В 2016 году компания Wordfence за 16-часовый период зафиксировала 6 611 909 брутфорс атак, направленных на 72 532 сайта. Атаки шли с 8 941 уникального IP-адреса.
Брутфорс (brute force) – метод взлома путем полного перебора всех возможных комбинаций пароля (или пары логин-пароль). Сейчас этот способ взлома сайта не считается эффективным (из-за слишком большого количества возможных комбинаций), но зачастую взломщики уже не подбирают пароль «вслепую», а используют готовые списки пары логин-пароль и просто списки популярных паролей пользователей.
Поэтому брутфорс атаки до сих пор представляют опасность – особенно для тех пользователей, которые «да кому надо меня взламывать», «придумаю сложный пароль – забуду», «поставлю легкий пароль на первое время, потом поменяю» и других подобных.
Эта статья – для всех, кто не знает, какой пароль лучше выбрать для своего сайта на WordPress. Ниже я остановлюсь на всех основных моментах, касающихся пароля для WordPress.
1. Совет WordPress
Требования к паролю могут показаться непростыми, но все они обусловлены желанием разработчиков обезопасить вас от возможного взлома.
2. Длина пароля
Пароль должен быть длиннее 6 символов. Но для того, чтобы он был взломоустойчивый, лучше придумывать пароль длиной в 10-30 символов.
3. Микс из чисел и букв
Иногда пользователи думают, что цифровая последовательность или длинная фраза (которую легко запомнить) – это хороший вариант для пароля, но – нет. Лучший пароль – это смесь букв разного регистра, цифр и символов.
4. Возвращение к прежнему паролю
Многие пользователи думают, что при очередной регулярной смене своего пароля можно вернуться к паролю, который был до этого: скажем, вы придумали новый пароль, а потом, когда пришло время вновь менять пароль, решили вернуться к тому, что стоял у вас в позапрошлый раз. Так делать не следует – ни в коем случае не используйте прошлые пароли, всегда придумывайте новые!
5. Регулярное обновление паролей
Даже если вы придумали самый сложный в мире (как вам кажется) пароль, нельзя оставлять его на веки вечные. Окончательно обезопасить себя от взлома можно лишь регулярной сменой пароля. Это должно войти в правило и для вас, и для других пользователей (если вы являетесь администратором сайта, скажем). Менять пароль необходимо хоть бы раз в пару-тройку месяцев.
6. Двухфакторная аутентификация
Двухфакторная аутентификация – способ аутентификации пользователя при помощи двух различных средств. Простой пример: когда вам нужно войти в Вконтакте, вы сначала вводите адрес электронной почты/номер телефона и пароль, а затем код из SMS-сообщения, присланного на номер телефона. Таким образом, даже если взломщик получит данные для входа, второй этап подтверждения аутентификации он провалит.
Двухфакторная аутентификация – это хороший способ обезопасить себя и других пользователей от взлома. На своем сайте вы можете добавить двухфакторную аутентификацию, и пользователям перед авторизацией в WordPress нужно будет подтвердить свою личность (скажем, при помощи Google Authenticator).
Примеры плагинов для установки двухфакторной аутентификации:
7. Плагины безопасности
Плагины безопасности можно использовать не только для того, чтобы мониторить состояние сайта и ставить новые плагины, если обнаружены какие-то уязвимости. Их можно использовать и для того, чтобы устанавливать количество неудачных попыток входа, - и использовать это как защиту от брутфорс атак.
Также некоторые плагины предлагают провести аудит паролей пользователей на вашем сайте, что очень удобно, особенно если до этой статьи вы не задумывались о безопасности вашего сайта и ваших пользователей. Например, таким функционалом обладает плагин Wordfence.
8. Менеджер паролей
Выше мы уже обсудили, что для того, чтобы пароль выполнял свою функцию - то есть защищал аккаунт от несанкционированного доступа - это должна быть случайная последовательность, состоящая из цифр, букв верхнего и нижнего регистра, а также символов.
Придумать такой пароль - это только полдела. Проблема будет заключаться в запоминании и вводе пароля, состоящего из пары десятков хаотично расположенных символов.
И поэтому для удобства лучше использовать менеджер паролей. Например:
Это специальные сервисы для хранения пар логин-пароль от любых сайтов и приложений. Вся информация будет храниться в одном месте. Также сервисы собирают и обеспечивают безопасность других данных, которые вы регулярно вводите онлайн (вроде информации о кредитной карте и т.д.).
Конечно, такие сервисы и сами позволяют генерировать совершенно новые надежные пароли.
Заключение
Существует множество разных методов взлома, и наша задача - не облегчать взломщикам задачу, а максимально защитить сайт от всех возможных путей проникновения.
Большинство пользователей знает, что наиболее надежны длинные пароли в виде случайных цифро-буквенных последовательностей, но запоминать и вводить их неудобно, да и стоит ли… Советы в этой статье должны, во-первых, убедить вас и ваших пользователей в том, что надежный пароль обязателен; а во-вторых, в том, что его использование можно значительно облегчить при помощи сторонних сервисов.
Timeweb предлагает готовое решение - хостинг с бесплатной предустановленной CMS WordPress: https://timeweb.com/ru/services/hosting/
Комментарии