Alapvető probléma a WordPress működési biztonságának szempontjából, hogy a bejelentkezési képernyőjén (/wp-admin/) akárhány bejelentkezési kísérlet a támadók rendelkezésére áll, így próbálgatásos (brute-force) támadások keretében (megfelelő idő és erőforrás rendelkezésre állása esetén) hozzáférést lehet szerezni az adminfelülethez. Ennek sokféleképpen vehetjük az elejét, például a webkiszolgálón beállíthatunk .htaccess-hozzáférést, amivel csak az a probléma, hogy alapesetben egy statikus fájllal dolgozik, így vagy mindenki ugyanazokat a bejelentkezési azonosítókat használja, vagy nekünk lesz rendszeres feladatunk a fájl frissítgetése, amennyiben az adminfelülethez többen is hozzáféréssel rendelkeznek.

A jó hír az, hogy erre is létezik egy bővítmény, amely ráadásul a WordPress felhasználóinak listáját használja, hiszen csupán annyival egészíti ki a WP bejelentkezési képernyőjének működését, hogy korlátozza a bejelentkezési kísérletek számát. Ennek a bővítménynek a neve a Limit Login Attempts Reloaded, és a következő funkciókat biztosítja:

 

  • IP-nként korlátozza a bejelentkezési kísérletek számát
  • Tájékoztatja a felhasználót a hátralévő kísérletek számáról vagy az újabb próbálkozásig hátralévő türelmi időről
  • Választható naplózás és e-mailes értesítés sikertelen kísérletek esetén
  • IP-k és fehasználónevek felvétele az engedélyezési vagy tiltólistára
  • XMLRPC-átjáró védelme
  • Woocommerce-bejelentkezés védelme
  • Multi-site (hálózati) WordPress-oldalak védelme
  • GDPR-kompatibilis
  • Egyéni IP-források (pl. Cloudflare) támogatása

A bővítmény teljesen ingyenesen elérhető, és a használata gyakorlatilag semmilyen vagy csak nagyon minimális konfigurációt igényel. Alapértelmezés szerint 4 próbálkozási kísérlet után 20 percre kitiltja a felhasználót, amelyet a további próbálkozások meghosszabbítanak. Ezt a működést változtathatjuk meg, értesítést kaphatunk a kizárt felhasználókról, valamint megadhatjuk az engedélyezési és kizárási listákat.

És ennyi. Igazából legalább annyira érthetetlen, hogy miért nem így működik alapértelmezés szerint a WordPress, mint amennyire az a tény, hogy nem képes épkézláb módon lekezelni a bejegyzések sikertelen időzítését. A telepítését követően máris egy fokkal nagyobb biztonságban tudhatjuk az oldalunkat, ráadásul úgy, hogy a felhasználók életét sem nehezítettük meg egy újabb bejelentkezési ablakkal.

Chilly
Chilly

Chilly 1997 óta foglalkozik webhelyek üzemeltetésével és programozással, valamint különböző kütyük kipróbálásával, és azóta folyamatosan nyomon követi a technikai újításokat. Elsődlegesen Linux-rendszerekkel dolgozik, de az évek során rengeteg tapasztalatra tett szert a Windows-gépek üzemeltetése terén is, hobbiszinten pedig az utóbbi időben egyre több időt tölt a Raspberry Pi módosítgatásával, illetve otthoni automatizált és biztonságtechnikai rendszerek kiépítésével.
Mesterfokon beszél angolul, és műszaki szakfordítói vizsgával rendelkezik. Korábban sokáig újságíróként dolgozott nyomtatott és online magazinoknál.

Visit Us On LinkedinCheck Our Feed