Брутфорс-атаки: что это, как работают и как защититься в 2026

Автор: BotHunt Editorial
Время чтения: 10 мин.
Просмотров: 9
Дата публикации: 6 июля 2026 г.

Брутфорс-атаки (от англ. brute force — «грубая сила») — самый простой и один из самых массовых способов взлома: программа автоматически перебирает пароли, пока не подберёт верный. Технологии десятки лет, но она работает до сих пор — из-за слабых паролей, открытых форм входа и отсутствия лимита на число попыток. По отраслевым оценкам, только в начале 2025 года число брутфорс-атак на российские веб-ресурсы выросло примерно в 2,7 раза за один квартал.

Мы в BotHunt ежедневно обрабатываем миллионы запросов к защищаемым сайтам и видим: перебор паролей к /wp-login.php и /bitrix/admin стабильно держится в топе автоматизированных угроз наравне с парсингом. Ниже разберём, что такое брутфорс-атака, какие бывают виды перебора, что и как злоумышленники брутфорсят чаще всего и какие методы защиты реально снижают риск в 2026 году.

Коротко:

  • Брутфорс-атака — это автоматический перебор паролей или ключей, при котором бот проверяет сотни и тысячи комбинаций в секунду, пока не найдёт рабочую.

  • Основные виды: простой перебор, атака по словарю, гибридная, обратная, credential stuffing (подстановка утёкших пар логин-пароль) и password spraying (распыление одного пароля по многим аккаунтам).

  • Чаще всего брутфорсят админки WordPress и Bitrix, серверные протоколы SSH и RDP, API и формы авторизации.

  • Пароль из 8 символов в нижнем регистре современная GPU-ферма подбирает за секунды, а пароль из 12 символов со спецсимволами — за столетия.

  • Надёжная защита — это комбинация мер: длинные пароли, двухфакторная аутентификация, лимит попыток и поведенческая блокировка ботов на входе, а не одна отдельная настройка.

Что такое брутфорс-атака простыми словами

Брутфорс-атака — это метод взлома, при котором программа автоматически перебирает возможные пароли, ключи или коды доступа, пока не найдёт правильный. Название происходит от английского brute force — «грубая сила»: атака не ищет уязвимости в коде, а берёт систему числом попыток.

Логика простая. Есть форма входа — например, страница /wp-login.php в WordPress. Бот отправляет пару «логин + пароль», получает отказ, берёт следующую пару из списка и повторяет. Тысячи и миллионы раз, пока сервер не пропустит.

Брутфорс относят к атакам на аутентификацию. Он не требует высокой квалификации: готовые инструменты и словари паролей лежат в открытом доступе, а вычислительные мощности арендуются в облаке за копейки. Именно доступность делает перебор одной из самых массовых угроз для сайтов и серверов. Подробнее о механике атак на аутентификацию можно почитать в описании Brute Force на OWASP.

Как работает брутфорс: механика перебора

В основе брутфорса — автоматизация и скорость. Программа генерирует или берёт из словаря комбинации и отправляет их на проверку сотнями и тысячами в секунду, пока одна не подойдёт. Скорость перебора зависит от того, где он идёт.

  • Онлайн-брутфорс — попытки идут прямо через форму входа на сайте или по сетевому протоколу (SSH, RDP, FTP). Скорость ограничена сервером и сетью: обычно от десятков до сотен попыток в секунду.

  • Офлайн-брутфорс — злоумышленник уже украл базу с хешами паролей и перебирает их на своём железе. Здесь GPU-ферма или облачный кластер даёт миллиарды проверок в секунду.

Онлайн-перебор кажется медленным, но и здесь скорость обманчива. Когда за атакой стоит ботнет из тысяч заражённых устройств, каждое шлёт свои несколько запросов в секунду, а суммарно на форму входа приходятся тысячи попыток. При этом ни один отдельный IP не превышает лимитов и не выглядит подозрительно. Именно поэтому распределённый онлайн-брутфорс в 2026 году опаснее классического: он и быстрый, и «тихий» одновременно.

Именно офлайн-сценарий объясняет, почему длина и сложность пароля критичны. Ниже — ориентировочное время полного перебора одного пароля на мощной GPU-системе (усреднённо по открытым бенчмаркам 2024–2025 годов).

Длина пароля

Только цифры

Строчные буквы

Буквы + цифры + спецсимволы

6 символов

мгновенно

мгновенно

секунды

8 символов

мгновенно

секунды – минуты

часы – дни

10 символов

секунды

часы

десятки лет

12 символов

минуты

десятилетия

столетия

16 символов

часы

тысячи лет

практически недостижимо

Время подбора пароля брутфорсом в зависимости от длины и сложности

Вывод самодостаточен: пароль из 8 символов в нижнем регистре перестал быть защитой — его перебирают быстрее, чем вы читаете это предложение. Разумный минимум в 2026 году — 12+ символов разного регистра с цифрами и спецсимволами.

Хотите закрыть форму входа от перебора без капчи и правки кода? Попробуйте BotHunt бесплатно 14 дней — установка занимает 1 минуту. Подключить защиту →

Виды брутфорс-атак

Брутфорс делится на несколько видов по стратегии перебора — от полного перебора всех комбинаций до подстановки готовых утёкших паролей. Понимание вида помогает выбрать защиту: разные атаки закрываются разными мерами.

Вид атаки

Как работает

Против кого эффективна

Простой перебор

Перебирает все комбинации символов подряд

Короткие и простые пароли

Атака по словарю

Берёт пароли из готового списка популярных и утёкших

Пароли-слова: 123456, qwerty, admin

Гибридная

Словарь плюс подстановка цифр и символов (password1, password!)

Пароли вида «слово + год»

Обратная

Один известный пароль примеряют ко множеству логинов

Аккаунты со стандартными паролями

Credential stuffing

Готовые пары «логин-пароль» из утечек проверяют на других сайтах

Люди, повторно использующие пароли

Password spraying

Один-два частых пароля распыляют по тысячам аккаунтов

Корпоративные порталы и почта

Виды брутфорс-атак: словарная, гибридная, credential stuffing, password spraying

Отдельно выделим credential stuffing и password spraying — именно они доминируют в 2025–2026 годах. Классический перебор шумный: тысячи ошибок входа с одного IP легко заметить и заблокировать. Поэтому атакующие перешли к «тихим» техникам. При credential stuffing подставляют уже известные из утечек пароли (в открытом обороте — миллиарды скомпрометированных учётных записей). При password spraying один пароль распыляют по многим аккаунтам с сотен разных IP через ботнет. Такие атаки почти не отличаются от обычных входов на уровне отдельного запроса — их видно только по поведению в масштабе.

Что брутфорсят чаще всего: цели атак

Чаще всего перебор идёт по точкам входа, где один подобранный пароль даёт полный контроль: админки CMS, серверные протоколы, API и формы авторизации. По нашим данным, распределение целей на типичном сайте выглядит так.

Цель

Типичный вектор

Что получает злоумышленник

WordPress

/wp-login.php, xmlrpc.php

Полный доступ к сайту, установка вредоносного кода

1С-Битрикс

/bitrix/admin

Управление сайтом и данными клиентов

SSH (сервер)

порт 22, вход root по паролю

Полный доступ к серверу

RDP (Windows)

порт 3389

Удалённый рабочий стол, установка шифровальщика

API

/api/*, эндпоинты авторизации

Массовый доступ к данным в обход интерфейса

Формы входа

/login, личный кабинет

Взлом аккаунтов пользователей

Цели брутфорс-атак: админки WordPress и Bitrix, SSH, RDP, API

Защиту конкретных CMS мы разбираем подробно в отдельных материалах — о защите WordPress от брутфорс-атак и о защите админки Bitrix от взлома. Отдельная головная боль WordPress — файл xmlrpc.php: через него боты умножают число попыток входа в одном запросе, поэтому его стоит закрыть, если вы им не пользуетесь.

Чем опасны брутфорс-атаки для бизнеса

Последствия брутфорса выходят далеко за взлом одного аккаунта — от кражи данных клиентов и заражения сайта до штрафов за утечку персональных данных и падения сервера под нагрузкой.

  • Взлом и дефейс сайта, установка вредоносного кода или скрытого майнера.

  • Кража базы клиентов и персональных данных — с риском штрафов по 152-ФЗ.

  • Рассылка спама и атаки на другие ресурсы с вашего сервера и вашего IP.

  • Шифровальщики (ransomware) после подбора доступа к RDP или SSH.

  • Нагрузка на сервер: даже неудачный перебор — это тысячи запросов в секунду, которые тормозят сайт и раздувают счёт за хостинг.

Последний пункт часто недооценивают. Мы фиксируем случаи, когда сама попытка брутфорса — без единого успешного входа — фактически превращалась в мини-DDoS и роняла сайт по нагрузке на CPU. Отсюда и рыночная статистика: по отраслевым оценкам, в начале 2025 года фиксировались сотни тысяч брутфорс-атак на российские сайты, а их число выросло примерно в 2,7 раза за квартал.

Отдельно стоит считать не только прямой ущерб, но и стоимость восстановления. После успешного взлома бизнес платит трижды: за простой сайта, за чистку от вредоносного кода и переустановку, и за репутацию — особенно если утекли данные клиентов. Восстановление и расследование инцидента почти всегда обходятся дороже, чем защита, которая его предотвратила бы. Поэтому брутфорс правильнее рассматривать не как «технический шум», а как реальный бизнес-риск с конкретной ценой.

Инструменты злоумышленников

Брутфорс автоматизируют готовыми утилитами — от Hydra и Medusa для онлайн-перебора до Hashcat и John the Ripper для офлайн-взлома украденных хешей. Все они в открытом доступе, что снижает порог входа для атакующего почти до нуля.

Инструмент

Тип

Применение

Hydra

Онлайн

Перебор по сетевым протоколам: SSH, FTP, HTTP-формы

Medusa

Онлайн

Параллельный перебор, аналог Hydra

Hashcat

Офлайн

GPU-взлом украденных хешей паролей

John the Ripper

Офлайн

Классический взлом хешей, гибкие правила

Burp Suite Intruder

Онлайн

Перебор через веб-формы и API

Ботнеты

Онлайн

Распределённый перебор с тысяч заражённых IP

Важный нюанс 2025–2026 годов: перебор всё чаще идёт с ботнетов и резидентных прокси — тысяч заражённых устройств и «чистых» домашних IP. Это ломает классическую защиту «заблокировать IP после N попыток»: каждый запрос приходит с нового адреса. Как сети распознают такие адреса по репутации, мы разбираем в материале о резидентных прокси и ASN-фильтрации.

BotHunt отсекает распределённый перебор по поведению и отпечатку клиента, а не по одному IP. Посмотреть тарифы →

Как защититься от брутфорс-атак: 9 методов

Надёжная защита от брутфорса — это не одна мера, а слои: сильные пароли и 2FA закрывают саму возможность подбора, лимиты и поведенческая блокировка отсекают ботов на входе, а мониторинг ловит то, что прошло. Ниже — методы и их эффективность в одиночку.

Метод

От чего защищает

Эффективность в одиночку

Сложные пароли 12+ символов

Простой перебор, атака по словарю

Средняя

Двухфакторная аутентификация (2FA)

Все виды, включая credential stuffing

Высокая

Лимит попыток входа (rate limiting)

Онлайн-перебор с одного IP

Средняя

Блокировка по IP и ASN

Перебор с датацентров и прокси

Средняя

Скрытие или переименование страницы входа

Автоматические сканеры

Низкая – средняя

Капча на форме входа

Простые боты

Средняя (роняет UX)

Смена стандартных портов (SSH 22 →)

Массовые сканеры

Низкая – средняя

Поведенческая антибот-защита

Ботнеты, spraying, stuffing

Высокая

Мониторинг и алерты по логам

Обнаружение атаки в процессе

Как дополнение

Многослойная защита от брутфорс-атак: пароли, 2FA, лимиты, поведенческий анализ

Обратите внимание: ни один метод в одиночку не даёт полной защиты. Пароли не спасают от credential stuffing — пароль-то верный, просто украден. Лимит по IP бесполезен против ботнета. Капча раздражает живых пользователей и обходится решателями. Поэтому в 2026 году работает комбинация, где ключевой слой — поведенческий анализ на входе: система смотрит не на один запрос, а на паттерн (скорость, последовательность, отпечаток клиента) и отсекает автоматизированный перебор ещё до проверки пароля.

На практике сильнее всего работает связка «2FA + поведенческая защита». Двухфакторная аутентификация обесценивает подобранный или украденный пароль, а антибот-слой снимает основную нагрузку — не пускает перебор до формы вообще, экономя и сервер, и нервы. Ключевой вопрос к такому слою — точность: слишком агрессивная блокировка отсекает живых людей вместе с ботами. Наши агенты держат точность на уровне 99,9% именно потому, что решение принимается по совокупности поведенческих сигналов, а не по одному признаку вроде IP или User-Agent.

С чего начать защиту — быстрый чек-лист:

  1. Включите двухфакторную аутентификацию на всех административных аккаунтах.

  2. Замените короткие пароли на 12+ символов и уберите повторное использование паролей.

  3. Ограничьте число попыток входа и закройте xmlrpc.php, если он не используется.

  4. Поставьте поведенческую защиту на формы входа и на /wp-login.php, /bitrix/admin.

  5. Настройте алерты на всплеск ошибок авторизации — их видно в логах сервера.

Как найти следы перебора в логах вручную, мы показываем в гайде о поиске ботов в логах Nginx. А общий порядок настройки защиты сайта от всех типов ботов — в пошаговом руководстве по защите сайта от ботов.

Закройте админку, SSH-панель и формы входа от перебора за 1 минуту — без капчи и без правки кода. Первые 14 дней бесплатно. Подключить BotHunt →

Часто задаваемые вопросы

Что такое брутфорс простыми словами?

Брутфорс — это автоматический подбор пароля перебором. Программа проверяет комбинации логина и пароля одну за другой, сотнями и тысячами в секунду, пока не найдёт рабочую. Уязвимости в коде при этом не используются — работает только скорость и число попыток.

Законен ли брутфорс?

Нет. Несанкционированный подбор паролей к чужим системам — это неправомерный доступ к компьютерной информации, статья 272 УК РФ. Легально брутфорс применяют только при пентесте — тестировании на проникновение с письменного разрешения владельца системы.

Сколько времени занимает брутфорс пароля?

Зависит от длины и сложности. Пароль из 8 символов в нижнем регистре современная GPU-система подбирает за секунды, а пароль из 12 символов с цифрами и спецсимволами — за столетия. Именно поэтому длина пароля важнее его «хитрости».

Как понять, что сайт под брутфорс-атакой?

Признаки: резкий рост ошибок авторизации (ответы 401/403), всплеск запросов к /wp-login.php, /login или /bitrix/admin, замедление сайта и рост нагрузки на CPU. Разобрать атаку по логам помогает наш гайд о поиске ботов в логах Nginx.

Защищает ли капча от брутфорса?

Частично. Капча отсекает простых ботов, но роняет конверсию живых пользователей, а сложные решатели и ботнеты её обходят. От credential stuffing и password spraying капча почти не помогает. Надёжнее поведенческая защита без капчи.

Помогает ли смена пароля от брутфорса?

Длинный уникальный пароль сильно замедляет прямой перебор, но не спасает от credential stuffing, если пароль уже утёк в чужой базе. Поэтому смену пароля нужно сочетать с двухфакторной аутентификацией и защитой формы входа.

Чем брутфорс отличается от credential stuffing?

Брутфорс подбирает пароль с нуля, перебирая варианты. Credential stuffing не подбирает — он подставляет уже известные из утечек пары «логин-пароль» в расчёте, что человек использует тот же пароль на разных сайтах. Второе тише и эффективнее.

Можно ли защититься от брутфорса без капчи?

Да. Поведенческая антибот-защита отсекает перебор по паттерну поведения и отпечатку клиента, не показывая капчу настоящим пользователям. BotHunt блокирует автоматизированный вход в реальном времени — ещё до проверки пароля.

О BotHunt

BotHunt — российский сервис защиты сайтов от поведенческих ботов, парсеров, спама и брутфорса. Подключается через DNS (без изменений на сервере) или одной строкой кода — плагином для WordPress, PHP-агентом или через Bitrix/OpenCart. Срабатывает в реальном времени и блокирует ботов до того, как они попадут в Метрику и повлияют на позиции в Яндексе. Точность детекции — 99,9%, ложных срабатываний — менее 0,05%.

Начать
14 дней бесплатно