Zabezpečení webových stránek je prioritou při vývoji webového projektu a zabezpečení WordPress nebude výjimkou. Pokusy o neoprávněný přístup ke správě blogu, i když nejsou univerzální, se v životě webmastera objevují...
Chcete-li chránit svůj web před do očí bijícím hackováním, výběrem vstupních dat můžete omezit přístup k administrativnímu panelu. Chcete-li to provést, můžete ponechat prioritu pouze pro důvěryhodné adresy IP nebo nastavit limit počtu chyb autorizace.
Oblíbeným nástrojem blogerů v boji proti selekci je bezplatný plugin— Uzamčení přihlášení. Tento vysoce specializovaný doplněk je zaměřen na sledování pokusů o autorizaci, tedy přihlášení do konzole WordPress.
Zvláštností pluginu je flexibilita jeho nastavení, umožňující administrátorovi odložit každý pokus o přihlášení omezený na zadaný počet a následně útočníka (jeho IP adresu) na dlouhou dobu zablokovat!
Instalace a aktivace
Doplněk můžete nainstalovat pomocí přístupu FTP, poté, co si nejprve stáhněte archiv s pluginem - https://wordpress.org/plugins/login-lockdown/
nebo přejděte do sekce „Pluginy“ na panelu administrátora, klikněte na „Přidat nový“ v horní části, poté zadejte název do vyhledávacího pole a stiskněte „Enter“. Nainstalujeme první výsledek a poté jej aktivujeme.
Nastavení pluginu
Jak již bylo uvedeno, počet možností LoginLockDown je malý a představuje pouze funkční parametry. Jakmile je plugin aktivován, pracuje s výchozími hodnotami, které preferuje většina uživatelů.
V panelu rozbalte sekci „Nastavení“, kde najdete položku „Login LockDown“, klikněte a přejděte na stránku nastavení „ Možnosti uzamčení přihlášení»:
- Max Login Retries – počet pokusů o autorizaci, po kterých je adresa zablokována. Výchozí hodnota je 3 (nedoporučujeme nastavit více než 5 pokusů).
- Retry Time Period Restriction (minuty) – počet minut mezi pokusy o přihlášení, standardně 2 minuty (je lepší jej zkrátit, aby se uživatel mohl brzy znovu přihlásit).
- Lockout Length (minutes) – počet minut blokování IP adresy, ve výchozím nastavení 120 (2 hodiny), lze jej s patřičným stupněm nebezpečí zvýšit.
- Uzamknout neplatná uživatelská jména? – možnost deaktivace funkcí pluginu pro neregistrovaná jména (přihlášení). Umožňujeme to podle našeho uvážení, protože výběr neexistujícího páru přihlašovací jméno-heslo nepředstavuje žádné nebezpečí.
- Chyby přihlášení masky? – možnost zakázat chyby autorizace. V případě nesprávného uživatelského jména nebo hesla nebude uživatel upozorněn.
- Zobrazit odkaz na kredit? – možnost zobrazení odkazu na oficiální web pluginu (reklama pro vývojáře Login LockDown). Zobrazeno ve výchozím nastavení, pro deaktivaci klikněte na třetí zaškrtávací políčko.
- Aktualizovat nastavení – tlačítko pro aktualizaci nastavení, kliknutím na konec uložíte provedené změny.
- Aktuálně uzamčeno – oblast se seznamem blokovaných adres. Je možné vymazat IP pro důvěryhodné osoby, které nezískaly přístup k panelu administrátora.
Místo doslovu
Tímto způsobem můžete nenápadně omezit přístup do administrační oblasti WordPress, s výjimkou automatického nebo ručního výběru. Zásuvný modul Login LockDown se pravidelně aktualizuje, aby byla označena kompatibilita s aktuální verze CMS.
Dobrý den, milí čtenáři tohoto blogu! Téma dnešního článku: ochrana vašeho blogu WordPress před hackováním výběrem hesla pro vstup do administračního panelu. Tato metoda se nazývá . Tento problém je velmi relevantní, protože případy neoprávněného přístupu ke svatyni blogu, konkrétně k ovládacímu panelu WordPress, bohužel nejsou vůbec vzácné.
Obecně je téma zabezpečení WordPressu velmi široké a neomezuje se pouze na a, o kterých jsem již psal dříve. Mnohem smutnější důsledky (ani si to nechci představovat) mohou nastat, pokud útočníci získají přístup do oblasti pro správu blogu. Naším úkolem je udělat vše pro to, aby se to nestalo. A dnes vám povím pouze o jednom ze způsobů, jak posílit ochranu vašeho blogu. Seznamte se s bezpečnostním pluginem WordPress Uzamčení přihlášení.
Ochrana vašeho správce WordPress před hackováním pomocí pluginu Login LockDown
Nejjednodušší způsob, jak hacknout stránky, je uhodnout uživatelské jméno a heslo pro vstup do ovládacího panelu. Je třeba říci, že mnoho bloggerů samo o sobě usnadňuje hackerovi práci o 50% tím, že ponechává výchozí přihlášení. A pak už mu zbývá jen najít heslo.
Změnili jste své uživatelské jméno nebo stále máte jméno admin? Pokud ne, udělejte to okamžitě. V tom vám může pomoci můj článek „“.
Ujistěte se, že ihned po instalaci motoru změňte heslo na bezpečnější (udělejte ho asi 20 znaků, používejte velká a malá písmena, číslice a speciální znaky). To lze provést přímo z panelu administrátora v nabídce „Uživatelé“ - „Váš profil“. Zadejte dvakrát nové heslo a uložte změny kliknutím na „ Aktualizovat profil“. Heslo pravidelně měňte a nepoužívejte ho na jiných stránkách.
S takovými jednoduchými akcemi již zkomplikujeme úlohu hackerů. Ale řekněme, že se ukázali jako tvrdohlaví a nevzdávají to zkoušet, používat speciální programy pro výběr hesla. A zde nám přichází na pomoc bezpečnostní plugin pro WordPress Login LockDown.
Jak funguje plugin Login LockDown
Plugin zaznamená přesný čas a IP adresu, ze které byl proveden neúspěšný pokus o přihlášení do oblasti administrace blogu. Při určitém počtu neúspěšných pokusů za určitou dobu plugin zablokuje na určitou dobu přístup na stránku. daný čas. Zobrazí se zpráva:
"Chyba: Omlouváme se, ale tento rozsah IP byl zablokován z důvodu." velké číslo neúspěšné pokusy o přihlášení. Prosím zkuste to znovu později."
Navíc budete mít seznam všech blokovaných IP adres a možnost je odblokovat v nastavení pluginu. Pojďme se na ně podívat blíže.
Instalace a konfigurace bezpečnostního pluginu Login LockDown
Nainstalujte a aktivujte plugin. Instalaci tohoto pluginu jsem podrobně popsal jako příklad v článku „“. Proto bez dalšího přemýšlení pojďme rovnou k nastavení.
Přejděte do nabídky „Možnosti“ – „Login LockDown“.
Obrázek ukazuje výchozí nastavení. Můžete je libovolně měnit. Níže popíšu, co každý z bodů znamená, a uvedu své komentáře:
- 1. Maximální počet přihlášení – maximální částka pokusí se přihlásit do panelu správce blogu. Myslím, že nemá smysl dávat více než tři.
- 2. Omezení časového období opakování (minuty)– časový interval v minutách pro opakování. Pět minut stačí na to, abyste i běželi ke kanadským hranicím, natož abyste zadali heslo.
- 3. Délka uzamčení (minuty)– čas v minutách, po který je blokován přístup do administrátorské oblasti WordPress. Můžete jej nechat 60 minut, nebo nastavit déle.
- 4. Uzamčení Neplatná uživatelská jména– je třeba zohlednit nesprávné zadání přihlášení? Tuto položku označíme a plugin kromě hesla zohlední i špatně napsané jméno. Extra ochrana vašeho blogu není nikdy příliš.
- 5. Chyby přihlášení masky– maskování chyb při zadávání nesprávných údajů. Označíme to a útočník pak nebude vědět, že jeho akce jsou pod kontrolou (nevšiml si žádného rozdílu).
- 6. Momentálně uzamčeno– zde se zobrazuje seznam aktuálně blokovaných IP adres a čas do odblokování. Více o tom níže.
Po provedení nastavení bezpečnostního pluginu Login LockDown klikněte na tlačítko „Aktualizovat nastavení“, aby se změny projevily.
Pro názornost rozluštím, co se stane, když se pokusíte hacknout blog, pokud je nastavení například výchozí, jako na obrázku výše. Pokud je heslo zadáno nesprávně více než 3x v intervalu 5 minut, přístup do administračního panelu bude na 60 minut zablokován.
Nyní se vraťme k seznamu IP adres. Nevím, kdy to bude potřeba, ale máte možnost odblokovat IP adresu, která upadla v nemilost. Chcete-li to provést, zaškrtněte tuto položku a klikněte na „Uvolnit vybrané“. To pravděpodobně dává smysl, pokud nejen vy máte přístup k blogu. Například několik autorů nebo nezávislý pracovník musí něco opravit.
Ještě jeden detail. Pokud jste si všimli, na prvním snímku obrazovky můžete vidět, že pod přihlašovacím formulářem v admin panelu se zobrazuje upozornění na ochranu pluginem Login LockDown. Mělo by se objevit, pokud jste plugin nainstalovali správně a funguje. Ale v tomto případě se smysl odstavce 5 ztrácí, protože útočník bude na ochranu předem upozorněn. Pojďme tento nápis odstranit.
Přejděte do nabídky „Pluginy“ - „Editor“. Vyberte náš bezpečnostní plugin z rozevíracího seznamu vpravo nahoře a klikněte na „Vybrat“. Najdeme to v souboru login-lockdown/loginlockdown.php tento řádek (viz obrázek níže) a smažte vše mezi uvozovkami. Klikněte na „Aktualizovat soubor“ a přejděte na přihlašovací stránku. Nápis by měl zmizet.
Vezměte prosím na vědomí upozornění na stránce úprav. Před provedením změn plugin deaktivujte a poté jej znovu povolte. Doufám, že není třeba připomínat, že před jakoukoli úpravou souborů je třeba vytvořit jejich kopie.
Nyní Bezpečnostní plugin WordPress Login LockDown neumožní útočníkovi získat přístup k panelu administrátora uhodnutím hesla. To samozřejmě nezaručuje 100% ochranu WordPressu před hackováním a dalšími problémy. Ale každý typ obrany blogu postaví zeď před nepřítelem cihlu po cihle. Čím vyšší je tato stěna, tím klidněji budete v noci spát.
Je důležité si uvědomit, že bezpečnostním problémům blogu musíte věnovat stejnou pozornost než psaní jedinečného obsahu a propagaci svého blogu. vyhledávače. V dalších článcích se k tomuto tématu více než jednou vrátím. Přihlaste se k odběru aktualizací blogu, abyste byli vždy aktuální. Brzy se uvidíme!
Z vloupání, . Nyní doporučuji nainstalovat velmi užitečné a potřebné ochranný plugin Uzamčení přihlášení. K čemu to je? Pokud chcete na svém webu něco změnit, přejděte na panel správce svého blogu WordPress. Abyste se mohli přihlásit, musíte do příslušných polí zadat své uživatelské jméno a heslo.
Přihlášení a heslo- něco jako klíč, který blokuje neoprávněný vstup do vašeho administrativního panelu WordPress blog. Útočník se může pokusit uhodnout klíč zadáním různých možností přihlášení. Plugin pro ochranu blogu Uzamčení přihlášení omezuje počet takových pokusů. Omezuje také čas zadávání: například ve výchozím nastavení stojí 3 pokusy za 5 minut. Pokud jsou všechny pokusy nesprávné, přístup je na 60 minut zablokován. Toto jsou výchozí nastavení a lze je změnit.
Instalace a konfigurace bezpečnostního pluginu blogu Login LockDown
Chcete-li nainstalovat, přejděte na administrativní panel v Pluginy - Přidat nové
. Zadejte klíčovou frázi do vyhledávacího formuláře Uzamčení přihlášení a ve výsledcích vyhledávání najdete požadovaný plugin. zmáčknout tlačítko Nainstalujte
.
Poté přejděte na Pluginy, najít a aktivovat.
Pak přejděte na Nastavení - Uzamčení přihlášení a nakonfigurujte plugin.
- Maximální počet přihlášení— počet pokusů o zadání přihlašovacího jména a hesla. Výchozí hodnota je 3, více nemá smysl nastavovat.
- Omezení časového období opakování (minuty) — čas pro zadání hesla a přihlášení. Stojí to 5 minut, to je docela dost, můžete udělat méně, například 3 minuty.
- Délka uzamčení (minuty)— doba blokování přístupu po neúspěšných pokusech. Stojí to 60 minut, ale zvládnete i více, např. 2-3 hodiny.
- Uzamčení Neplatná uživatelská jména— zda zohlednit zadání přihlášení. Odcházíme Ne.
- Chyby přihlášení masky— maskování chyb při zadávání přihlašovacích údajů. Vložili jsme Ano aby útočník nevěděl, co přesně bylo zadáno špatně – přihlašovací jméno nebo heslo.
- Momentálně uzamčeno— zde je zobrazen seznam blokovaných IP adres, ze kterých došlo k nesprávným pokusům o přihlášení. Pokud si přejete, můžete odblokovat určitou IP, například pokud na blogu nepracujete sami a jistě víte, že osoba, která s vámi spolupracuje na blogu WordPress, vyplnila formulář špatně. Používá se, pokud není čas čekat na odemknutí.
Po změně parametrů klikněte na tlačítko Aktualizovat nastavení pro uložení nastavení.
Když vás ochranný plugin blog Uzamčení přihlášení zaškrtněte, pod přihlašovacím formulářem v admin panelu se objeví hláška, že formulář je chráněn tímto pluginem. A pak na to bude útočník upozorněn. Tento nápis můžete odstranit. Chcete-li nápis odstranit, přejděte v administrativním panelu blogu WordPress na položku nabídky Pluginy, najděte a deaktivujte plugin a přejděte na Pluginy - Editor , najděte tento plugin, klikněte Vybrat. V kódu souboru loginlockdown.php najdi řádek:
echo"
Přihlašovací formulář chráněný funkcí Login LockDown.
a odstraňte to, co je mezi uvozovkami, to znamená, co by mělo zůstat:
echo"";
Uložte změny a aktivujte plugin.
To ale není vše, v dalším článku se dozvíte, co je ještě žádoucí.
Video o tom, jak nainstalovat plugin Login LockDown pro ochranu vašeho blogu WordPress
Více podrobnosti Můžete jej získat v sekcích „Všechny kurzy“ a „Nástroje“, které jsou přístupné prostřednictvím Horní menu místo. V těchto sekcích jsou články seskupeny podle témat do bloků obsahujících nejpodrobnější (pokud možno) informace o různých tématech.
Můžete se také přihlásit k odběru blogu a dozvědět se o všech nových článcích.
Nezabere to mnoho času. Stačí kliknout na odkaz níže:
Tento skript vám umožňuje zamknout váš server, podobně jako vanilla whitelist, ale na základě oprávnění a s krásným systémem nápovědy. Stačí stáhnout, vložit do složky Skripty a můžete začít!
Funkce
- Zamkněte server, podobně jako / whitelist
- Povolení obejít uzamčení
- Příkaz pro kontrolu stavu uzamčení
- Upozornění, když se hráči pokusí připojit během uzamčení
- úložiště YAML
- Plně přizpůsobitelné
Žádný
Co je to skript?
Skript je podobný pluginu a funguje jako plugin, ale je napsán v jiném jazyce a ke svému fungování vyžaduje plugin Skript. Chcete-li načíst/zakázat/povolit své skripty, použijte příkaz /skript ingame
Instalace a závislosti
Aby tento skript fungoval, vyžaduje addon SkQuery. Budete také potřebovat samotný plugin Skript. Nainstalujte oba tyto pluginy a restartujte server. Otevřete soubor lockdown.sk v programu, jako je Notepad++ a upravte jej v sekci „možnosti“. Jakmile to uděláte, stačí soubor uložit a upustit to ve složce "scripts" pod Skript, pak stačí napsat /skript reload lockdown a skript bude funkční!
Oprávnění
SpoilerTarget"> Spoiler: Sekce přizpůsobení # ==================== # Mezi řádky a zprávou nápovědy by měla být mezera # Řádky použité pro zprávu nápovědy # Barevný kód použitý pro /command ve zprávě nápovědy # Barevný kód použitý pro popis ve zprávě nápovědy # Zpráva, která se odešle exekutorovi, když odstraní aktuální uzamčení # Zpráva, která se odešle hráčům s povolením upozornit, když někdo odstraní uzamčení # Zpráva, která se odešle hráči, když se pokusí odstranit neexistující uzamčení nebo když v informacích /lock není aktivní žádný zámek # Zpráva v / lock info, když je zámek aktivní # Zpráva o kopnutí použitá pro uzamčení (pro důvod použijte %(_reason)% a pro nový řádek %nl%) # Zpráva říká, že zámek je nyní aktivní # Zpráva použitá, když hráč nemá správná oprávnění # Zpráva zasílaná hráčům s povolením upozornění, když se hráč pokusí připojit během uzamčení
- lockdown.lock - K uzamčení serveru a ukončení uzamčení
- lockdown.bypass - Chcete-li obejít uzamčení
- lockdown.notify - Chcete-li dostávat upozornění, když se server odemkne nebo když se hráč pokusí připojit během uzamčení
- lockdown.info - Může použít /lock nebo /lock info k zobrazení aktuálního stavu uzamčení
Přizpůsobení
#MOŽNOSTI
# ====================
# p = předpona
#C. = kód barvy (&a, &b, &1..)
#t. =text
#m. = zpráva
možnosti:
# Prefix používaný pro všechny zprávy
p: &7[&cLOCK&7]
b.mezera: pravda
t.lines: &7============================================== =======
c.help: atd
c.desc:&f
m.end: &aUkončili jste aktuální uzamčení!
m.ended: &b%player% odstranil aktuální uzamčení!
m.notlocked: &cServer momentálně není uzamčen!
m.active: &aLockdown aktivní
t.reason: &c&lLOCKDOWN ACTIVE%nl%%nl%&fDůvod: &c%(_reason)%%nl%%nl%&7Omlouváme se za nepříjemnosti!%nl%&bwww.example.com
m.start: &aUzamčení aktivováno! &fDůvod: &c%(_reason)%
m.noperm: &cNemáte požadované oprávnění pro tento příkaz!
m.tried: &7%player% se pokusilo připojit!
snímky
Jedním z prvních kroků k nastavení zabezpečení vašeho webu WordPress by mělo být zabezpečení autorizace administrátorského panelu. Pomůže nám s tím oblíbený plugin Login LockDown, který vás pomůže ochránit před hesly hrubou silou a přihlašováním škodlivých botů.
Chcete-li začít s Uzamčením přihlášení, musíte nejprve. Po instalaci přejděte do nabídky Nastavení/Login LockDown a začněte pracovat s pluginem. Nejprve se však podívejme na funkčnost.
Navigace v článku:
Popis práce Login LockDown.
Login LockDown si pamatuje IP adresu a označí každý neúspěšný pokus o přihlášení. Pokud je během krátké doby detekován počet pokusů o přihlášení větší než určitý počet zadaný v nastavení ze stejného rozsahu IP, pak je funkce přihlášení deaktivována pro všechny požadavky z tohoto rozsahu. To pomáhá předcházet útokům na hesla malware a lidé. Plugin aktuálně nastavuje výchozí blokování IP na 1 hodinu po 3 neúspěšných pokusech o přihlášení během 5 minut. To lze změnit na panelu nastavení pluginu. Blokovaný rozsah IP můžete také uvolnit ručně.
Když přejdete do nabídky nastavení pluginu Login LockDown, zpřístupní se nám následující formuláře úprav.
V prvním poli formuláře musíme uvést maximální počet neúspěšných pokusů o přihlášení, po kterých bude blokování IP povoleno, toto pole musí mít nenulovou hodnotu, jinak blokování nebude fungovat.
V dalším odstavci musíme uvést přijatelnou frekvenci zadávání nesprávných údajů. Ve výchozím nastavení je čas nastaven na jednu minutu, to znamená, že dodržením časového pásma mezi pokusy o jednu minutu můžete blokování obejít.
Dalším bodem v nastavení Login LockDown je povolení uzamčení vstupu nesprávné přihlášení. Pokud je aktivní Ano, blokování nebude povoleno.
WordPress upozorní uživatele, pokud jsou některé parametry zadány špatně, což může urychlit hackování, proto se doporučuje tyto výzvy zakázat. Nastavením parametru na „Ano“.
Plugin Login LockDown uživatelům standardně zobrazuje odkaz na plugin, aby si své stránky mohli zabezpečit i ostatní, doporučuji tuto funkci deaktivovat nastavením parametru dle obrázku.
Po zadání všech nastavení LockDown přihlášení klikněte na tlačítko Uložit změny. Tím je nastavení pluginu dokončeno.
Chcete-li odstranit blokování IP z manuální režim musíte použít speciální formulář, který se nachází úplně dole v nastavení.
Pokud byly takové adresy IP zablokovány, budete je muset ze seznamu odstranit.
Pomocí tohoto jednoduchého pluginu můžete výrazně snížit riziko napadení vašeho webu pomocí ověřování WordPress, což je jedna z nejoblíbenějších metod hackování.