Jak zabezpieczyć stronę internetową przed atakami brute force?

Czas czytania czas czytania 6 min.
Obrazek dla Jak zabezpieczyć stronę internetową przed atakami brute force?

Ataki brute force to metoda cyberataków, w której hakerzy próbują różnych kombinacji loginów oraz haseł, aby uzyskać dostęp do zasobów. Większość ataków brute force koncentruje się na próbie wejścia do obszaru administracyjnego. A narzędzie, które w tym celu będzie używane, może próbować tysięcy kombinacji, szczególnie tych z listy popularnych. Wielokrotne próby zalogowania się przeprowadzają oczywiście boty, które zresztą stwarzają przy tym niepotrzebne obciążenie serwera. W tym poradniku skupimy na tym, jak chronić się przed włamaniem i atakami brute force. Dowiesz się także w jaki sposób stawiać zabezpieczenia, tworząc cyfrowe zasieki utrudniające próby przejścia dalej.

Jak stworzyć bezpieczne hasło logowania i czemu unikalny login jest ważny?

Jeśli Twoja strona posiada swoją bazę użytkowników, atakujący mogą spróbować włamać się na indywidualne konta, wykorzystując słabe lub przewidywalne hasła. Gdy taki cyberatak się powiedzie, to hakerzy z marszu próbują tych samych danych w innych usługach. Wszędzie tam, gdzie skojarzą Twój adres e-mail, jak bankowość, media społecznościowe czy platformy e-commerce.

atak credential stuffing

Często w celu wzmocnienia zabezpieczeń wymusza się na użytkownikach tworzenie silnych haseł, złożonych z różnych znaków, cyfr i symboli. W wariancie ataku brute force opierającym się na użyciu metody credential stuffing, czyli założeniu, że wiele osób używa tych samych danych logowania do różnych usług online, powtarzalne loginy i hasła byłyby dosłownie podane na tacy. Unika się takich oczywistości, jak daty urodzenia, imiona czy ciągi liter lub cyfr. Hakerzy będą mogli wykorzystać skradzione nazwy użytkowników i hasła z jednej platformy. Aby uzyskać nieautoryzowany dostęp do kont na innych stronach, słusznie zakładając, że użytkownicy stale używają jednakowych kombinacji.

Czym jest ograniczanie prób logowania?

Pierwszą metodą, jaką można zastosować, jest ograniczanie prób logowania. Przykładowo CMS WordPress domyślnie nie blokuje użytkowników po wielu nieudanych próbach zalogowania się na konto, stąd też warto zainstalować wtyczkę Wordfence Security lub AIOS czy Limit Login Attempts, które limitują logowania z jednego adresu IP. Zastosowanie blokady po dokonaniu założonej liczby nieudanego wpisywania danych do logowania sprawia, że konto użytkownika może zostać tymczasowo zablokowane lub wymagane będzie dodatkowe uwierzytelnienie.

Zanim opiszemy wtyczki, warto nadmienić jeszcze jeden atut Hostingu wyposażonego w automatyczny installator. Już przy instalacji aplikacji WordPress możesz aktywować limitowanie prób logowania.

limit login attempts
Przeczytaj także:
Instalacja na hostingu jednym kliknięciem? Co ułatwia z WordPress?
Instalujesz ręcznie aplikacje na hostingu? Użyj AutoInstalatora. Oszczędź swój czas i nerwy. Jak pomaga w pracy z WordPress? Przekonaj się.
Instalacja na hostingu jednym kliknięciem? Co ułatwia z WordPress?

AIOS, czyli All In One Security, już pisaliśmy. To wtyczka WP z firewall, która oferuje pokaźne spektrum przydatnych funkcji zabezpieczających witrynę. Należą do nich między innymi opcja zmiany adresu URL logowania, automatyczne skanowanie w poszukiwaniu zmian w kodzie strony. Dostępna jest również zapora tzw. firewall dla WordPress.

Loginizer to kolejna wtyczka, która dodaje funkcje ochrony przed atakami brute force i credential stuffing. Jej wersja premium obsługuje dwuskładnikowe uwierzytelnianie z Google Authenticator. Loginizer blokuje również złośliwe IP po określonej liczbie prób logowania. Domyślnie wszystkie adresy IP próbujące sforsować Twoją witrynę zostaną zablokowane na 15 minut po trzech nieudanych próbach logowania. Po wielokrotnych blokadach adres IP jest blokowany na 24 godziny.

da howto2
Darmowa wtyczka Loginizer, autorstwa Softaculous.

Jak korzystać z uwierzytelniania dwuetapowego 2FA?

I tutaj płynnie przechodzimy do drugiego sposobu, czyli uwierzytelniania dwuskładnikowego –
two factor authentication, w skrócie 2FA. Nawet jeśli haker zdoła odgadnąć Twoje hasło, to wówczas wymaganie jest dodatkowe potwierdzenie. Wtyczka WP 2FA jest darmową i prostą w konfiguracji metodą wdrożenia uwierzytelnienia dwuetapowego dla witryn WordPress. Możesz też wybrać opcje 2FA z jakich chcesz korzystać, czyli poprzez aplikację w smartfonie lub pocztę e-mail. Wtyczka pozwala także ustawić zasady wymuszania uwierzytelniania dla różnych grup użytkowników (all users /only for specific users).
W przypadku WordPress możesz w ten sposób zabezpieczyć dostęp do wp-admin, czyli panelu administracyjnego.

Przeczytaj także:
Uwierzytelnianie dwuskładnikowe 2FA – co to jest, jak je włączyć na stronie logowania i dlaczego warto to zrobić?
Dowiedz się co to jest uwierzytelnianie dwuskładnikowe 2FA. Jak włączyć TOTP na stronie logowania na przykładzie kokpitu WordPress.
Uwierzytelnianie dwuskładnikowe 2FA – co to jest, jak je włączyć na stronie logowania i dlaczego warto to zrobić?

Google Authenticator umożliwia dodanie dwuskładnikowego uwierzytelniania (2FA) do procesu logowania w WordPress. Jest to programowy token uwierzytelniania dwuskładnikowego, który generuje sześć cyfr, jakie należy podać podczas logowania razem z loginem i hasłem. Po jego włączeniu użytkownicy muszą oprócz hasła podać jednorazowy kod wygenerowany w aplikacji Google Authenticator na swoim smartfonie. Możesz również skorzystać z innych aplikacji, które oferują generowanie kodów jednorazowych takich jak Authy, Microsoft Authenticator, Duo Security, Lastpass itd.

Wtyczki poprawiające bezpieczeństwo logowania – czy warto stosować CAPTCHA lub reCAPTCHA?

Ataki brute force mogą okazać się skuteczne, jeśli Twoja strona internetowa nie posiada odpowiednich, kilkustopniowych zabezpieczeń. Ale gdy zdecydujesz się na ograniczenie prób logowania i dodasz wtyczkę CAPTCHA lub reCAPTCHA oraz uwierzytelnianie dwuskładnikowe to stworzysz barierę utrudniającą przechwycenie danych logowania.

Dodanie CAPTCHA lub reCAPTCHA do formularzy logowania utrudnia automatycznym botom zgadywanie haseł, ponieważ wymaga potwierdzenia, że użytkownik jest człowiekiem​. Wtyczka od Google korzysta z testu, który pozwala powstrzymać boty i złośliwe oprogramowanie. Także dodaje reCAPTCHA i inne testy do formularza komentarzy WordPress. W ten sposób możesz automatycznie blokować spam i inne niechciane aktywności.

Przeczytaj także:
Jak zabezpieczyć WordPress z recaptchą Cloudflare Turnstile?
Sprawdż jak możesz zabezpieczyć swój WordPress i jego elementy kluczowe narzędziem Cloudflare Turnstile. Czy jest lepsze niż reCaptcha od google?
Jak zabezpieczyć WordPress z recaptchą Cloudflare Turnstile?

Dodanie dodatkowego kroku logowania, na przykład potwierdzenia za pomocą kodu SMS lub w aplikacji mobilnej, znacznie zwiększa bezpieczeństwo przed działaniami botów. Nawet w przypadku zdobycia loginu i hasła, bez drugiego składnika atakujący nie uzyska dostępu.

Jeśli trapią Cię dylematy związane z kwestiami bezpieczeństwa, to najrozsądniejszym wyborem jest powierzenie hostingu specjalistom. W HitMe pomagamy we wszystkim, czego potrzebujesz przy obsłudze elastycznego hostingu i jego ustawieniach. Przy okazji zapewniając pełne wsparcie techniczne oraz doradztwo w zakresie optymalizacji Twojej strony, sklepu internetowego czy też bloga.

Zobacz także
Przegląd prywatności
hitme logo

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Facebook Pixel

Używamy narzędzia Facebook Pixel, aby śledzić działania użytkowników na naszej stronie internetowej. Facebook Pixel umożliwia nam analizowanie skuteczności reklam oraz tworzenie spersonalizowanych treści marketingowych. Dzięki temu możemy lepiej dostosować naszą ofertę do Twoich potrzeb. Zbierane dane mogą obejmować m.in. informacje o odwiedzonych stronach, kliknięciach oraz konwersjach.

Bezpieczna analityka

W celu lepszej analizy ruchu na naszej stronie internetowej korzystamy z narzędzia Matomo Analytics. Matomo jest hostowane w naszej infrastrukturze, a zbierane dane nie są udostępniane żadnym podmiotom zewnętrznym. Informacje o Twojej aktywności na stronie służą jedynie do analizy statystycznej oraz poprawy jakości naszych usług, zgodnie z przepisami RODO/GDPR.

Dane są w pełni anonimowe i nie są przekazywane poza naszą firmę.

Powered by  Zgodności ciasteczek z RODO