Skuteczny sposób na ataki “brute force” – Multisite WordPress
W ostatnim czasie administratorzy stron opartych na WordPressie zmagają się z plagą ataków typu „brute force”. Staje się to szczególnie uciążliwe wtedy, gdy jest się odpowiedzialnym za zabezpieczenie większej ilości instalacji tego typu.
Ataki typu “brute force” polegają na bezustannych próbach logowania do strony internetowej bez znajomości docelowego loginu i hasła. Hakerzy wybierają losowe wartości oparte o najczęściej wykorzystywane przez użytkowników kombinacje i za ich pomocą starają się dostać do panelu administracyjnego witryny.
Priorytetem w ochronie witryny przed atakami typu “brute force” jest przede wszystkim zabezpieczenie WordPressa, np. odpowiednimi wtyczkami. Dlatego też należy stale dbać o to, aby korzystać z aktualnej wersji Worpdressa i aktualizować template’y i pluginy na wszystkich stronach. Podczas zarządzania większą ilością domen przeprowadzanie aktualizacji i kontrola zabezpieczeń na każdej za stron może być jednak zadaniem żmudnym i czasochłonnym.
W przypadku zarządzania większą ilością domen, idealnym wręcz rozwiązaniem, które zaoszczędzi nam czasu i pracy, jest korzystanie z Multisite Wordpres.
WordPress Multisite jest funkcją CMS WordPress umożliwiającą zarządzanie wieloma instalacjami WordPress z jednego poziomu (kokpitu). Dzięki Multisite jesteśmy w stanie jednym kliknięciem ustawić taką samą konfigurację np. szablonu na wielu stronach jednocześnie. Dostęp do kokpitu głównego pozwala na przejście do każdej instalacji z osobna, bez konieczności przelogowywania. Dodatkowo, każda ze stron istniejących w sieci, funkcjonuje na jednej kopii plików oraz na jednej bazie danych, co w przypadku złamania haseł i dużej ilości stron, znacznie ogranicza czas usunięcia usterki.
System Multisite WordPress posiada wady, jednak przy atakach typu “brute force” za jego zastosowaniem z pewnością przemawiają liczne zalety. Poniżej opisana jest krok po kroku instalacja Multisite WordPress na jednym z najbardziej popularnych panelów ułatwiających zarządzanie serwerem – DirectAdmin. Pamiętaj!
| Zanim rozpoczniesz instalację, wykonaj backup pliku .htaccess oraz wp-config.php na swój dysk, by dysponować kopią zapasową. Warto również utworzyć kopię zapasową bazy danych i plików WordPress, w razie gdyby konfiguracja zakończyła się fiaskiem. |
/* Multisite */
define( ‘WP_ALLOW_MULTISITE’, true );
Edycja pliku wp-config.php – OBRAZEK #2
Komenda ta umożliwia uruchomienie sieci na blogu. Zapisz plik wp-config.php i przejdź z kokpitu administracyjnego do zakładki Narzędzia. Dostępna będzie tam uruchomiona dodatkowa opcja Uruchamianie sieci witryn.
Gdy już przejdziesz do zakładki Uruchamianie sieci witryn, zobaczysz poniższy komunikat:
Komunikat mod rewrite – OBRAZEK #3
Jest to efekt zamierzony i nie musisz się tym przejmować.
Następnie wybierz opcję Subdomeny i kliknij w przycisk Zainstaluj. Istnieje również opcja zmiany Nazwy sieci witryn oraz adresu E-mail administratora sieci witryn.
W przykładzie pozostawione są domyślne ustawienia.
Wybór adresów – OBRAZEK #4
Kolejnym komunikatem (przedstawiony na obrazku poniżej) również nie musisz się przejmować. Jest to efekt zamierzony, świadczący o tym, że wszystko idzie zgodnie z planem.
Komunikat DNS – OBRAZEK #5
Teraz instalator poprosi Cię o wykonanie kopii plików wp-config.php oraz .htaccess – jednak jeśli backup został wykonany wcześniej, ten krok możesz pominąć.
W kolejnym kroku zostaniesz poproszony o dodanie poniższego polecenia w pliku wp-config.php, znajdującego się w katalogu głównym domeny:
define(‘MULTISITE’, true);
define(‘SUBDOMAIN_INSTALL’, true);
define(‘DOMAIN_CURRENT_SITE’, ‘NAZWATWOJEJDOMENY.PL’);
define(‘PATH_CURRENT_SITE’, ‘/’); define(‘SITE_ID_CURRENT_SITE’, 1);
define(‘BLOG_ID_CURRENT_SITE’, 1);
Najlepiej dodać fragment kodu poniżej linijki o treści /* To wszystko, zakończ edycję w tym miejscu! Miłego blogowania! */:
Druga edycja pliku wp-config.php – OBRAZEK #6
Wszystkie komendy w pliku .htaccess zastąp poniższymi:
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ – [L]
# add a trailing slash to /wp-admin
RewriteRule ^wp-admin$ wp-admin/ [R=301,L]
RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ – [L]
RewriteRule ^(wp-(content|admin|includes).*) $1 [L]
RewriteRule ^(.*.php)$ $1 [L]
RewriteRule . index.php [L]
Zapisujemy tak, aby plik wyglądał jak na obrazku #7 i wrzucamy na FTP.
Edycja pliku .htaccess – OBRAZEK #7
Po wykonaniu tych kroków sieć witryn zostanie włączona i zostaniesz poproszony o ponowne zalogowanie się do panelu, przechodząc do kokpitu Administracji sieci witryn – obrazek #8. Kokpit Administracji siecią witryn – OBRAZEK #8
Kokpit Administracji siecią witryn – OBRAZEK #8
Aby Twoja sieć poprawnie obsługiwała nie tylko subdomeny, ale też osobne domeny, konieczna będzie instalacja pluginu WordPress MU Domain Mapping. Możesz go pobrać z oficjalnej strony WordPressa: wordpress.org/plugins/wordpress-mu-domain-mapping i wgrać przez FTP albo wyszukać i zainstalować za pomocą wyszukiwarki pluginów.
Instalacja pluginu WordPress MU Domain Mapping – OBRAZEK #9
Instalacja pluginu WordPress MU Domain Mapping – OBRAZEK #10 Bardzo ważne jest to, aby wtyczkę aktywować dla całej sieci!
WordPress MultiSite – OBRAZEK #11
Następnie, nadal będąc zalogowanym w kokpicie Administracji sieci witryn, przejdź do zakładki Ustawienia, a potem do Domain Mapping.
Domain Mapping – OBRAZEK #12
Powinien pojawić się komunikat z prośbą o przekopiowanie pliku sunrise.php do katalogu wp-content oraz z informacją o dopisaniu do pliku wp-config.php kodu SUNRISE.
WordPress MultiSite – OBRAZEK #13
Plik sunrise.php znajduje się w katalogu NAZWATWOJEJDOMENY.PL/wp-content/plugins/wordpress-mu-domain-mapping/sunrise.php. Pobierz go na dysk, a następnie przerzuć do katalogu wp-content.
Wgranie pliku sunrise.php – OBRAZEK #14
Teraz pozostało tylko dodać komendę define( ‘SUNRISE’, ‘on’); edytując ponownie plik wp-confing.php. Najlepiej, aby znajdował się pod ostatnio wrzucanym przez Ciebie kodem.
Trzecia edycja pliku wp-confing.php – OBRAZEK #15
Następnie ponownie przejdź do zakładki Domain Mapping i uzupełnij dwa pola. W pierwszym z nich podaj adres IP serwera na którym znajduje się strona. Jeśli nie znasz swojego IP strona www.getip.com z pewnością Ci pomoże. W drugim polu uzupełnij rekord CNAME domeny, a więc wpisz nazwę swojej domeny, bez protokołu http://, czy https:// oraz bez www.
Konfiguracja Domain Mapping – OBRAZEK #16
Po dodaniu tych informacji należy zapisać zmiany. Tym oto sposobem konfiguracja WordPress Multisite dobiegła końca. Pozostało tylko dodać domeny, które chciałbyś, by były obsługiwane przez sieć.
Pierwszą podstawą rzeczą przy serwerach opartych na platformie DirectAdmin będzie nakierowanie pozostałych domen w tym samym katalogu, co wcześniej zainstalowany WordPress ze skonfigurowaną wtyczką WordPress MU Domain Mapping Plugin. Tutaj z pomocą przyjdzie Ci opcja Wskazania domeny, dostępna najczęściej w Ustawieniach zaawansowanych.
Wskazanie domeny w DirectAdmin – OBRAZEK #17
W pustym polu wpisać należy nazwę domeny, którą chcesz przekierować na ten sam katalog, a następnie zaakceptować wprowadzone zmiany.
Wskazanie domeny w DirectAdmin – OBRAZEK #18
W tym przykładzie będzie to domena: 123451.pl
Przejdź do kokpitu Administracją sieci witryn, następnie Witryny i Dodaj nową. Wypełnij pola, wpisując roboczy (można go później edytować) adres witryny, tytuł witryny oraz e-mail administratora, po czym zaakceptuj zmiany buttonem Dodaj witrynę.
Dodawanie nowej witryny do sieci – OBRAZEK #19
Teraz bardzo ważnym zadaniem będzie dla Ciebie poprawne odczytanie Site ID dodanej subdomeny. Najprostszym sposobem będzie najechanie kursorem na opcję Edytuj i odczytanie numeru z dolnego paska w wyszukiwarce.
Odczytywanie Site ID – OBRAZEK #20
W tym przykładzie Site ID posiada nr 3, należy go zapamiętać. Aby zmienić obecny roboczy adres nowej strony, którą zamierzasz dodać, należy kliknąć w opcję Edytuj, a następnie w polu Adres URL witryny podać poprawną nazwę domeny. W tym przykładzie jest to 123451.pl.
Edycja adresu roboczego witryny – OBRAZEK #21
Przechodzimy do zakładki Ustawienia, a następnie Domains. W polu Site ID podajemy wcześniej odczytane ID dodawanej domeny, a w polu Domains wprowadzamy nazwę domeny, którą chcemy włączyć do sieci. W naszym przypadku jest to 123451.pl. Po uzupełnieniu tych pól, zapisz wszystko. Twoja sieć witryn powinna działać poprawnie.
Przez długi czas ataki „brute force” przeprowadzane były na większe, popularne serwisy. Były powodem ogromnego obciążenia serwerów, np. przez wysyłkę spam maili, wyłudzanie poufnych danych od Internautów czy ataki na inne serwery. Niejednokrotnie kończyło się to wyłączeniem stron lub całego serwera.
Obecnie jednak na takie ataki narażone są w zasadzie wszystkie strony. Administratorzy nawet mniejszych stron muszą przywyknąć do tej myśli oraz możliwie jak najlepiej je zabezpieczać. Na szczęście, przy pomocy funkcji Multisite WordPress, ochrona nawet większej ilości niewielkich witryn przed atakami „brute force”, nie powinna być już tak czasochłonna.
Grzegorz
Maliszewski
HEAD OF BUSINESS DEVELOPMENT
tel. +48 577 997 701
e-mail g.maliszewski@promotraffic.pl
PromoTraffic to przede wszystkim wysoki standard obsługi. Jest to agencja, która podchodzi do zagadnienia marketingu w sposób kompleksowy.
Adam Grybalow
4FIZJO
Przeprowadzane przez PromoTraffic kampanie są kluczowe dla naszego biznesu. Razem skutecznie realizujemy je na ponad 20 rynkach.
Łukasz Gwóźdź
Picodi
Ponad 11 lat doświadczenia, nieustanny #PROgress i sukcesy naszych Klientów.
