Alapvető probléma a WordPress működési biztonságának szempontjából, hogy a bejelentkezési képernyőjén (/wp-admin/) akárhány bejelentkezési kísérlet a támadók rendelkezésére áll, így próbálgatásos (brute-force) támadások keretében (megfelelő idő és erőforrás rendelkezésre állása esetén) hozzáférést lehet szerezni az adminfelülethez. Ennek sokféleképpen vehetjük az elejét, például a webkiszolgálón beállíthatunk .htaccess-hozzáférést, amivel csak az a probléma, hogy alapesetben egy statikus fájllal dolgozik, így vagy mindenki ugyanazokat a bejelentkezési azonosítókat használja, vagy nekünk lesz rendszeres feladatunk a fájl frissítgetése, amennyiben az adminfelülethez többen is hozzáféréssel rendelkeznek.

A jó hír az, hogy erre is létezik egy bővítmény, amely ráadásul a WordPress felhasználóinak listáját használja, hiszen csupán annyival egészíti ki a WP bejelentkezési képernyőjének működését, hogy korlátozza a bejelentkezési kísérletek számát. Ennek a bővítménynek a neve a Limit Login Attempts Reloaded, és a következő funkciókat biztosítja:

 

  • IP-nként korlátozza a bejelentkezési kísérletek számát
  • Tájékoztatja a felhasználót a hátralévő kísérletek számáról vagy az újabb próbálkozásig hátralévő türelmi időről
  • Választható naplózás és e-mailes értesítés sikertelen kísérletek esetén
  • IP-k és fehasználónevek felvétele az engedélyezési vagy tiltólistára
  • XMLRPC-átjáró védelme
  • Woocommerce-bejelentkezés védelme
  • Multi-site (hálózati) WordPress-oldalak védelme
  • GDPR-kompatibilis
  • Egyéni IP-források (pl. Cloudflare) támogatása

A bővítmény teljesen ingyenesen elérhető, és a használata gyakorlatilag semmilyen vagy csak nagyon minimális konfigurációt igényel. Alapértelmezés szerint 4 próbálkozási kísérlet után 20 percre kitiltja a felhasználót, amelyet a további próbálkozások meghosszabbítanak. Ezt a működést változtathatjuk meg, értesítést kaphatunk a kizárt felhasználókról, valamint megadhatjuk az engedélyezési és kizárási listákat.

És ennyi. Igazából legalább annyira érthetetlen, hogy miért nem így működik alapértelmezés szerint a WordPress, mint amennyire az a tény, hogy nem képes épkézláb módon lekezelni a bejegyzések sikertelen időzítését. A telepítését követően máris egy fokkal nagyobb biztonságban tudhatjuk az oldalunkat, ráadásul úgy, hogy a felhasználók életét sem nehezítettük meg egy újabb bejelentkezési ablakkal.

Chilly
Chilly

Chilly 1997 óta foglalkozik webhelyek üzemeltetésével és programozással, valamint különböző kütyük kipróbálásával, és azóta folyamatosan nyomon követi a technikai újításokat. Elsődlegesen Linux-rendszerekkel dolgozik, de az évek során rengeteg tapasztalatra tett szert a Windows-gépek üzemeltetése terén is, hobbiszinten pedig az utóbbi időben egyre több időt tölt a Raspberry Pi módosítgatásával, illetve otthoni automatizált és biztonságtechnikai rendszerek kiépítésével.
Mesterfokon beszél angolul, és műszaki szakfordítói vizsgával rendelkezik. Korábban sokáig újságíróként dolgozott nyomtatott és online magazinoknál.