Υποστήριξη
Hosting

Πως μπορώ να προφυλάξω το αρχείο wp-login.php του WordPress site μου από επιθέσεις brute force;

Το WordPress είναι μια από τις πιο δημοφιλείς πλατφόρμες διαχείρισης περιεχομένου (CMS)και δεκάδες εκατομμύρια ιστοσελίδες έχουν δημιουργηθεί με αυτό.

Λόγω της δημοφιλίας του, κατά καιρούς δέχεται σφοδρές επιθέσεις παραβίασης από κακόβουλους χρήστες ώστε να χρησιμοποιηθούν οι πόροι του server(διακομιστή) που το φιλοξενεί για επιθέσεις σε άλλα δίκτυα ή για άλλους κακόβουλους σκοπούς.

Μια συνηθισμένη επίθεση που μπορεί να δεχτεί μια σελίδα κατασκευασμένη με μια εφαρμογή όπως το WordPress, είναι η επίθεση brure force. Μέσω αυτοματοποιημένων κακόβουλων προγραμμάτων, γίνονται συνεχείς απόπειρες εισόδου στο διαχειριστικό περιβάλλον της εφαρμογής.

Τα προγράμματα αυτά προσπαθούν να μαντέψουν τον κωδικό πρόσβασης του διαχειριστή δοκιμάζοντας τυχαίους κωδικούς, αποστέλλοντας τους στο αρχείο wp-login.php

Λόγω της μεγάλης σφοδρότητας των επιθέσεων (εκατοντάδες απόπειρες το λεπτό), οι παραπάνω ενέργειες προκαλούν υπερβολικό φόρτο στο server με αποτέλεσμα να μην εξυπηρετούνται ομαλά οι ιστοσελίδες που φιλοξενούνται σε αυτόν.

Αν μέσω της παραπάνω διαδικασίας καταφέρουν να μαντέψουν τον κωδικό πρόσβασης του διαχειριστή η ιστοσελίδα παραβιάζεται και χρησιμοποιείται για διάφορους κακόβουλους και σε πολλές περιπτώσεις παράνομους σκοπούς.

Για το λόγο αυτό είναι σημαντικό να υπάρχει ελεγχόμενη και περιορισμένη πρόσβαση στο αρχείο wp-login.php. Αυτό μπορεί να γίνει προστατεύοντας την πρόσβαση στο αρχείο wp-login.php με κωδικό.

Για να μπορέσουμε να προστατέψουμε το αρχείο, μπορούμε να ακολουθήσουμε τα παρακάτω βήματα:

1. Δημιουργούμε χρησιμοποιώντας έναν επεξεργαστή κειμένου, ένα αρχείο κειμένου με την ονομασία .htpasswd(το όνομα του αρχείου αρχίζει με τελεία . , έιναι .htpasswd και όχι htpasswd)

2. Μέσω της ιστοσελίδας http://www.htaccesstools.com/htpasswd-generator/ ή άλλων παρομοίων ιστοσελίδων που προσφέρουν αυτή την υπηρεσία, δημιουργούμε ένα συνδυασμό username και password.
Αν για παράδειγμα επιλέξουμε σαν username τη φράση webmaster και σαν password τη φράση MyV3rystr0ngpass θα δημιουργηθεί μια γραμμή κειμένου της μορφής:

webmaster:$apr1$m5WAnDHs$hbxNs8qss6a5tRGGKxBGH0

Τοποθετούμε αυτό το κείμενο στο αρχείο .htpasswd και ανεβάζουμε το αρχείο .htpasswd στο server που φιλοξενεί τη σελίδα μας μέσω ftp ή filemanager.
Για παράδειγμα, αν το username μας είναι kostas, το αρχείο θα βρίσκεται στη διαδρομή

/home/kostas/.htpasswd

3. Δημιουργούμε ένα αρχείο κειμένου την ονομασία .htaccess (το όνομα του αρχείου αρχίζει με τελεία .)και προσθέτουμε τον παρακάτω κώδικα:

Στη συνέχεια ανεβάζουμε το αρχείο .htaccess στο server που φιλοξενείται η ιστοσελίδα μας μέσω ftp ή filemanager.
Για παράδειγμα, αν το username μας είναι kostas, το αρχείο θα βρίσκεται στη διαδρομή:

/home/kostas/.htaccess

Προσοχή, στα παραπάνω υποδείγματα κώδικα αλλάζουμε τα αντίστοιχα path και username με τα δικά μας (αντί για kostas βάζουμε το δικό μας username).

Με αυτό τον τρόπο, όταν κάποιος καλέσει το αρχειο wp-login.php, το πρόγραμμα περιήγησης θα εμφανίσει ένα αναδυόμενο παράθυρο όπου θα πρέπει πρώτα να πληκτρολογήσει το username και password που ορίσαμε στο δεύτερο βήμα της διαδικασίας για να αποκτήσει πρόσβαση στο αρχείο wp-login.php

Περισσότερες πληροφορίες για την ενίσχυση της ασφάλειας στο WordPress μπορείτε να δείτε στη σελίδα:

http://codex.wordpress.org/Hardening_WordPress

Τα λογότυπα Internet Promotions και IP.GR είναι κατοχυρωμένα εμπορικά σήματα της IP.GR  |  IP.GR web hosting and domain registration services in Greece