← Всі перевірки
Висока критичністьЩотижня
🔐

Захист від brute-force

Перевіряємо чи захищені сторінки входу від автоматичного перебору паролів. Відкритий /wp-login.php або /admin — запрошення для хакерів.

01 Що це таке?

Brute-force атака — автоматичний перебір паролів для отримання доступу до адмін-панелі сайту. Боти постійно сканують інтернет і атакують відомі URL сторінок входу: /wp-login.php для WordPress, /admin для інших CMS, /login для будь-яких сайтів. Без захисту бот може робити тисячі спроб за хвилину. Якщо пароль слабкий або стандартний — доступ до адмінки буде отримано. Після цього зловмисник встановлює backdoor і має постійний доступ навіть після зміни пароля.

02 Чому це важливо для бізнесу?

  • WordPress-сайти без захисту отримують від 100 до 10 000 brute-force запитів щодня
  • XML-RPC дозволяє перевіряти 500 паролів одним HTTP-запитом — обхід стандартних rate-limit
  • Успішний brute-force → встановлення backdoor → постійний доступ навіть після зміни пароля
  • Масові запити до сторінки входу перевантажують сервер і сповільнюють сайт для реальних користувачів
  • Слабкі паролі ("admin/admin", "123456") — досі найчастіша причина злому

03 Що саме перевіряємо

  • /wp-login.php, /admin, /login — доступність без rate limiting або captcha
  • xmlrpc.php — чи відповідає 200 OK (має повертати 403)
  • Заголовок X-Robots-Tag або robots.txt для сторінок входу
  • HTTP Authentication або IP-whitelist для /wp-admin/
  • Стандартний username "admin" — перевірка через REST API WordPress (/wp-json/wp/v2/users)

04 Типові проблеми

XML-RPC відкритий без потреби

xmlrpc.php — застарілий протокол WordPress для мобільних додатків і Jetpack. 99% сайтів він не потрібен, але він дозволяє перебирати паролі по 500 за один запит, обходячи обмеження входів.

POST /xmlrpc.php → 200 OK | system.multicall: 500 паролів/запит

Username "admin" в WordPress REST API

WordPress REST API (/wp-json/wp/v2/users) за замовчуванням показує імена користувачів. Якщо є юзер "admin" — зловмисник знає 50% облікових даних і залишається тільки перебрати пароль.

GET /wp-json/wp/v2/users → [{"slug":"admin","name":"Administrator"}]

/wp-admin без будь-якого захисту

Адмін-панель доступна з будь-якого IP без додаткового захисту. Мінімум — обмеження за IP або .htpasswd. Оптимально — captcha і двофакторна авторизація.

GET /wp-admin/ → 200 OK | Немає rate limiting, IP restriction, captcha

05 Вплив на бізнес

Успішний brute-force — найдешевший злом для зловмисника і найдорожчий для власника. Після отримання доступу до адмінки зловмисник може вкрасти всі дані, встановити майнер, перенаправити відвідувачів на фішинг або продати доступ. Виявлення і очищення займає дні. Превентивний захист — 15 хвилин налаштування.

Хочете автоматичну перевірку цього параметра?

Rank Sentinel моніторить це і ще 20+ параметрів — щодня, без вашої участі.

🚀 Підключити моніторинг

5 000 грн/рік · Beta-ціна

Деталі перевірки

Критичність
Висока
Частота
Щотижня
Категорія
security

Схожі перевірки

🔒
SSL-сертифікат
Перевіряємо дійсність, рейтинг і термін дії SSL-сертифіката — щодня, із попередженням за 30 і 7 днів до закінчення.
🛡
HTTP Security Headers
Перевіряємо наявність і правильне налаштування заголовків безпеки HTTP, які захищають від XSS, clickjacking та інших атак.
📦
Вразливості JS-бібліотек
Знаходимо застарілі версії jQuery, Bootstrap та інших бібліотек з відомими CVE-вразливостями, які можуть бути проексплуатовані хакерами.