WP-login.php támadás (Brute Force Attack) kivédése

WP-login.php támadás (Brute Force Attack) kivédése

Világszerte problémákat okozott a WordPress oldalakat érintő támadás sorozat. Ennek sorrán a támadók több ezer ip címről indítottak támadásokat wordpress oldalak felé és ennek során a wp-login.php fájlokat támadták, megpróbálva bejutni a honlap admin felületére. Mivel nyilván neked is fontos a WordPress biztonsága, ezért javasoljuk, hogy csináld meg a következőket te is.

Mit tehetsz a WP-login.php támadás kivédése érdekében

A következő lépésekben bemutatjuk, hogyan tudsz biztonsági jelszavas védelmet húzni a WordPress-ed és a támadók közé. Ez segít kivédeni az ilyen – Brutal Force Attack – típusú támadásokat a jövőben.

Hogyan tudod jelszóval védeni a wp-login.php

A művelet két részből áll. Egyrészt létre kell hoznod egy jelszót a a .wpkwpadmin fájlba, majd azután aktiválni azt egy .htaccess fájlal.

1. lépés: Jelszó fájl készítése

Hozz létre egy fájlt, melynek neve legyen .wpkwpadmin és helyezd el a tárhelyeden egy olyan mappába, melyet az internet irányából nem lehet elérni. Tehát nem publikus.  Például elhelyezheted a tárhelyed gyökér könyvtárában, de mindenképpen a public_html mappa fölött.

Például: : /home/felhasznalonev/.wpkwpadmin

(Ahol a felhasználónév a Directadminos, vagy cPaneles fiók neved)

Helyezz el egy felhasználónevet és egy titkosított jelszót a .wpkwpadmin fájlban a következő formában:

felhasznalonev:titkositottjelszo
Például: wpkezdoknek:$apr1$FieIHkxZ$VFtPuU5lmE1Rhu8fy426I0

(ahol a wpkezdoknek a felhasználónév és a jelszó  a nagyontitkos titkosított változata.)

Jelszó generálás

Jelszó generálásához látogasd meg a  http://www.htaccesstools.com/htpasswd-generator/weboldalt és használd az eszközt. A felső mezőbe írj a felhasználónevet, az alsóba pedig a kívánt jelszót.

Figyelem: Csak az angol ábc betűit és számokat használj, mind a névben, mind a jelszóban!

Amint elkészültél a generálással a kapott eredményt másold be a fent létrehozott .wpkwpadmin fájlba.

2. lépés:  A .htaccess fájl módosítása

Miután elkészül t a jelszófájlod, be kell állítanod egy hivatkozást erre a .wpkwpadmin fájlra. Ezt a WordPress oldalad .htaccess fájljában kell megtenned a következő tartalommal:

ErrorDocument 401 "Unauthorized Access"
 ErrorDocument 403 "Forbidden"
 <FilesMatch "wp-login.php">
 AuthName "Csak tagoknak!"
 AuthType Basic
 AuthUserFile /home/felhasznalonev/.wpkwpadmin
 require valid-user
 </FilesMatch>

A AuthUserFile sorban pontosan be kell állítanod a .wpkwpadmin fájl abszolút elérését. Értelemszerűen a  felhasznalonev helyett a saját tárhelyeden beállított felhasználónevet írd be.

Végeredmény

A wp-login.php fájlt csak akkor lehet elérni, ha megadod a fent beállított felhasználónév-jelszó párost és csak ezután lehet belépni az admin felületen keresztül. Így a Brutal Force Attack kísérleteket ki tudod védeni.

Kiegészítés

A következő kód a .htaccess fájlba szintén védelmet nyújthat a wp-login.php fájlt érő brutal force támadás ellen. A kódrészletet a BulletProof Security fórumáról:

RewriteCond %{REQUEST_URI} ^(/wp-login\.php|.*wp-login\.php.*)$
RewriteCond %{HTTP_USER_AGENT} ^(|-?)$ [NC,OR]
RewriteCond %{THE_REQUEST} HTTP/1\.0$ [OR]
RewriteCond %{SERVER_PROTOCOL} HTTP/1\.0$
RewriteRule ^(.*)$ - [F,L]
  • Hozzászólások
  • Kapcsolódások
Írj egy választ

Írj egy választ

Válasz neki:

készült   2013-09-30
téma   WordPress hogyan…
címke   , , , ,