Úspěšná strategie zabezpečení WordPressu by měla zahrnovat i kroky k posílení přihlášení ve WordPressu. V tomto příspěvku si ukážeme pět jednoduchých pravidel pro lepší zabezpečení přihlašování tohoto redakčního systému. Na podobné téma jsme psali článek Zabezpečení redakčního systému WordPress, ale v dnešním článku se budeme věnovat pouze zabezpečením přihlašování do WordPressu.
Ve výchozím nastavení je přihlašovací adresa WordPressu stejná pro každý web, který na tomto redakčním systému běží a pro přístup nevyžaduje žádná zvláštní oprávnění. Proto je přihlašovací stránka nejčastěji zneužívanou částí WordPress webu a nejvíce útoků jde přes tuto stránku.
Vytvoření robota, který bude pomocí brute-force útoků zkoušet hesla do administrace, není vůbec složité a na internetu se jich „povaluje“ velké množství. Dodržováním následujících pravidel a používáním osvědčených postupů zabezpečení WordPressu, se můžete vyhnout zranitelnosti běžnými chybami přihlašování uživatelů.
Obsah
Používejte silná hesla
Ohledně problematiky silných a slabých hesel bylo na internetu sepsáno tisíce článků. I my jsme se této problematice věnovali v článku, který se týkal zabezpečení emailových schránek.
Kdykoli vytváříte heslo, první položkou, kterou budete chtít zvážit, je délka hesla. Níže uvedený seznam ukazuje odhadovanou dobu potřebnou pro rozbití hesla pomocí čtyřjádrového procesoru i5.
- 7 znaků zabere 29 milisekund na cracknutí
- 8 znaků zabere 5 hodin na cracknutí.
- 9 znaků zabere 4 měsíce na cracknutí.
- 10 znaků zabere 1 dekádu na cracknutí
- 12 znaků zabere 2 století na cracknutí.
Takže prvním bodem při volbě hesla by měla být délka. Server betterbuys.com vytvořil na toto téma pěknou infografiku:
Na jejich webu si můžete ve formuláři vyzkoušet čas, za který může být Vaše heslo prolomeno.
Sami vidíte, že hesla typu 123456 se dají cracknout velmi rychle:
Složitější hesla, jako je například kombinace malých a velkých písmen spolu s číslem zaberou více času:
TIP: Na vygenerování silného hesla můžete použít generátor hesel passwordsgenerator.net
Pro každý účet použijte jedinečné heslo
Dalším doporučeným postupem, pro zabezpečení, je používání jedinečných hesel pro každý účet a webové stránky, které máte a používáte.
Pokud používáte stejné heslo pro více webů a jeden z těchto webů byl napaden a došlo k úniku hesel a uživatelských jmen, tak si útočníci mohou spárovaných Vaši e-mailovou adresu nebo uživatelské jméno a mohou to použít k přístupu k vašim účtům.
WordPress můžete chránit před ohroženými hesly pomocí pluginu, jako je iThemes Security Pro. iThemes Security Pro využívá API HaveIBeenPwned k detekci, zda se při narušení dat objevilo Vámi používané heslo. Tak jako například v internetovém bankovnictví se doporučuje měnit heslo po určitých intervalech, tak i my doporučujeme heslo měnit.
TIP: Jestli Vaše heslo uniklo můžete zjisti z největší databáze uniklých hesel na webu HaveIBeenPwned
Nepoužívejte „admin“ jako uživatelské jméno
K silným heslům patří samozřejmě i silné uživatelské jméno. Ve spoustě instalátorů aplikací se používá „admin“ jako uživatelské jméno. Z dob dřívějších mají i uživatelé stále potřebu používat „admin“ jako uživatelské jméno. Nedělejte to. Uhodnutím a prolomením uživatelského jména má útočník z 50% hotovo.
V dřívějších verzích i WordPress nastavoval „admin“ jako uživatelské jméno. V nových verzích tomu tak už není.
Pokud již „admin“ jako uživatelské jméno používáte, tak rychle změnit. Tuto úpravu můžete provést v databázi v tabulce wp_users:
Jestliže si na úpravu skrze databázi netroufáte, tak v administraci WordPressu po přihlášení můžete vytvořit nového uživatele (s novým uživatelským jménem), přiřadit mu uživatelskou roli administrátor a „admin“ smazat.
Omezujte počet pokusů o přihlášení
Ve výchozím nastavení není ve WordPressu zabudováno nic, co by omezilo počet neúspěšných pokusů o přihlášení, které může někdo provést. Bez omezení počtu neúspěšných pokusů o přihlášení, které může útočník provést, mohou útočníci i nadále zkoušet nekonečný počet uživatelských jmen a hesel, dokud nejsou úspěšní.
Zvyšte zabezpečení přihlášení pomocí pluginu WP Limit Login Attempts. Tento jednoduchý plugin zamezí útočníkům opakované pokusy o přihlášení do Vašeho WordPress webu.
Nastavení a používání pluginu je velmi jednoduchá a zvládne ho každý. V základní verzi, která je zdarma nemusíte dokonce nic nastavovat a plugin funguje s následujícím nastavením:
Změna adresy pro přihlašování
Jak jsme uvedli na začátku, tak všechny WordPress weby mají po instalaci stejnou adresu pro přihlášení: vasedomena.cz/wp-admin/ resp pak vasedomena.cz/wp-login.php
Útočníkovi tak stačí najít weby, které běží na WordPressu a zkoušet se zadáním stejné adresy pro přihlášení. Pojďme mu to pomocí jednoduchého pluginu znepříjemnit 🙂
Plugin se jmenuje WPS Hide Login a je zdarma. Po nainstalování a aktivaci pluginu si můžete samo zvolit adresu pro přihlášení:
Věnujte zabezpečení WordPressu pozornost. Eliminujete tím možnosti napadení Vašeho Webu. Pokud potřebujete poradit s nějakým nastavením, tak kontaktujte naší technickou podporu, která Vám ráda poradí.