Η ασφάλεια μιας ιστοσελίδας WordPress ξεκινά από την «πόρτα» της: τη σελίδα σύνδεσης. Μία από τις πιο συνηθισμένες μεθόδους που χρησιμοποιούν οι hackers είναι η επίθεση "Brute Force". Σε αυτή την περίπτωση, αυτοματοποιημένα προγράμματα (bots) δοκιμάζουν χιλιάδες συνδυασμούς ονομάτων χρήστη και κωδικών πρόσβασης το δευτερόλεπτο μέχρι να βρουν τον σωστό. Αν δεν έχετε λάβει μέτρα, ο server σας όχι μόνο κινδυνεύει με παραβίαση, αλλά καταπονείται τρομερά από τις συνεχείς αιτήσεις, με αποτέλεσμα το site σας να αργεί ή να «πέφτει».
Γιατί το WordPress χρειάζεται ενίσχυση;
Από προεπιλογή, το WordPress επιτρέπει απεριόριστες απόπειρες σύνδεσης. Αυτό σημαίνει ότι κάποιος μπορεί να δοκιμάζει κωδικούς για μέρες χωρίς να σταματήσει. Ο περιορισμός των αποπειρών είναι η πρώτη γραμμή άμυνας. Μόλις το σύστημα ανιχνεύσει π.χ. 3 λανθασμένες προσπάθειες από την ίδια διεύθυνση IP, «κλειδώνει» τον χρήστη για ένα ορισμένο χρονικό διάστημα.
Οδηγίες Προστασίας
Ο πιο απλός και αποτελεσματικός τρόπος είναι το πρόσθετο Limit Login Attempts Reloaded.
- Εγκατάσταση: Μεταβείτε στα Πρόσθετα > Προσθήκη Νέου, αναζητήστε το και ενεργοποιήστε το.
- Ρυθμίσεις (Settings): Στην καρτέλα των ρυθμίσεων, μπορείτε να ορίσετε τις παραμέτρους σας. Μια καλή πρακτική είναι:
- 3 επιτρεπόμενες απόπειρες.
- 20 λεπτά κλείδωμα μετά την πρώτη αποτυχία.
- 24 ώρες κλείδωμα αν ο χρήστης επιμείνει μετά το πρώτο ξεκλείδωμα.
- Whitelist και Blacklist: Μπορείτε να προσθέσετε τη δική σας IP στη "Whitelist" ώστε να μην κλειδωθείτε ποτέ κατά λάθος έξω από το ίδιο σας το site.
- Ειδοποιήσεις: Ρυθμίστε το plugin να σας στέλνει email όταν ένα κλείδωμα συμβαίνει συστηματικά, ώστε να γνωρίζετε αν το site σας δέχεται επίθεση.
Η ασφάλεια δεν είναι κάτι που ρυθμίζεις μια φορά και το ξεχνάς. Ωστόσο, ο περιορισμός των αποπειρών σύνδεσης είναι ένα από τα πιο εύκολα και αποτελεσματικά βήματα που μπορείτε να κάνετε σήμερα. Συνδυάστε το με ισχυρούς κωδικούς πρόσβασης και θα έχετε μια θωρακισμένη είσοδο που θα αποτρέψει το 99% των αυτοματοποιημένων επιθέσεων.
