Как защитить сервер и снизить нагрузку на CPU.
Защита от подбора паролей с помощью файла .htaccess
Защита от перебора паролей для любых сайтов при помощи HTTP-авторизации
Плагины, защищающие админку вордпресс сайта и снижающие нагрузку на сервер.
Я выделила в отдельную категорию плагины для защиты сайтов на вордпресс. Почитайте описания плагинов для защиты от взломов и вирусов.
Плюс у нас идет регулярный бекап базы данных. Благодаря ему, мы в особо сложных случаях сможем удалить полностью файлы зараженного сайта. Затем быстро залить свежий дистрибутив и рабочую базу данных.
Но есть еще одна важная проблема – это нагрузка на CPU сервера хостинга при массированных попытках взлома административной части. Про показатель CPU и снижение нагрузки с помощью скрипта maxcache кэш для сайтов на wordpress я писала с подробной статистикой и скринами.
При достижении его максимального значения сервер ложится – что означает и сайты лежат. Если у вас на сервере несколько сайтов, а взламывают один из них, то страдают все. Они начинают жутко тормозить и могут стать недоступными даже на долгий период.
Нагрузка на CPU сервера возникает и при попытках взлома. И кеш здесь уже не поможет. Для этого есть специальные плагины. Т.к. любая DDOS атака (а это и перебор паролей) грузит сервер, то следует не допускать такие атаки вообще.
Как происходит подбор паролей? Одновременно с разных айпи идет попытка подобрать логин, пароль к админке. Представляете, за секунду бесчисленное множество попыток входа? Что будет… Или подберут, либо сервер не выдержит. Нерабочий сайт – это еще полбеды. Если взломщики добьются своего, то ваш сайт тоже станет рассадником – он станет участником взлома других сайтов. А что с ним сделают поисковики – страшно подумать – бан, черный список и доказывай, что было за недоразумение.
Для того, чтобы понять, что вас атакуют посмотрите в логах запрос «POST» — это и есть посыл ударов. Много «POST»в одно время — будьте осторожны, ставьте защиту.
Обзор плагинов wordpress, которые защищают от подбора паролей.
Плагин Hack me if you can
Скачать на wordpress.org — https://wordpress.org/plugins/hack-me-if-you-can/
Язык русский и английский. Настройки простейшие.
Смысл идеи – взломщик попадет на страницу авторизации wp-admin или wp-login.php, но там не будет формы. А будет любая ваша запись для него, типа «Ну-ну! Взломай меня!».
А ссылку в вашу админ часть вы придумаете сами. И будет она известна только вам!
Установка очень простая. Залил, активировал, написал послание или оставил пустым. Тогда будет переадресация на 404 или главную страницы. Но здесь стоит подумать – слишком много заходов на 404…
Плагин WP Better Security
Скачать https://wordpress.org/plugins/better-wp-security/
Настройка: придумываете свой адрес для админки. Кроме этого, у плагина есть и другие возможности.
Он проведет анализ степени вашей защищенности.
У него есть мониторинг измененных файлов. Это удобно, вы будет первым узнавать, если было вторжение.
Но WP Better Security достаточно тяжелый и потребляет много ресурсов.
Плагин Simple Login Lockdown я уже упоминала.
Здесь можно настроить количество попыток ввода пароля. По умолчанию это 5 и после этого IP адрес хулигана блокируется. Также время блокировки IP адреса.
Но этот плагин не решит проблему повышения нагрузки на сервер.
Плагин Limit Login Attempts
Скачать https://wordpress.org/plugins/limit-login-attempts/
Он ограничит число попыток. Но, как понимаете, запросы идут с разных ip одновременно, поэтому атака состоится.
Защита от подбора паролей с помощью файла .htaccess
Для вордпресс вставьте в начале файла:
< files wp-login.php >
order deny,allow
deny from all
allow from мой_айпи
< /files >
Где вместо мой_айпи вставьте свой статичный IP. Если он динамичный, то нужно будет сначала подключаться к интернету, затем узнавать свой IP, затем переписывать его в .htaccess. Иначе сами не попадете на сайт.
Для джумлы:
< files index.php >
order deny,allow
deny from all
allow from мой_айпи
< /files >
Защита от перебора паролей для любых сайтов при помощи HTTP-авторизации
Этот способ является наиболее эффективным и надежным в вопросе снижения нагрузки на CPU сервера хостинга. Мне хостер сразу прислал подробную инструкцию, как это делается.
Приведу здесь эти рекомендации, не у всех же есть такой отзывчивый хостер!
1. Создать файл .htpasswd в корне сайта.
2. Идем на сайт https://www.htaccesstools.com/htpasswd-generator/
Где будет сгенерировано содержимое файла .htpasswd
3. Вводим логин и пароль любые. Это не данные для входа на ваш сайт.
4. Жмем генерировать и вставляем все в наш пустой файл .htpasswd. Пароль там будет в зашифрованном виде.
5. Затем для WordPress в файл .htaccess в корне сайта добавить следующие строки:
<Files wp-login.php>
AuthName «Access Denied»
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user
</Files>
где «полный_путь_до_корня_сайта» — это абсолютный путь от корня файловой системы. Его можете узнать у хостера или проследить в своей панели самостоятельно.
6. Теперь при входе на сайт вам будет предлагаться окошко авторизации, куда нужно ввести ваши придуманные логин, пароль. И только после удачного входа в этом окошке, вы попадете на привычную страницу входа админки вордпресс и там введете свои данные для wp.
Кстати, так запаролировать можно и отдельные директории сайта.
А вот и результат не заставил долго ждать! На скрине виден резкий скачок CPU вниз после установки двойной аутентификации.
Что доказывает на практическом примере эффективность http авторизации.
