Для защиты от нежелательных попыток входа в вашу учётную запись или на сайт лучше всего установить надёжный пароль учётной записи и включить двухфакторную аутентификацию. Также можно защитить сайт от атак методом перебора. Далее в руководстве говорится об этом подробно.
Атаки методом перебора — хакерский способ взлома сайтов WordPress через уязвимые места в коде. Хакеры пользуются масштабными компьютерными сетями, которые принято называть ботнетами, чтобы получить доступ к вашему сайту путём перебора тысяч комбинаций имени пользователя и пароля.
Есть два основных способа войти на сайт WordPress:
- wp-login — это страница входа WordPress, расположенная по адресу
/wp-login.php. Здесь вы можете безопасно выполнить вход на WordPress.com, введя свои учётные данные WordPress.com. - XMLRPC — это способ, используемый сторонними приложениями для аутентификации и взаимодействия с WordPress.
Оба эти способа имеют уязвимости, которыми могут воспользоваться боты для перехвата доступа к сайтам. Поэтому наш плагин Jetpack на WordPress.com дополнительно защищает эти способы от атак методом перебора. В среднем за время существования одного сайта WordPress модуль Jetpack блокирует более 5000 атак методом перебора.
Вне зависимости от размеров сайта, всегда найдётся кто-то (или что-то), кто попытается его взломать. Если атака методом перебора будет удачной, она может значительно замедлить работу вашего сайта или сделать так, что он перестанет отвечать. Кроме того, хакеры получат неавторизованный доступ к контенту и данным сайта.
Защита от атак методом перебора на WordPress.com блокирует нежелательные попытки входа во время обычных и распределённых атак методом перебора, помогая защитить ваш сайт с момента его создания.
Защита от атак методом перебора даёт вам возможность:
- автоматически блокировать подозрительные IP-адреса, прежде чем они вступят во взаимодействие с вашим сайтом;
- создать «белый» список доверенных IP-адресов, чтобы избежать ложных срабатываний;
- включать или отключать эту функцию по мере необходимости.
Jetpack использует данные с миллионов сайтов для обнаружения и устранения угроз. Например, если бот блокируется на одном сайте, он будет заблокирован и на других ещё до того, как попытается выполнить вход.
Этот раздел руководства относится к сайтам с тарифными планами WordPress.com Business и Commerce, а также с устаревшим тарифным планом Pro. Если вы приобрели тарифный план Business, не забудьте его активировать. Для бесплатных сайтов или сайтов с тарифным планом Personal и Premium необходимо приобрести платный тарифный план более высокого уровня, чтобы получить доступ к этой функции.
На сайтах, размещённых на WordPress.com, нельзя деактивировать плагин Jetpack, поскольку в результате этого действия доступ к сайту будет заблокирован, а основные функции плагина будут отключены. Jetpack управляется автоматически, чтобы мы могли гарантировать стабильно высокий уровень защиты и производительности.
Однако вы можете деактивировать определённые функции Jetpack, которые могут вызывать конфликты. Защита от атак методом перебора активируется по умолчанию при создании веб-сайта WordPress.com.
Вы можете деактивировать и вновь включать эту функцию, выполняя следующие действия:
- Откройте консоль вашего сайта.
- Перейдите в раздел Jetpack → Настройки.
- Нажмите на вкладку Безопасность.
- Прокрутите страницу вниз до раздела «Защита от атак методом перебора» и включите или отключите эту функцию.
Вы можете добавлять IP-адреса в список разрешённых, чтобы предотвращать их блокировку. Это может быть полезно, если вы сделали несколько неудачных попыток входа или если Jetpack отметил необычную активность с вашего текущего IP.
Чтобы добавить IP-адрес в список разрешённых адресов сайта, выполните следующие действия:
- Откройте консоль вашего сайта.
- Перейдите в раздел Jetpack → Настройки.
- Нажмите на вкладку Безопасность.
- Прокрутите страницу до раздела «Защищённые IP-адреса».
- Включите эту настройку.
- Добавьте нужные IP-адреса в белый список, разделяя их запятыми. Принимаются адреса IPv4 и IPv6. Чтобы указать диапазон, введите минимальное и максимальное значения, разделяя тире. Например:
12.12.12.1-12.12.12.100 - (По желанию) Нажмите кнопку с пометкой «Добавить в список разрешённых», чтобы добавить свой текущий IP-адрес в белый список.
Поддержка 