Brute force атака это один из самых простых но в то же время эффективных видов атак и она направлена ежедневно на миллионы сайтов. В этой атаке злоумышленник перебирает все возможные комбинации паролей пытаясь найти правильную. С помощью автоматизированных ботов процесс идёт очень быстро и слабые пароли могут быть взломаны за минуты.
Самые уязвимые точки входа
Для серверов в интернете самые атакуемые точки это обычно стандартные сервисы. Для WordPress сайтов главная цель это страница wp-login.php и она подвергается сотням попыток в час. Эта страница имеет стандартный адрес и присутствует на всех WordPress сайтах без дополнительной защиты, поэтому боты находят её автоматически и начинают атаку.
Со стороны сервера самый атакуемый сервис это SSH на стандартном 22 порту. Боты сканируют все 22 порты в интернете и при обнаружении SSH сразу пробуют root и популярные пароли. Другие опасные точки это FTP, порты баз данных, админ панели и интерфейсы управления.
Сильные пароли и двухфакторная аутентификация
Лучшая защита от brute force это сильный пароль и эта простая истина часто недооценивается. Пароли короче двенадцати символов взламываются автоматическими инструментами за несколько дней. Пароли длиннее шестнадцати символов с современными вычислениями практически не вскрываются. В пароле должны быть большие и маленькие буквы, цифры и спецсимволы.
Двухфакторная аутентификация добавляет дополнительный слой защиты и делает brute force практически невозможным. Даже зная пароль злоумышленник не войдёт без второго фактора в виде временного кода или приложения. Эту защиту нужно делать обязательной для админ панелей и важных аккаунтов.
Rate limiting и лимит попыток
Rate limiting это механизм ограничения количества разрешённых запросов за период времени и он резко снижает эффективность brute force. Например ограничение пяти попыток входа в минуту с одного IP делает подбор пароля практически невозможным потому что перебор миллиарда вариантов из словаря займёт годы.
Лимит попыток работает немного иначе и блокирует аккаунт после нескольких неверных паролей. Например блокировка на пятнадцать минут после пяти подряд ошибок. Этот подход почти не влияет на пользовательский опыт но эффективно останавливает ботов.
Стратегии блокировки IP
Блокировка IP адресов это классический способ защиты и он по прежнему эффективен. Автоматическая система блокировки временно или постоянно блокирует IP с которых идут множественные попытки. Это реализуется на сервере через специальные программы вроде fail2ban и требует минимум ресурсов.
Географическая блокировка ещё одна стратегия. Если на ваш сайт должны заходить только из определённых регионов, блокировка остальных стран резко уменьшает риск brute force. Подход хорошо подходит корпоративным системам и внутренним панелям управления.
Защита на уровне приложения
Для WordPress и других популярных систем есть специальные плагины безопасности которые автоматизируют защиту от brute force. Эти плагины переносят wp-login на другой адрес, добавляют captcha, ограничивают попытки и уведомляют о подозрительной активности. На уровне сервера самой эффективной защитой является web application firewall или WAF.
Sayt.uz практика
На наших серверах в среднем фиксируется 47 тысяч попыток brute force в сутки и 99 процентов из них блокируются автоматической системой. Среди клиентских сайтов где включён плагин безопасности количество инцидентов на 94 процента ниже.
В панели Sayt.uz brute force защита включена автоматически и fail2ban работает на всех серверах. Как дополнительный слой мы предлагаем WAF от 75 тысяч сум в месяц с полной защитой от продвинутых атак. Для сложных окружений доступен аудит безопасности от 420 тысяч сум.