máte požadavky na bezpečnost, nastavíte jednotlivé body:
- Počet přihlášení, po nichž bude login form zamknut
- Doba, na kterou bude login form zamknut
- Počet zamknutí, po kterých bude znemožnění přihlášení na delší dobu – pokud se tedy někdo pokusí opakovaně přihlašovat a nastavíte 4x, tak až se mu přihlášení znemožní po čtvrté, nebude to na dříve definovanou dobu, ale na dobu, kterou definujete zde, například 48 hodin
- Doba pro vymazání uložených údajů o přihlášení. Například po dvanácti hodinách se počet zamknutí vymaže.
- Umožnit přihlášení z poza proxy
- Ukládat cookies o přihlášení
- Ukládat IP adresy, ze který byly pokusy o přihlášení
- Informovat administrátora o zamčení po určitém počtu zamknutí z jedné IP adresy. Zde můžeme předpokládat, že se někdo snaží cíleně proniknout na váš web, protože mu stojí za to čekat na odblokování přihlášení a bude třeba pozornosti admina.
Zde ještě screen z nastavení pluginu
