Сегодня WordPress самая популярная система управления контентом. И понятно почему: удобство использования и настройки, множество плагинов, бесплатность. Но вместе с этим и большое внимание со стороны злоумышленников. Сайты на Wordptess очень часто становятся мишенью для атак. Причины взлома сайта бывают разные, точнее причина одна — деньги, подходы разные. Одним из способов взлома сайта, в том числе и на WordPress, является брутфорс или по-русски — метод грубой силы (brute force — грубая сила) — это когда пытаются получить доступ к сайту, путем подбора логина и пароля.

Все пользователи WordPress знают, что вход в админ панель сайта находится по адресу site.com/wp-login.php или site.com/wp-admin, с которой вас все равно перебросит на первую. Об это знают и злоумышленники. По этому, если безответственно отнестись к защите админки, то вероятность взлома вашего сайта возрастает в разы. Каким образом можно помешать попасть в админку тем, кому не нужно?

Первое, и самое банальное, но от этого не менее важное — выбор сильного пароля и смена стандартного логина.

Второе — установка специальных плагинов для защиты админки.

Третье — настройка ркдиректов и редактирование файлов WordPress вручную.

И так же, сейчас большинство хостингов со своей стороны предлагает защиту админки.

В этой статье я хочу рассказать про плагин Login Lockdown, который поможет защитить административную панель вашего сайта на WordPress от подбора пароля.

В чем заключается принцип работы плагина? Когда кто-то пытается попасть в вашу админку и неправильно вводит данные, логин или пароль, определенное количество раз за определенный промежуток времени — Login LockDown блокирует IP адрес с которого происходила попытка доступа на определенное количество времени.

Установка плагина

Установить плагин можно через встроенный менеджер WordPress. Для этого в панели управления нужно перейти в Плагины->Добавить новый .

В поле поиска ввести название плагина.

В результатах поиска выбрать плагин и нажать установить.

После установки Login LockDown нужно сразу же его активировать.

Теперь можно переходить к настройке расширения.

Переходим в Настройки->Login LockDown

Настроек у плагина не так много. Коротко пройдемся по ним.

  • Max Login Retries — максимальное количество попыток. По умолчанию 3, что означает, что после трех неудачных попыток авторизоваться доступ с этого IP будет заблокирован.
  • Retry Time Period Restriction (minutes) — период времени в минутах, за который засчитываются неудачные попытки входа. По умолчанию 5. То есть, если в течении пяти минут будет 3 раза введен неправильный пароль, произойдет блокировка.
  • Lockout Length (minutes) — период времени на который блокируется подозрительный IP. По умолчанию 60 мин.
  • Lockout Invalid Usernames? — Засчитывать ли неверный логин? По умолчанию отключено. Если функция отключена, то плагин не засчитывает ввод неверного логина. То есть, теоретически, если злоумышленнику известен пароль от админ панели, то он сможет подбирать логин сколько угодно раз.
  • Mask Login Errors? — Маскировать ошибки входа? По умолчанию отключено. Если функция отключена, то при вводе неправильных данных появляеться сообщение уведомляющая что именно введено неверно — логин или пароль.

При включенной функции в сообщении не будет уточнено где именно допущена ошибка.

  • Show Credit Link? — Показывать ссылку на Login LockDown. На выбор: показывать ссылку на сайт плагина, показывать ссылку но с тегом nofollow или не показывать ссылку.
  • Currently Locked Out — список заблокированных IP и время до разблокировки. Здесь же можно разблокировать IP.

Вот что из себя представляет Login LockDown. После изменения настроек сохраните их и теперь ваш блог будет еще немного защищенней.

Предыдущая запись
Следующая запись

(Последнее обновление: 02.12.2019)

Всем привет! Сегодня поговорим о безопасности своего сайта/блога ВордПресс . Чтобы спать спокойно нужно обязательно обеспечить безопасность . Самый распространенный способ для его взлома это - подбор пароля и имя пользователя для входа в вашу админпанель (защита от этого - ). Если по каким то причинам, плохие люди узнают ваш логин, тогда подобрать пароль для них не составит большого труда.

Админка WordPress: защита от взлома

Не ждите, пока ваш сайт будет взломан, чтобы вы начали заботиться о методах безопасности. Самое время ограничить количество попыток входа на ваш сайт WP. Давайте дорогие друзья усложним злоумышленникам эту задачу. Как ограничить число попыток входа в WordPress? При помощи бесплатного плагина Login LockDown.

Говорит Майкл Хейманс ():

Безопасность – это приоритетное направление в работе над любым сайтом, поэтому мы используем все возможности для ее обеспечения. Дополнительный уровень защиты предоставляет плагин Login Lockdown. Он защищает админку WordPress от взлома с помощью подбора пароля для входа. Если с какого-то IP-диапазона осуществляется чрезмерное количество попыток входа, по достижении предела Login Lockdown блокирует все запросы из этого диапазона.

Каждый владелец веб-сайта на WordPress время от времени сталкивается с проблемами, которые, вероятно, могли бы быть решены с помощью удобных внутренних плагинов. И быстро, и далеко ходить не нужно. Вот, что сделало WordPress таким популярным, правда? Плагины удобны и могут решать множество задач, что особенно полезно в том случае, если вы не являетесь разработчиком или вам не хватает профессиональных скиллов.

Защита WordPress – плагин Login LockDown

Дополнительный уровень защиты предоставляет плагин Login Lockdown

Плагин для ВордПресс Login LockDown ограничивает количество попыток входа в систему с заданного диапазона IP-адресов в течение определенного периода времени. Он для надежной защиты вашей панели управления WordPress.

О плагине Login LockDown

Login LockDown записывает IP-адрес и метку времени каждой неудачной попытки входа в систему. Если в течение короткого периода времени из одного и того же диапазона IP-адресов обнаружено более определенного количества попыток, функция входа в систему будет отключена для всех запросов из этого диапазона. Это помогает предотвратить обнаружение пароля методом перебора.

В настоящее время плагин по умолчанию блокируется на 1 час из IP-блока после 3 неудачных попыток входа в систему в течение 5 минут. Иначе говоря, вы будете заблокированы на один час если за 5 минут неправильно введете пароль 3 раза. Это можно изменить через панель Настройки. Администраторы могут освобождать заблокированные диапазоны IP-адресов вручную с панели.

Установка и настройка plagina

Конечно одним плагином полностью не защитить ваш блог, нужны ещё дополнительные меры, о чем я буду писать на страницах моего блога. Но это будет позже, а сейчас пожалуйста перейдите для установки плагина в админку. Раздел - Плагины - Добавить новый. В окно поиска введите название Login LockDown:

Поиск плагина

Искомый плагин будет в списке первый, нажмите "Установить", затем "Активировать плагин":

Установка плагина стандартным способом

Следующий шаг это - его настройка. Раздел Настройки - клик на название модуля.

Защита админки WordPress

На открывшейся странице -Параметры блокировки входа в систему - укажите:

  • Максимальное количество попыток входа например, 3;
  • Ограничение периода времени повтора (минут) например, 5;
  • Время блокировки в минутах например, 180;
  • Блокировка неверных имен пользователей? - Да;
  • Ошибки входа в систему? - Да.

Страница настроек плагина

Нажмите "Обновить настройки". Готово. Вот как выглядела форма для входа в админку без плагина:

Вход в админпанель WordPress

А теперь будет примерно так:

Вход форма с плагином

В заключение

Первый уровень защиты вашего сайта WordPress – это сам пароль. Вы должны всегда выбирать надежный пароль для своего веб-ресурса. На всякий случай читайте, что делать если вы . Нет на 100% защищенных сайтов, так как плохие люди всегда находят новые способы обойти защиту. Именно поэтому крайне важно все время сохранять полные резервные копии вашего сайта WordPress.

Я надеюсь, что этот пост помог вам добавить ограничение на количество попыток входа на ваш сайт WordPress. На этом у меня все. Удачи вам. Всего хорошего друзья. Пока, пока!

(function(w, d, n, s, t) { w[n] = w[n] || ; w[n].push(function() { Ya.Context.AdvManager.render({ blockId: "R-A-292864-4", renderTo: "yandex_rtb_R-A-292864-4", async: true }); }); t = d.getElementsByTagName("script"); s = d.createElement("script"); s.type = "text/javascript"; s.src = "//an.yandex.ru/system/context.js"; s.async = true; t.parentNode.insertBefore(s, t); })(this, this.document, "yandexContextAsyncCallbacks");

В первой части расскажу, как защитить блог от взлома с помощью подбора пароля. Самое главное - не ставьте простой пароль и не используйте один и тот же пароль на других ресурсах. Так же защититься от подбора пароля поможет плагин.

Установка и настройка плагина Login LockDown

Плагин блокирует доступ к вводу логина и пароля по IP на некоторое время, если было совершенно несколько неудачных попыток. Установить количество попыток и время блокировки вы можете сами.

Для установки нужно скачать плагин. Распаковать его в папку /plugins и активировать его.

Для настройки плагина заходим в «Параметры»->» появится такое окно:

Max Login Retries - это максимальное количество попыток входа, думаю трех достаточно.

Retry Time Period Restriction (minutes) - количество времени между попытками, у меня стоит 15 минут.

Lockout Length (minutes) - указывается количество минут, на которые блокируется форма входа в случае неправильного ввода данных за максимальное количество попыток, у меня стоит 15 минут.

Lockout Invalid Usernames - учитывать ли неверный ввод логина.

Mask Login Errors - маскировать ли ошибки ввода данных.

В разделе Currently Locked Out отображается список заблокированных IP.

Если плагин установлен нормально, то в форме ввода логина и пароля будет отображаться надпись Login form protected by Login LockDown.

Приветствую вас, коллеги. В этой статье пойдет речь о том, как защитить свой блог на движке WordPress от хакеров и всех тех, у кого руки чешутся. Начнем пожалуй с того что в наше время сайты довольно часто взламывают, особенно интернет-магазины, если даже они не раскрученные. Делают это по большому счету хакеры и те люди, которые не являются таковыми, но они также знают пару методов от своих собратьев, как можно взломать тот или иной сайт.

Получив доступ к сайту они, как правило, не ставят перед собой цель, получать от него прибыль, как это делал бывший владелец. Взломав сайт или блог, они чаще всего обращаются к его владельцу за выкупом. Цена зависит от многих параметров, начиная от тематики сайта заканчивая количеством посетителей в день. Если бывший владелец отказывается платить то вор просто идет на любую биржу купли продажи сайтов, например на и продает его.

Но если честно все это не очень-то прибыльно. Как я уже писал ранее интернет-магазины взламывают не из-за сайта так такового, а за информации, которая на нем хранится, а точнее паролей и номеров пластиковых карт тех людей, которые оплачивали товары. Но если у вас даже простой блог по рыбалке не думайте, что это и вас не коснется. Дело в том, что сами хакеры по сути ничего не делают, для этого у них есть специальный софт (программы), которые ищут уязвимые места на вашем блоге.

Одна из таких подбирает пароли к вашей админке (панель авторизации), чтобы ее взломать. Если у вас стоит слабый пароль, то вас просто откроют как консервную банку меньше чем за несколько минут. Те, кто поздно спохватились уже поздно задумываться, как защитить блог, так как если даже и удаться вернуть к нему доступ хакер обязательно оставит какой-нибудь незаметный код, чтобы в будущем снова зайти на этот сайт, как себе в родной дом. Поэтому лучше уже на начальных этапах ведения своего проекта задуматься, как по максимуму защитить блог, ибоесли сделать это не сейчас потом уже будет поздно. Итак, в этой статье я познакомлю вас с двумя плагинами login lockdownи limit login attempts, которые будут надежно защищать ваше детище 24 часа в сутки.

Принцип действия плагина Login LockDown и limit login attempts.

Все очень просто, как я писал выше, к нам пытаются подобрать пароль, так давайте ограничим им это удовольствие. Плагин login lockdown и limit login attempts не дают авторизоваться на сайте некоторое время, если пароль введен неправильно. Количество попыток и время вы устанавливаете сами. Также они запоминают точное время и IP компьютера, с которого пытались взломать сайт. Можно настроить плагины так, чтобы они сами отправлять в бан (черный список) таких умельцев.

В итоге ошибившись несколько раз они уже не смог дальше продолжать свой попытки, правда, если у них конечно не динамический IP. Но при любых обстоятельствах они уже не смогут это делать в быстром режиме. На взлом такого сайта и у них могут уйти даже месяцы или годы, все зависит от сложности вашего пароля и настроек, которые вы укажите. Так что можете не волноваться, им придется ждать до пенсий в любом случае.

Установка и настройка плагина login lockdown.

Lockout Invalid Usernames – поставьте тут галочку, если хотите чтобы учитывался неправильный ввод логина. То есть помимо пароля буде еще и логин проверяться. Эта функция нужна, если вы ведете блог не один и есть другие пользователи с другими именами. Если даже таких нет, все равно ставим Yes.

Mask Login Errors – поставьте тут галочку на Yes, если хотите чтобы маскировались ошибки ввода неправильных данных.

ShowCreditLink – тут поставьте «No, donotdisplaythecreditlink» если хотите чтобы не отображалась надпись плагина при входе в админку, тем самым не дав подсказки воришкам в чем может быть дело.

Currently Locked Out — тут вы можете убрать IP адреса, которые попали в бан. Для этого отметьте их галочкой и нажмите на «Release Selected». Ок после того как вы все настроите, нажмите на «Update Settings».

Установка и настройка плагина limit login attempts.

Скачиваем плагин limit login attempts и закачиваем его на блог, активируем. Переходи в «настройки» «Limit Login Attempts».

По сути плагин limit login attemptsэто тоже самое, что и login lockdown только с более расширенными настройками. В них вы можете видеть, сколько раз вас пытались взломать. У некоторых владельцев сайтов даже не денежной тематики эта цифра доходит до 8тыс! Также вы можете настроить, чтобы вас уведомляли по почте при неудачной попытке взлома. Кстати, тут есть еще одна классная функция, которая мне очень понравилась. Можно привязать IP своего компьютера к админке, то есть на вашем блоге можно авторизоваться только через ваш компьютер.

Чтобы включить эту функцию поставьте галочку «Да» возле – обрабатывать куккис логина. Если даже ваш компьютер сломается не беда, через удалите плагин и защита спадет. Ок, с остальными настройками я думаю, вы сами разберетесь все же они на русском языке. Заканчивая эту статью, хочу сказать, что мы проделали только малую, но уже существенную часть по защите своего творения, но это еще далеко не конец, поэтому рекомендую ознакомиться со следующей статьей — .

Login LockDown records the IP address and timestamp of every failed login attempt. If more than a
certain number of attempts are detected within a short period of time from the same
IP range, then the login function is disabled for all requests from that range.
This helps to prevent brute force password discovery. Currently the plugin defaults
to a 1 hour lock out of an IP block after 3 failed login attempts within 5 minutes. This can be modified
via the Options panel. Administrators can release locked out IP ranges manually from the panel.

Installation

  1. Extract the zip file into your plugins directory into its own folder.
  2. Activate the plugin in the Plugin options.
  3. Customize the settings from the Options panel, if desired.

Reviews

I like this plugin and use it on a number of websites I am a webmaster for. In case it helps, here are some thoughts on how/why I have configured the plugin. I leave the first 3 entries as default (3,5,60). They seem ideal to me. I set Lockout Invalid Usernames? to YES. If they don"t know the Username, why are they trying to login? I am careful, so I won"t lock myself out. I set Mask Login Errors? to YES. Denies useful intelligence to people who are trying to login when they shouldn"t. Why help them? I set Show Credit Link? to NO. I love helping people - and as it happens it"s my professional work - however telling people about the plugin so they can protect their blogs also tells people who are trying to login when they shouldn"t what security I am using. This is a more minor point, however it also falls under the "need to know policy" - they don"t.

I generally don"t have issues with this plugin and I assume it"s working well to protect my site from hackers. The only issue I have is that time to time it locks me out although I KNOW for a fact that I haven"t attempted to login unsuccessfully several times.