Хватит кормить ботов: 3 рабочих метода защиты от брутфорса 🛡 Cloudflare — хорош для базовой фильтрации ботов, но против целевого брутфорса бесплатный тариф бессилен. Сегодня — только рабочие методы, которые вы можете применить прямо сейчас. 1️⃣Метод: Плагин Wordfence (для тех у кого CMS WordPress) — простая защита от брутфорса. Что делаем: 1. Устанавливаем Wordfence (бесплатной версии более чем достаточно). 2. Идем в Wordfence → Login Security. 3. Находим раздел "Enable brute force protection" включаем (ON) и настраиваем его. 4. Параметры в этом разделе (приведены на скриншоте): Lock out after how many login failures - через сколько попыток входа будет блокировка Lock out after how many forget password attempts - через сколько попыток восстановления пароля будет блокировка Count failures over what time period - период за который будут складываться попытки для произведения блокировки Amount of time a user is locked out - время на которое пользователь будет заблокирован Immediately lock out invalid usernames - сразу блокировать при попытках входа в несуществующих пользователей (рекомендуем также включить) Что это дает: Wordfence начнет автоматически отслеживать все попытки входа на ваш сайт. При множественных неудачных попытках с одного IP-адреса система автоматически заблокирует его. Почему это работает: Защита встроена прямо в ядро плагина и не требует сложной настройки. Вы просто включаете «тревожную кнопку», и Wordfence начинает работать как ваш личный охранник. А также этот плагин не только даёт защиту от брутфорса, но и ещё несколько полезных опций, о них расскажем позже. ——— 2️⃣Метод: Прячем админку через плагин — скройте страницу входа в панель CMS (примеры для WordPress). Еще один простой способ не быть взломанным — спрятать дверь. Используем плагин WPS Hide Login: 1. Устанавливаем и активируем плагин 2. В настройках плагина задаем новый URL для входа (например, /my-super-secret-admin) 3. Сохраняем изменения Почему это работает: 99% ботов бьют стандартные пути (/wp-admin, /admin). Вашего нового пути в их списках просто нет. Но от более целевых атак это всё же не защитит. Плагин WPS Hide Login тоже имеет защиту от брутфорса, можете попробовать настроить её самостоятельно или обратиться к нам! ——— 3️⃣Метод: Огранить страницу авторизации по IP. Это для тех, у кого хостинг на Apache 2.4 и выше (большинство современных хостингов): # Блокируем доступ к wp-login.php для всех, кроме вашего IP <Files "wp-login.php"> Require all denied Require ip 77.88.8.8 </Files> Как это проверить и настроить: 1. Узнайте свой IP: зайдите на сайт 2ip.ru или введите в Google «мой IP» 2. Замените 77.88.8.8 на ваш реальный IP 3. ⏺Важно: если у вас динамический IP, этот метод не подойдет - вы сами себя заблокируете! ⏺ Что это даст: - ✅ Все боты и хакеры получат ошибку 403 Forbidden - ✅ Доступ будет только у вас с вашего IP - ✅ Сервер не будет тратить ресурсы на обработку брутфорса Альтернатива для Nginx: Если у вас Nginx, добавьте в конфиг сайта: location /wp-login.php { allow 77.88.8.8; deny all; } Аналогично с apache не забудьте, если у вас динамический IP, то это не для вас! ——— Вывод: Не надейтесь на один инструмент. База: Встроенная защита Wordfence от брутфорса (или другие плагины с настройками безопасности). Стелс-режим: Смена URL админки, чтобы не быть мишенью. * Железный занавес: Ограничение по IP в .htaccess для полного контроля. Вопрос к вам: Какой из методов кажется вам самым надежным? Пробовали прятать админку? Пишите в комментариях! ❔ ——— А в следующем выпуске — реальный кейс из практики Aegis-Watch: «Как мы нашли и закрыли дыру, через которую утекали данные клиентов» Покажу на реальном примере, как выглядит опасная уязвимость и к каким последствиям она может привести. #брутфорс #защитаwordpress #wordfence #безопасность #htaccess