Dodatak za zaključavanje. Login LockDown dodatak za WordPress

Sigurnost web stranice prioritet je pri razvoju web projekta, a sigurnost WordPressa neće biti iznimka. Pokušaji neovlaštenog pristupa upravljanju blogom, iako nisu univerzalni, događaju se u životu webmastera...

Kako biste zaštitili svoje web mjesto od očitog hakiranja, odabirom ulaznih podataka možete ograničiti pristup administrativnoj ploči. Da biste to učinili, možete ostaviti prioritet samo za pouzdane IP adrese ili postaviti ograničenje broja pogrešaka autorizacije.

Popularan alat za blogere u borbi protiv selekcije je besplatni dodatak— Zaključavanje prijave. Ovaj visoko specijalizirani dodatak namijenjen je praćenju pokušaja autorizacije, odnosno prijavljivanja na WordPress konzolu.
Posebna značajka dodatka je fleksibilnost njegovih postavki, dopuštajući administratoru da odgodi svaki pokušaj prijave, ograničen na određeni broj, a zatim blokira napadača (njegovu IP adresu) na duže vrijeme!

Instalacija i aktivacija

Dodatak možete instalirati koristeći FTP pristup, nakon što ste prethodno preuzeli arhivu s dodatkom - https://wordpress.org/plugins/login-lockdown/
ili idite na odjeljak "Dodaci" na administrativnoj ploči, kliknite "Dodaj novo" na vrhu, zatim unesite naziv u traku za pretraživanje i pritisnite "Enter". Instaliramo prvi rezultat, a zatim ga aktiviramo.

Postavke dodatka

Kao što je prethodno navedeno, broj opcija LoginLockDown je mali i predstavlja samo funkcionalne parametre. Nakon što se aktivira, dodatak radi sa zadanim vrijednostima koje preferira većina korisnika.
Na ploči proširite odjeljak "Postavke", gdje ćete pronaći stavku "Zaključavanje prijave", kliknite i idite na stranicu postavki " Mogućnosti zaključavanja prijave»:

  1. Max Login Retries – broj pokušaja autorizacije nakon kojih se adresa blokira. Zadana vrijednost je 3 (ne preporučamo postavljanje više od 5 pokušaja).
  2. Retry Time Period Restriction (minutes) – broj minuta između pokušaja prijave, prema zadanim postavkama 2 minute (bolje je smanjiti kako bi se korisnik uskoro mogao ponovno prijaviti).
  3. Duljina zaključavanja (minute) – broj minuta blokiranja IP adrese, prema zadanim postavkama 120 (2 sata), sasvim je moguće povećati uz odgovarajuću razinu opasnosti.
  4. Zaključavanje Nevažeća korisnička imena? – opcija za onemogućavanje funkcija dodataka za neregistrirana imena (prijave). Omogućujemo ga prema vlastitom nahođenju, budući da odabir nepostojećeg para login-password ne predstavlja nikakvu opasnost.
  5. Mask Login Greške? – opcija za onemogućavanje grešaka autorizacije. Korisnik neće biti obaviješten ako su korisničko ime ili lozinka netočni.
  6. Prikaži kreditnu vezu? – opcija za prikaz veze na službenu web stranicu dodatka (oglašavanje za programere Login LockDown). Prikazano prema zadanim postavkama, za onemogućavanje kliknite treći potvrdni okvir.
  7. Ažuriraj postavke – gumb za ažuriranje postavki, kliknite na kraju da biste spremili promjene.
  8. Trenutno zaključano – područje s popisom blokiranih adresa. Moguće je izbrisati IP za pouzdane osobe koje nisu dobile pristup administratorskoj ploči.

Umjesto pogovora

Na taj način možete nenametljivo ograničiti pristup WordPress administratorskom području, isključujući automatski ili ručni odabir. Dodatak Login LockDown povremeno se ažurira kako bi se označila kompatibilnost s trenutne verzije CMS.

Pozdrav, dragi čitatelji bloga! Tema današnjeg članka: štiteći vaš WordPress blog od hakiranja odabirom lozinke za ulazak u administratorsko područje. Ova metoda se zove. Ovaj problem je vrlo relevantan, jer slučajevi neovlaštenog pristupa svetinji nad svetinjama bloga, odnosno upravljačkoj ploči WordPressa, nažalost, nisu nimalo rijetki.

Općenito, tema sigurnosti WordPressa vrlo je široka i nije ograničena samo na i, o čemu sam već ranije pisao. Mnogo tužnije posljedice (ne želim ni zamisliti) mogu se dogoditi ako napadači dobiju pristup administratorskom području bloga. Naš zadatak je učiniti sve da se to ne dogodi. A danas ću vam reći samo o jednom od načina za jačanje zaštite vašeg bloga. Upoznajte WordPress sigurnosni dodatak Zaključavanje prijave.

Zaštita vašeg WordPress administratora od hakiranja pomoću dodatka Login LockDown

Najlakši način hakiranja stranice je pogoditi korisničko ime i lozinku za ulazak u upravljačku ploču. Mora se reći da mnogi blogeri sami hakerima olakšavaju posao za 50% ostavljajući zadanu prijavu. A onda sve što mora učiniti je pronaći lozinku.

Jeste li promijenili korisničko ime ili još uvijek imate ime admin? Ako ne, učinite to odmah. Moj članak "" može vam pomoći u tome.

Obavezno odmah nakon instaliranja motora promijenite lozinku na sigurniju (neka ima oko 20 znakova, koristeći velika i mala slova, brojeve i posebne znakove). To možete učiniti izravno s administratorske ploče odlaskom na izbornik "Korisnici" - "Vaš profil". Unesite dva puta Nova lozinka i spremite promjene klikom na " Ažuriraj profil“. Povremeno promijenite lozinku i nemojte je koristiti na drugim stranicama.

Ovakvim jednostavnim radnjama već ćemo zakomplicirati zadatak hakerima. Ali recimo da su ispali tvrdoglavi i ne odustaju od pokušaja, korištenja posebni programi za odabir lozinke. I tu nam u pomoć dolazi sigurnosni dodatak za WordPress Login LockDown.

Kako radi dodatak Login LockDown

Dodatak bilježi točno vrijeme i IP adresu s koje je izvršen neuspješan pokušaj prijave u administratorsko područje bloga. Kada se napravi određeni broj neuspješnih pokušaja u određenom vremenskom razdoblju, dodatak blokira pristup stranici na određeno vrijeme. dano vrijeme. Prikazuje se poruka:

“Pogreška: Žao nam je, ali ovaj IP raspon je blokiran zbog veliki broj neuspjeli pokušaji prijave. Molimo pokušajte ponovo kasnije."

Osim toga, imat ćete popis svih blokiranih IP adresa i mogućnost njihovog deblokiranja u postavkama dodatka. Pogledajmo ih pobliže.

Instaliranje i konfiguriranje sigurnosnog dodatka Login LockDown

Instalirajte i aktivirajte dodatak. Instalaciju ovog dodatka detaljno sam opisao, kao primjer, u članku „“. Stoga, bez daljnjeg odlaganja, prijeđimo odmah na postavke.

Idite na izbornik "Opcije" - "Zaključavanje prijave".

Slika prikazuje zadane postavke. Možete ih mijenjati kako želite. U nastavku ću opisati što svaka točka znači i dati svoje komentare:

  • 1. Maks. prijava preuzimamaksimalan iznos pokušava se prijaviti na administratorsku ploču bloga. Mislim da nema smisla stavljati više od tri.
  • 2. Ograničenje vremenskog razdoblja ponovnog pokušaja (minute)– vremensko razdoblje u minutama za ponovni pokušaj. Pet minuta dovoljno je čak i za trčanje do kanadske granice, a kamoli za unos lozinke.
  • 3. Duljina zaključavanja (minute)– vrijeme u minutama za koje je blokiran pristup WordPress administratorskom području. Možete ga ostaviti 60 minuta, a možete i duže.
  • 4. Zaključavanje Nevažećih korisničkih imena– treba li uzeti u obzir pogrešan unos prijave? Označimo ovu stavku i dodatak će, osim lozinke, uzeti u obzir i pogrešno napisano ime. Dodatna zaštita za vaš blog nikad nije previše.
  • 5. Mask Login Errors– maskiranje pogrešaka pri unosu netočnih podataka. Označimo ga i tada napadač neće znati da su njegovi postupci pod kontrolom (nije primijetio nikakvu razliku).
  • 6. Trenutno zaključano– ovdje se prikazuje popis trenutno blokiranih IP adresa i vrijeme do deblokade. Više o tome u nastavku.

Nakon postavljanja postavki sigurnosnog dodatka Login LockDown, kliknite gumb "Ažuriraj postavke" kako bi promjene stupile na snagu.

Radi jasnoće, dešifrirat ću što će se dogoditi kada pokušate hakirati blog ako su postavke, na primjer, zadane, kao na gornjoj slici. Ako se lozinka netočno unese više od 3 puta u razmaku od 5 minuta, pristup administratorskoj ploči bit će blokiran na 60 minuta.

Sada se vratimo na popis IP adresa. Ne znam kada bi to moglo biti potrebno, ali imate priliku deblokirati IP adresu koja je ispala iz milosti. Da biste to učinili, označite ovu stavku i kliknite "Oslobodi odabrano". Ovo vjerojatno ima smisla ako ne samo vi imate pristup blogu. Na primjer, nekoliko autora ili freelancer mora nešto ispraviti.

Još jedan detalj. Ako ste primijetili, na prvoj snimci zaslona možete vidjeti da se ispod obrasca za prijavu u administratorskom panelu prikazuje upozorenje o zaštiti od strane Login LockDown dodatka. Trebao bi se pojaviti ako ste ispravno instalirali dodatak i ako radi. Ali u ovom slučaju gubi se smisao stavka 5. jer će napadač biti unaprijed upozoren na zaštitu. Uklonimo ovaj natpis.

Idite na izbornik "Dodaci" - "Uređivač". Odaberite naš sigurnosni dodatak s padajućeg popisa u gornjem desnom kutu i kliknite "Odaberi". Nalazimo ga u spisu login-lockdown/logindown.php ovaj redak (vidi sliku ispod) i izbrišite sve između navodnika. Pritisnite “Ažuriraj datoteku” i idite na stranicu za prijavu. Natpis bi trebao nestati.

Obratite pažnju na upozorenje na stranici za uređivanje. Prije unosa promjena deaktivirajte dodatak i zatim ga ponovno omogućite. Nadam se da nema potrebe podsjećati da prije bilo kakvog uređivanja datoteka morate napraviti njihove kopije.

Sada WordPress Login LockDown sigurnosni dodatak neće dopustiti napadaču da dobije pristup administratorskoj ploči pogađanjem lozinke. Naravno, to ne jamči 100% zaštitu za WordPress od hakiranja i drugih problema. Ali svaka vrsta obrane bloga izgradit će zid ispred neprijatelja ciglu po ciglu. Što je ovaj zid viši, to ćete mirnije spavati noću.

Važno je upamtiti da pitanjima sigurnosti bloga ne morate posvetiti ništa manje pozornosti nego pisanju jedinstvenog sadržaja i promoviranju svog bloga. tražilice. U budućim člancima vraćat ću se ovoj temi više puta. Pretplatite se na ažuriranja bloga kako biste uvijek bili u tijeku. Vidimo se uskoro!

Od provale,. Sada preporučujem instaliranje vrlo korisnog i potrebnog zaštitni dodatak Zaključavanje prijave. Čemu služi? Kada želite nešto promijeniti na svojoj web stranici, idete na administrativnu ploču svog WordPress bloga. Kako biste se prijavili, potrebno je unijeti svoje korisničko ime i lozinku u odgovarajuće kućice.

Prijava i lozinka- nešto poput ključa koji blokira neovlašteni ulazak na upravnu ploču vašeg WordPress blog. Napadač može pokušati pogoditi ključ unosom različitih opcija prijave. Dodatak za zaštitu bloga Zaključavanje prijave ograničava broj takvih pokušaja. Također ograničava vrijeme unosa: na primjer, prema zadanim postavkama košta 3 pokušaja u 5 minuta. Ako su svi pokušaji netočni, pristup se blokira na 60 minuta. Ovo su zadane postavke i mogu se mijenjati.

Instaliranje i konfiguriranje sigurnosnog dodatka bloga Login LockDown

Za instalaciju idite na administrativnu ploču, u Dodaci - Dodaj nove . Unesite ključnu frazu u obrazac za pretraživanje Zaključavanje prijave a u rezultatima pretraživanja naći ćete potreban dodatak. pritisni gumb Instalirati .

Nakon toga idite na Dodaci, pronađite ga i aktivirajte.

Zatim idite na Postavke - Zaključavanje prijave i konfigurirajte dodatak.

  • Maks. prijava preuzima— broj pokušaja unosa prijave i lozinke. Zadana vrijednost je 3, nema smisla postavljati više.
  • Ograničenje vremenskog razdoblja ponovnog pokušaja (minute) — vrijeme za unos lozinke i prijavu. To košta 5 minuta, to je sasvim dovoljno, možete i manje, na primjer, 3 minute.
  • Duljina zaključavanja (minute)— vrijeme blokiranja pristupa nakon neuspješnih pokušaja. To košta 60 minuta, ali možete i više, na primjer, 2-3 sata.
  • Zaključavanje Nevažećih korisničkih imena— treba li uzeti u obzir unos prijave. Odlazimo Ne.
  • Mask Login Errors— maskiranje pogrešaka pri unosu prijave. Stavljamo Da tako da napadač ne zna što je točno pogrešno uneseno - prijava ili lozinka.
  • Trenutno zaključano— ovdje se prikazuje popis blokiranih IP adresa s kojih je bilo netočnih pokušaja prijave. Ako želite, možete deblokirati određeni IP, npr. ako ne radite sami na blogu, a sigurno znate da je osoba koja s vama radi na WordPress blogu krivo ispunila obrazac. Koristi se ako nema vremena čekati otključavanje.

Nakon promjene parametara kliknite na gumb Ažurirajte postavke za spremanje postavki.

Kada ti zaštitni dodatak blog Zaključavanje prijave provjerite, ispod obrasca za prijavu u administratorskoj ploči pojavit će se poruka da je obrazac zaštićen ovim dodatkom. I tada će napadač biti upozoren na ovo. Možete ukloniti ovaj natpis. Da biste uklonili natpis, u administrativnoj ploči WordPress bloga idite na stavku izbornika Dodaci, pronađite i deaktivirajte dodatak, a zatim idite na Dodaci - uređivač , pronađite ovaj dodatak, kliknite Odaberite. U kodu datoteke loginlockdown.php pronađi liniju:

jeka "

Obrazac za prijavu zaštićen Login LockDown-om.


»;

i maknuti ono što je između navodnika, odnosno ono što treba ostati je:

jeka"";
Spremite promjene i aktivirajte dodatak.

Ali to nije sve, u sljedećem članku saznat ćete što je još poželjno.

Video o tome kako instalirati dodatak Login LockDown za zaštitu vašeg WordPress bloga

Više pojedinosti Možete ga dobiti u odjeljcima "Svi tečajevi" i "Uslužni programi", kojima možete pristupiti putem Glavni izbornik mjesto. U tim su odjeljcima članci grupirani po temama u blokove koji sadrže najdetaljnije (što je više moguće) informacije o različitim temama.

Također se možete pretplatiti na blog i saznati više o svim novim člancima.
Ne oduzima puno vremena. Samo kliknite na donju poveznicu:

Oko
Ova vam skripta omogućuje zaključavanje vašeg poslužitelja, slično bijelom popisu, ali na temelju dopuštenja i s prekrasnim sustavom pomoći. Samo preuzmite, stavite u mapu Skripte i spremni ste!

Značajke
  • Zaključajte poslužitelj, slično kao /whitelist
  • Dopuštenje za zaobilaženje zaključavanja
  • Naredba za provjeru statusa zaključavanja
  • Obavijesti kada se igrači pokušaju pridružiti tijekom zaključavanja
  • YAML pohrana
  • Potpuno prilagodljiv
Poznate greške
Nijedan

Što je skripta?
Skripta je slična dodatku i funkcionira kao dodatak, ali je napisana na drugom jeziku i za rad je potreban dodatak Skripta. Da biste učitali/onemogućili/omogućili svoje skripte, koristite naredbu /skript u igri

Instalacija i ovisnosti
Ova skripta zahtijeva dodatak SkQuery da bi radila. Trebat će vam i sam Skript plugin. Instalirajte oba ova dodatka i ponovno pokrenite poslužitelj. Otvorite datoteku lockdown.sk u programu kao što je Notepad++ i prilagodite je u odjeljku "opcije". Nakon što to učinite, samo spremite datoteku i ispusti u mapi "skripte" pod Skriptom, tada sve što trebate učiniti je upisati /skript ponovno zaključavanje i skripta će biti funkcionalna!

Dozvole
- lockdown.lock - Za zaključavanje poslužitelja i za prekid zaključavanja
- lockdown.bypass - Za zaobilaženje zaključavanja
- lockdown.notify - Za dobivanje obavijesti kada se poslužitelj otključa ili kada se igrač pokuša pridružiti tijekom zaključavanja
- lockdown.info - Može koristiti /lock ili /lock info da vidi trenutni status zaključavanja

Prilagodba

SpoilerTarget"> Spojler: odjeljak za prilagodbu

# ====================
#OPCIJE
# ====================
# p = prefiks
#c. = kod boje (&a, &b, &1..)
#t. =tekst
#m. = poruka
opcije:
# Prefiks koji se koristi za sve poruke
p: &7[&cLOCK&7]

# Treba li postojati razmak između redaka i poruke pomoći
b.razmak: istina

# Redovi korišteni za poruku pomoći
t.redovi: &7=============================================== =======

# Kod boje koji se koristi za /naredbu u poruci pomoći
c.pomoć: &c

# Kod boje koji se koristi za opis u poruci pomoći
c.desc:&f

# Poruka koja se šalje izvršitelju kada ukloni trenutno zaključavanje
m.end: &aZavršili ste trenutno zaključavanje!

# Poruka koja se šalje igračima s dozvolom obavijesti kada netko ukloni zaključavanje
m.ended: &b%player% je uklonio trenutno zaključavanje!

# Poruka koja se šalje igraču kada pokuša ukloniti nepostojeće zaključavanje ili kada nema aktivnog zaključavanja u /lock info
m.notlocked: &cPoslužitelj trenutno nije zaključan!

# Poruka u /lock info kada je zaključavanje aktivno
m.active: &aLockdown aktivan

# Početna poruka koja se koristi za zaključavanje (koristite %(_reason)% za razlog i %nl% za novi redak)
t.razlog: &c&lZAKLJUČAVANJE AKTIVNO%nl%%nl%&fRazlog: &c%(_reason)%%nl%%nl%&7Oprostite zbog neugodnosti!%nl%&bwww.example.com

# Poruka koja je govorila da je zaključavanje sada aktivno
m.start: &aZaključavanje aktivirano! &fRazlog: &c%(_reason)%

# Poruka koja se koristi kada igrač nema odgovarajuću dozvolu
m.noperm: &cNemate potrebnu dozvolu za ovu naredbu!

# Poruka koja se šalje igračima s dopuštenjem obavijesti kada se igrač pokuša pridružiti tijekom zaključavanja
m.tried: &7%player% pokušao se pridružiti!


Slike

Jedan od prvih koraka za postavljanje sigurnosti vaše WordPress stranice trebao bi biti osiguravanje autorizacije administratorske ploče. U tome će nam pomoći popularni dodatak Login LockDown koji će vas zaštititi od brutalnih lozinki i prijavljivanja zlonamjernih robota.

Kako biste započeli s Login LockDown, prvo trebate. Nakon instalacije idite na stavku izbornika Settings/Login LockDown i počnite raditi s dodatkom. Ali prvo, pogledajmo funkcionalnost.

Kretanje po članku:

Opis rada Login LockDown.

Login LockDown pamti IP adresu i označava svaki neuspjeli pokušaj prijave. Ako se u kratkom vremenskom razdoblju iz istog IP raspona otkrije broj pokušaja prijave veći od određenog broja navedenog u postavkama, tada je funkcija Prijava onemogućena za sve zahtjeve iz tog raspona. To pomaže u sprječavanju napada lozinkom malware i ljudi. Dodatak trenutno postavlja zadanu IP zabranu od 1 sata nakon 3 neuspjela pokušaja prijave unutar 5 minuta. To se može promijeniti na ploči postavki dodatka. Također možete ručno osloboditi blokirani IP raspon.

Odlaskom na izbornik postavki dodatka Login LockDown postat će nam dostupni sljedeći obrasci za prilagodbu.

U prvom polju obrasca potrebno je naznačiti maksimalan broj neuspješnih pokušaja prijave, nakon čega će biti omogućeno blokiranje IP-a, ovo polje mora imati vrijednost različitu od nule, inače blokiranje neće funkcionirati.

U sljedećem paragrafu trebamo naznačiti prihvatljivu učestalost unosa netočnih podataka. Prema zadanim postavkama, vrijeme je postavljeno na jednu minutu, odnosno promatranjem vremenske zone između pokušaja od jedne minute, možete zaobići blokiranje.

Sljedeća točka u postavci Login LockDown je omogućiti zaključavanje unosa netočna prijava. Ako je Da aktivno, blokiranje neće biti omogućeno.

WordPress obavještava korisnika ako su neki parametri netočno uneseni, što može ubrzati hakiranje, pa je preporučljivo onemogućiti te upite. Postavljanjem parametra na "Da".

Dodatak Login LockDown prema zadanim postavkama prikazuje korisnicima poveznicu na dodatak, tako da i drugi mogu osigurati svoje stranice, preporučujem da onemogućite ovu funkciju postavljanjem parametra kao što je prikazano na slici.

Nakon unosa svih postavki Login LockDown, kliknite gumb Save Changes. Ovo dovršava postavljanje dodatka.

Kako biste uklonili IP blokiranje sa ručni mod morate koristiti poseban obrazac, koji se nalazi na samom dnu postavki.

Ako su takve IP adrese blokirane, morat ćete ih ukloniti s popisa.

Korištenjem ovog jednostavnog dodatka možete značajno smanjiti rizik od hakiranja vaše stranice putem WordPress autentifikacije, što je jedna od najpopularnijih metoda hakiranja.