Защита учетной записи admin от взлома обязательно устанавливается и настраивается мною уже при запуске сайта, на втором этапе «Установка и настройка CMS и расширений». Взлом учетных записей заключается в подборе пароля. Для этого используют взломщик паролей, в котором устанавливается логин «admin», и запускается процесс подбора пароля. Логин «admin» — это как пароль «12345», поэтому данного логина в учетных записях пользователей быть не должно.
Оглавление
- Учетная запись администратора.
- Основные угрозы.
- Эффективные методы защиты.
- Что делать, если учетная запись взломана.
- Если решили отдохнуть.
Защита учетной записи admin
Учетная запись администратора
Атакуют сайты мои и моих заказчиков уже несколько суток
Логин admin — это логин учетной записи администратора в WordPress, которая устанавливается по умолчанию при установке самой CMS. У данной учетной записи полный допуск ко всем параметрам CMS. Администратор изменяет любые данные, устанавливает плагины, удалять контент и может удалить и сайт полностью. Именно поэтому злоумышленники в первую очередь пробуют подобрать пароль к логину admin.
Используемые взломщиками логины для взлома: admin, также домен, например, avikto и aviktoru. Если на вашем сайте такие логины у пользователей есть — нужно срочно заменить.
При получении пароля злоумышленником, последствия, однозначно будут катастрофическими: от утечки персональных данных пользователей до полной потери контроля над сайтом. При этом, если вы не контролируете деятельность пользователей через соответствующие сообщения на email, вы можете и не догадываться, что на вашем сайте есть уже еще один «управляющий».
Защита учётной записи администратора — это не просто рекомендация — это обязательное условие
Защита учетной записи admin
Основные угрозы
Наиболее распространённые инструменты и технологии взлома
- Брутфорс-атаки: подбор пароля.
- Фишинг: рассылка информации со ссылками на «поддельные» сайты.
- Ручной подбор пароля: проверка на слабые, стандартные пароли, вида «12345».
- Через уязвимости: устаревшие версии CMS и расширений.
Для решения данных задач злоумышленники используют автоматизированные скрипты, которые ежедневно сканируют тысячи сайтов в поисках незащищённых admin-аккаунтов. Кроме того, если на сайте не настроены ограничения на количество попыток входа, риск взлома возрастает многократно. Не стоит забывать и о человеческом факторе: приводят к взлому использование одного и того же пароля на разных сервисах, передача учётных данных третьим лицам.
Защита учетной записи admin
Эффективные методы защиты
Большинство реализуется через установку и настройку соответствующих расширений
Защита на хостинге
Данная защита заключается в перенесении сайта на защищенный веб-сервер. Защита платная 200-300 рублей, но я использую ее на всех создаваемых сайтах обязательно.
reCaptcha
Российских аналогов данной капчи от Google пока нет, поэтому используется она, и используется обязательно. Данный вид защиты входит в «первую линию обороны».
Сложные пароли
Для надёжной защиты учетной записи используются только сложные уникальные пароли длиной не менее 12 символов, включающие буквы разного регистра, цифры и спецсимволы. Создать такой пароль можно здесь: Генератор паролей. Хранить пароли настоятельно рекомендуется на Яндекс Диске. На файл с паролями установите пароль, которые помните всегда.
Автоматическое обновление
В системе управления контентом CMS WordPress давно уже реализовано автоматическое обновление самой CMS, тем, расширений (плагинов). Данное автоматическое обновление включается сразу после настройки CMS и плагинов, и установки темы.
Ограничение попыток входа
Данный вид защиты используется для блокировки брутфорс-атак. Я устанавливаю на пять попыток — этого достаточно, если я или владелец сайта случайно ошибаемся, когда «входим» в консоль (админ-панель) сайта.
Смена логина admin на уникальный логин
Меняю всегда логин admin на уникальный — это значительно снижает риск взлома учетной записи. При этом, не стоит устанавливать вместо admin какие-то связанные имена, например, домен сайта. Идеально использовать бессвязный набор букв.
Смена названия страницы входа на уникальный логин
Стандартное название страницы admin заменяется на уникальное состоящее из бессвязных 5-10 букв и цифр.
Двухфакторная аутентификация
Включение двухфакторной аутентификацию 2FA создаст дополнительный защитный барьер для действий злоумышленников.
Защита учетной записи admin
Что делать, если учетная запись взломана
Если есть подозрения, что к admin получили доступ посторонние
- Восстановите сайт из одной из последних чистых резервных копий. Здесь важно просчитать, чтобы копия была до той даты, когда могли взломать сайт.
- Смените пароль и все секретные ключи в файле wp-config.php.
- Проверьте сайт на наличие плагинов, скриптов и новых пользователей с административными правами, которые вы не устанавливали и не регистрировали.
- Проведите обязательно аудит безопасности: обновите всё программное обеспечение, настройте двухфакторную аутентификацию,
- Ограничьте доступ к панели управления по IP-адресу. Обычно это делается на определенное время, в течении которого отслеживается прекратились ли атаки.
Защита учетной записи admin
Участвуем в опросе, голосуем звездами, оставляем комментарии
Загрузка ...Рекомендую Я
