Як захистити свій сайт від атак методом грубої сили (Brute-force)

Атакою методом «грубої сили» (брутфорс, від англ. Brute-force attack) називається злом пароля шляхом перебору всіх можливих варіантів ключа. Будь-який пароль може бути підібраний шляхом повного перебору. Цей метод злому є найбільш універсальним, але також і найбільш повільним. Брутфорс ефективний для нескладних алгоритмів шифрування і ключів довжиною до 64 біт. При збільшенні довжини ключа починаючи з 128 біт, така атака хакерів буде малоефективною і потребуватиме багато ресурсів і часу.

В сьогоднішній статті ми розглянемо деякі запобіжні заходи, які дозволять вам убезпечити себе від брутфорсу (атаки методом грубої сили).

 

 

Офіційні рекомендації проти атак грубої сили

Оскільки атаки методом “грубої сили” досить поширені, багато CMS включають в свою документацію офіційні рекомендації проти таких атак. Наприклад, якщо ви використовуєте CMS WordPress, дані рекомендації ви знайдете за цією адресою. Якщо ви використовуєте CMS Magento, тоді відвідайте цю сторінку. Ми настійно рекомендуємо вам ознайомитися з цими рекомендаціями та прийняти їх до уваги задля захисту вашого сайту. Це варте того, щоб витратити на це час і прочитати все це.

 

 

Способи захисту від брутфорсу

Всі популярні системи управління контентом (CMS) мають в своєму розпорядженні плагіни та модулі, які призначені для захисту вашого сайту. Крім цього є хороші звички, які ви зможете реалізувати самі та бути впевненими, що навіть якщо ви піддаєтеся атакам грубої сили, ви будете в безпеці. Нижче ви знайдете основні з цих звичок.

 

 

Не використовуйте «admin» в якості імені користувача

Це може прозвучати тривіально, але про це обов’язково потрібно сказати. Не використовуйте admin в якості імені користувача.

Якщо на вашому сайті вже є адміністратор з таким логіном, змініть це. Чим складнішим буде логін, тим складніше буде підібрати його при спробі злому.

 

 

Використовуйте надійні паролі

Не використовуйте прості паролі: ні password, ні 123456, ні qwerty. І далі, в тому ж дусі. Використовуйте в паролі не менше 12 знаків, включаючи малі та великі англійські букви, цифри, а також спеціальні символи. Природно, що такий пароль складно буде запам’ятати, тому збережіть його в надійному місці.

 

 

Використовуйте на сайті двофакторну аутентифікацію

Двофакторна аутентифікація, або двоетапна верифікація (2FA) в наші дні практично необхідна для дійсно безпечної роботи в Інтернеті. По суті, 2FA зводиться до того, що система перевіряє, що ви маєте право увійти в систему, після введення унікального коду (або перейшовши за унікальним посиланням), які надсилаються тільки вам одному. Код може надсилатися на електронну пошту, мобільний телефон або навіть зберігатися на захищеній флешці.

 

 

Обмежте спроби входу в адміністративну панель сайту

Причина, по якій атаки методом перебору є настільки ефективними, полягає в тому, що спроби входу в систему за замовчуванням не обмежені. В основному, CMS не блокують вас, якщо ви ввели неправильний пароль занадто багато разів. Ось чому метод «грубої сили» є ефективним засобом отримання доступу – якщо хакери будуть «битися головою об стіну» досить багато разів, врешті-решт вони проб’ють в ній дірку. Обмежуючи кількість спроб входу в систему, ви ефективно запобігаєте основному удару атаки. Не всім, але ви зводите до мінімуму ймовірність того, що ваш сайт буде зламаний і заражений шкідливим ПЗ.

 

 

Використовуйте останні версії тем, плагінів і модулів

По мірі розвитку технологій, у хакерів на руках знаходяться дедалі витонченіші інструменти для зламу. Використовуючи кращі практики захисту, які наведені вище, не забувайте використовувати найостанніші версії CMS, шаблонів, плагінів і модулів. Так ви вбережете себе від потенційних вразливостей в системі.

Тримайте голову на плечах, очі відкритими і паролі надійними, і атаки методом грубої сили не проб’ють броню вашого сайту!

 

 

Поділіться, будь ласка, в коментарях своїми способами захисту сайту від все більш зростаючої загрози атак методом перебору.