Základní ochranou proti brute force útoku je nepoužívat základní uživatelské jméno “admin” a mít nastavené silné heslo. Následně pak, můžete využít kteroukoliv z níže popsaných metod, abyste omezili počet těchto útoků. Samozřejmě lze využít i kombinace několika z nich.
1. Skrytí přihlašovací stránky
Pro skrytí přihlašovací stránky lze využít několika způsobů. V našem příkladu Vám ukážeme pravděpodobně nejjednodušší metodu skrze plugin iThemes Security. Můžete si ho stáhnout zde či přímo v administraci Wordpressu. Pro správnou funkčnost je potřeba mít aktivní soubor .htaccess (nastavení v administraci hostingového účtu v sekci “DOMÉNY - NASTAVENÍ” u kolonky “Aktivace .htaccess pro tuto doménu”).
V rámci administrace aplikace WordPress nainstalujte uvedený plugin iThemes Security. V jeho nastavení, v levém menu si vyberte možnost “Security - Settings” a klikněte na záložku “Advanced”.
Zde přejdete si do sekce “Hide Backend”. Zaškrtnete možnost “Enable the hide backend feature” a do řádku “Login Slug” napíšete novou adresu. V našem případě jsme zvolily text “skrytadministrace”. Po uložení nastavení se do administrace aplikace WordPress dostanete přes novou adresu http://nazev_domeny.cz/skrytaadministrace jak zobrazuje příklad.
2. Zabezpečení pomocí souboru .htaccess
Nejdříve bude potřeba zkontrolovat zda máte pro doménu aktivní soubor .htaccess . To zkontrolujete v administraci hostingu v sekci “DOMÉNY - NASTAVENÍ”. Vyberete požadovanou doménu a zkontrolujete nastavení v řádku “Aktivace htaccess pro tuto doménu”. Dále bude nutné se připojit na FTP a upravit či vytvořit soubor .htaccess. Jedná se o skrytý soubor, proto si v FTP klientovi aktivujte zobrazování skrytých souborů. Do souboru .htaccess přidáte nové pravidlo: V případě, že potřebujete zkopírovat tento text, tak to můžete provést zde. Nezapomeňte v pravidlu upravit cestu k souboru .htpasswd. Nyní si na FTP vytvořte soubor s názvem “.htpasswd”. Do tohoto souboru pak specifikujete uživatelské jméno a šifrované heslo. Pro vygenerovaní obsahu, můžete použit některé online generátory např.: zde.
3. Omezení počtu pokusů na přihlášení do administrace
Pro omezení počtu pokůsů na přihlášení do administrace využijeme v našem příkladu opět plugin iThemes Security (viz bod 1.). Můžete si ho stáhnout zde či přímo v administraci Wordpressu. Upozornění: Pokud využíváte základního uživatele admin, tak před aktivací tohoto nastavení si změntě či vytvořte nového uživatele. Plugin z důvodu bezpečnosti blokuje přístupy na základního uživatele. Jelikož je to první login, který útočník vyzkouší. Přejděte si do administrace Wordpressu, kde již budete mít stažený a nainstalovaný plugin iThemes Security. V levém menu si vyberete možnost “Security - Settings” a přejdete si do sekce “Local Brute Force Protection”. Zde si nastavíte po kolika chybných pokusech se IP adresa zablokuje. Nedoporučujeme nastavovat moc vysoké počty (nepředpokládáme, že uživatel znajíc přístupových hesel by se například 20 po sobě spletl). Při aktivní brute force ochraně se v základním nastavení odesílá email o každé blokované IP adrese. Doporučujeme upravit nastavení, aby se každý den odeslal pouze jeden email se všemi zablokovanýma IP adresama. V levém menu vyberete možnost “Security - Settings” a přejdete do sekce “Global Settings” a zde zaškrtnete možnost “Send Digest email” a nastavení uložíte.