В последнее время большое количество хостинг-провайдеров пожаловались на увеличившиеся объемы брутфорс атак на административные панели таких CMS платформ как WordPress и Joomla и в как следствие на увеличившуюся нагрузку от сайтов, которые подверглись подобным атакам. Примерно 100 тыс. атак в сутки регистрируется за последнюю неделю и это только те, которые удалось отследить.
[box_alert]Как сообщили в лаборатории Касперского, (а они взяли информацию из зарубежных источников) за последний месяц количество брутфорс-атак на данные платформы возросло втрое.[/box_alert]
Давайте попробуем разобраться, как можно защититься от bruteforce – атак или хотя снизить нагрузку создаваемую ими.
Один из способов это поставить пароль на папку с административной панелью вашей CMS посредством .htaccess и именно его мы рассмотрим.
Если вы хотите, чтобы при обращении к директории сервис Apache спрашивал пароль, необходимо в эту папку поместить файл с именем .htaccess, в который прописать следующие настройки:
[fancylist]
- AuthName NovallSecurity
Вместо NovallSecurity можно написать все, что захотите. Так будет называться защищенная область, окно будет показываться в браузере при запросе пароля, то что вы напишите подскажет пользователя, что он попал в защищенную зону.
Пример: AuthName “Введите пароль для входа” - AuthType Basic
Это указание метода шифрования пароля. Почти всегда используется именно данный метод шифрования.
Пример: AuthType Basic - AuthUserFile /Здесь_полный_путь_к_файлу/.htpasswd
Это путь к файлу, в нем будут храниться логины и пароли. Он может иметь любое имя и может располагаться в любом каталоге, самое главное, чтобы web-сервер мог его прочитать, что требует установки соответствующих прав доступа к этому файлу (например – 644). Однако, традиционно такие файлы называют .htpasswd.
Пример: AuthUserFile /home/novall/public_html/wp-admin/.htpasswd - require valid-user
Данная строка говорит о том, что все логины и пароли которые есть в файле .htpasswd смогут получить доступ к запрашиваемой папке. Если вы хотите дать доступ конкретному пользователю и никому другому, то указывайте require user логины_пользователей_через_пробел.
Пример: require user novall millerd admin
Пример: require valid-user
[/fancylist]
[box_tip]
Выглядеть это будет примерно так:
AuthName “Novall.net security zone”
AuthType Basic
AuthUserFile /home/novall/public_html/wp-admin/.htpasswd
require valid-user
</Files>
[/box_tip]
[box_download]ДЛЯ СОЗДАНИЯ ФАЙЛА .htpasswd можно использовать специальную программу для windows СКАЧАТЬ МОЖНО ЗДЕСЬ после создания файла загрузите его в нужную директорию на хостинге с помощью FTP или файл менеджера.[/box_download]