Alapesetben a WordPress lehetővé teszi, hogy korlátlan számú belépési kísérletet tegyünk az adminisztrációs felületre. Ez megkönnyíti a jelszógeneráló és -feltörő szoftverek használatát. Hogyan védekezzünk?
A megoldást egy WordPress plugin biztosítja: Limit Login Attempts (letöltés), a WordPress beépített bővítménykezelőjében is megtalálható.
Ez a kis kiegészítő képes korlátozni a belépési kísérletek számát, de ezen kívül még van néhány hasznos funkciója:
- belépési kísérletek korlátozása (IP címenként, testreszabható)
- kezeli a hagyományos és a Cookie-alapú bejelentkezéseket is
- tájékoztatja a felhasználót a belépési kísérletek számáról, az esetleges korlátozás és kizárás idejéről
- opcionálisan válaszható naplózás és e-mail értesítő az adminnak
- fehérlistára tehető egy-egy IP cím (egyébként nem javasolt)
Lássuk a beállításokat:
- X allowed retries – engedélyezett próbálkozások: alapértelmezés szerint 4 próbálkozást engedélyez
- X minutes lockout – kitiltás ideje (percben): alapbeállítás a 30 perc
- X lockouts increase lockout time to Y hours – kitiltások után az időtartam növelése: telepítéskor automatikusan 4 kitiltás után 24 órára növeli a 30 percet
- X hours until retries are reset – tiltások számának nullázása: ennyi idő után (alapérték: 12 óra) a plugin lenullázza a belépési kísérletek számát
Célszerű szigorúbbra állítani a beállításokat: 3 próbálkozás után tiltson ki 1 órára. 2 kitiltás után növelje a kitiltás időtartamát 48 órára, valamint 24 óra után nullázza a próbálkozások számát.
Tipp: megnehezíti az ártalmas szoftverek bejutását, ha az admin felhasználónevet lecseréljük valamilyen egyedibb névre, például: GipszJakab74, valamint a jelszó legalább 8-10 karakter hosszúságú és tartalmaz kis- és nagybetűket, számokat és akár írásjelet is.
A tárhelyszolgáltatásunk részét képező Softaculous automata telepítőben nem csak a WordPress telepítésére van lehetőség, hanem a LimitLoginAttempts is elérhető, ráadásul csupán néhány kattintást igényel a művelet.
Szeretnéd, ha WordPress oldalad biztonságban lenne? Megbízható és kiváló CPanel szervereinken üzemeltetett WordPress Tárhely szolgáltatásunk és a LimitLoginAttempts biztosítja számodra a védelmet!
