Как защититься от подбора пароля от админ-панели сайта (брутфорс-атака) Печать

Целью данной атаки является получения данных доступа к админ-панель вашего сайта путем перебора комбинаций логина и пароля администратора. Постоянные запросы к админ-панели для перебора комбинаций значительно повышают нагрузку.

Решение:
1) Подключить дополнительную авторизацию, к примеру с помощью файлов .htaccess и .htpasswd.
Необходимо создать файл с названием ".htpasswd" в корне директории сайта и при помощи специального инструмента сгенерировать его содержание, указав желаемый логин и пароль.

Для Joomla в файл ".htaccess" в папке /administrator/ добавить следующие строки:

 AuthName "Access Denied"

 AuthType Basic

 AuthUserFile полный_путь_до_корня_сайта/.htpasswd

requirevalid-user

Для WordPress в файл ".htaccess", в корневой директории сайта, добавить следующие строки:

 AuthUserFile .htpasswd

 AuthName "Private access"

 AuthType Basic

 <FilesMatch "wp-login.php">

Requirevalid-user

 </FilesMatch>

где "полный_путь_до_корня_сайта" - это абсолютный путь от корня файловой системы.

2) Изменить стандартный адрес админ-панели вашего сайта.
3) Ограничить доступ к админ-панели сайта по ip-адресу.

Общие рекомендации:

1. Обновите CMS до последней версии.
Как правило, разработчики CMS в новых версиях постоянно стараются еще больше оптимизировать работу скриптов.

2. Используйте кэширующие плагины.
В результате вы получите не только ускорение загрузки страниц сайта, но и снижение нагрузки.

3. Рекомендуем подключить одно из данных расширений: XCache, APC, OPCache.
Это поможет сократить время выполнения PHP скриптов, соответственно и снизит нагрузку.

4. Защитить формы обратной связи с помощью CAPTCHA.
Это вам поможет, как избежать массовой рассылки, так и защитит вашу базу от заполнения ненужной информацией, соответственно и от увеличения в объемах.

5. Удалить старые записи, такие как комментарии и пр. из базы данных.
Это поможет уменьшить размер базы данных, соответственно сократит время запроса к ней.

6. Для сайтов на WordPress отключить перенаправления, при запросе к контенту внутри директории wp-content/.
Так как при включенном ЧПУ уведомление о несуществующем контенте обрабатывает сам WordPress, а не сервер, данные запросы могут быть причиной повышенной нагрузки. Для устранения данной проблемы вы можете либо отключить ЧПУ, либо запретить обработку подобных уведомлений для директории wp-content/. Если отключать ЧПУ не намерены, тогда в файле .htaccess, который расположен в корне директории wp-content/, необходимо прописать данное правило:

RewriteEngineOff