Jestliže máte standardní instalaci WordPress stránky, tak je velmi pravděpodobné, že se na ni měsíčně zkouší několik stovek nebo až tisíců podezřelých pokusů o přihlášení. Tomuto způsobu získání přístupu do stránek se říká útok hrubou silou.
Namísto nalezení zranitelnosti v jádře WordPress, pluginu nebo šabloně se hacker pokouší zadat uživatelské jméno a heslo a uhádnout tak kombinaci, která ho dostane do administrace. Proti útoku hrubou silou (anglicky brute force attack) nemá WordPress ve výchozím nastavení žádnou ochranu, protože umožňuje neomezený počet přihlášení.
Nenechte se ale zmást, to že hacker zkouší uhádnout přístupy do WordPress stránky, neznamená, že sedí za počítačem a ručně vyplňuje formulář pro přihlášení. Vše se děje automaticky za pomocí skritpů, které generují a testují milióny kombinací během minut.
V tomto příspěvku si ukážeme způsob, jak nastavit omezení počtu pokusů o přihlášení do WordPress stránky. Budeme k tomu využívat plugin Limit Login Attempts Reloaded. Plugin se nachází v oficiálním katalogu pluginů a je možné jej nainstalovat přímo z WordPress administrace.
Po instalaci a aktivaci pluginu můžete jít do nastavení pluginu, které se nachází v Nastavení → Limit Login Attempts.
Plugin obsahuje výchozí nastavení, které nemusíte měnit, ale v případě, že vám něco nevyhovuje, lze to upravit. Na stránce nastavení, která je česky najdete:
- Statistiky – kolik plugin zablokoval pokusů o přihlášení.
- GDPR complience – zaškrtnutím plugin začne splňovat obecné nařízení o ochraně osobních údajů.
- Blokování – možnost nastavení počtu pokusů a délky banu při jejich vyčerpání.
- Upozornění na blokování – zda chcete log nebo informaci na email.
- Whitelist – seznam nebo rozsah povolených IP adres nebo uživatelských jmen, na které se limit nevztahuje.
- Blacklist – seznam nebo rozsah zakázaných IP adres nebo uživatelských jmen, které jsou blokovány.
Tento druh ochrany je součástí komplexních bezpečnostních pluginů jako je iThemes Security nebo WordFence, ale pokud je z nějakého důvodu nechcete používat, tak je plugin Limit Login Attempts Reloaded dobrou náhradou za jednu z jejich užitečných funkcí.