Как защитить свой сайт от атак методом грубой силы (Brute-force)
Атакой методом «грубой силы» (брутфорс, от англ. Brute-force attack) называется взлом пароля путем перебора всех возможных вариантов ключа. Любой пароль может быть подобран путем полного перебора. Этот метод взлома является наиболее универсальным, но также и наиболее медленным. Брутфорс эффективен для несложных алгоритмов шифрования и ключей длиной до 64 бит. При увеличении длины ключа начиная с 128 бит, такая атака хакеров будет малоэффективной и потребует много ресурсов и времени.
В сегодняшней статье мы рассмотрим некоторые меры предосторожности, которые позволят вам обезопасить себя от брутфорса (атаки методом грубой силы).
Официальные рекомендации против атак грубой силы
Поскольку атаки методом «грубой силы» довольно распространены, многие CMS включают в свою документацию официальные рекомендации против таких атак. Например, если вы используете CMS WordPress, данные рекомендации вы найдете по этому адресу. Если вы используете CMS Magento, тогда посетите эту страницу. Мы настоятельно рекомендуем вам ознакомиться с данными рекомендациями и принять их во внимание для защиты вашего сайта. Это стоит того, чтобы потратить на это время и прочитать все это.
Способы защиты от брутфорса
Все популярные системы управления контентом (CMS) имеют в своем распоряжении плагины и модули, которые предназначены для защиты вашего сайта. Кроме этого есть хорошие привычки, которые вы сможете реализовать сами и быть уверенными, что даже если вы подвергаетесь атакам грубой силы, вы будете в безопасности. Ниже вы найдете основные из этих привычек.
Не используйте «admin» в качестве имени пользователя
Это может прозвучать тривиально, но об этом обязательно нужно сказать. Не используйте admin в качестве имени пользователя.
Если на вашем сайте уже есть администратор с таким логином, измените это. Чем сложнее будет логин, тем сложнее будет подобрать его при попытке взлома.
Используйте надежные пароли
Не используйте простые пароли: ни password, ни 123456, ни qwerty. И дальше, в том же духе. Используйте в пароле не менее 12 знаков, включая строчные и прописные английские буквы, цифры, а также специальные символы. Естественно, что такой пароль сложно будет запомнить, поэтому сохраните его в надежном месте.
Используйте на сайте двухфакторную аутентификацию
Двухфакторная аутентификация (2FA) в наши дни практически необходима для действительно безопасной работы в Интернете. По сути, 2FA сводится к тому, что система проверяет, что вы имеете право войти в систему, после ввода уникального кода (или перейдя по уникальной ссылке), которые отправляются только вам одному. Код может отправляться на электронную почту, мобильный телефон или даже храниться на защищенной флешке.
Ограничьте попытки входа в административную панель сайта
Причина, по которой атаки методом перебора являются настолько эффективными, заключается в том, что попытки входа в систему по умолчанию не ограничены. В основном, CMS не блокируют вас, если вы ввели неправильный пароль слишком много раз. Вот почему метод «грубой силы» является эффективным средством получения доступа – если хакеры будут «биться головой о стену» достаточно много раз, в конце концов они пробьют в ней дырку. Ограничивая количество попыток входа в систему, вы эффективно предотвращаете основной удар атаки. Не все, но вы сводите к минимуму вероятность того, что ваш сайт будет взломан и заражен вредоносным ПО.
Используйте последние версии тем, плагинов и модулей
По мере развития технологий, у хакеров на руках находятся все более изощренные инструменты для взлома. Используя лучшие практики защиты, которые изложены выше, не забывайте использовать самые последние версии CMS, шаблонов, плагинов и модулей. Так вы убережете себя от потенциальных уязвимостей в системе.
Держите голову на плечах, глаза открытыми и пароли надежными, и атаки методом грубой силы не пробьют броню вашего сайта!
Поделитесь, пожалуйста, в комментариях своими способами защиты сайта от все более растущей угрозы атак методом перебора.