Безопасность сайта, является приоритетным пунктом разработки веб-проекта, и защита WordPress не станет исключением. Попытки несанкционированного доступа к управлению блогом дело, хоть и не повсеместное, но имеет место быть в жизни вебмастера…
Чтобы оградить свой веб-сайт от грубого взлома, путём подбора входных данных, можно ограничить доступ к административной панели. Для этого можно , оставив приоритет только для доверенных IP-адресов, либо установить лимит на количество ошибок авторизации.
Популярным инструментом блогеров в борьбе с подбором, является бесплатный плагин — Login LockDown. Это узкоспециализированное дополнение, направлено на отслеживание попыток авторизации, то есть входа в консоль WordPress.
Особенностью плагина можно назвать гибкость настроек, позволяющих администратору отсрочить каждую попытку входа, лимитированную указанным числом, после чего заблокировать злоумышленника (его IP-адрес) на длительный срок!
Установка и активация
Проинсталлировать дополнение можно по средствам FTP доступа, перед этим скачав архив с плагином — https://wordpress.org/plugins/login-lockdown/
или перейдите в раздел админки «Плагины», щёлкните сверху пункт «Добавить новый», после чего введите название в строку поиска и нажмите клавишу «Enter». Первый результат устанавливаем, а после и активируем.
Настройки плагина
Как ранее замечено, количество опций LoginLockDown невелико, и представляет собой лишь функциональные параметры. После активации плагин начинает действовать со значениями по умолчанию, предпочтительными для большинства пользователей.
В панели разверните раздел «Настройки», где обнаружится пункт «Login LockDown», кликаем и переходим на страницу настроек «Login LockDown Options
»:
- Max Login Retries – количество попыток авторизации, после которых адрес блокируется. По умолчанию указано 3 (не рекомендуем устанавливать более 5 попыток).
- Retry Time Period Restriction (minutes) – число минут между попытками авторизоваться, по умолчанию 2 минуты (лучше сократить, чтобы пользователь смог в скором времени повторить вход).
- Lockout Length (minutes) – число минут блокировки IP-адреса, по умолчанию 120 (2 часа), вполне можно увеличить при должном уровне опасности.
- Lockout Invalid Usernames? – опция для отключения функций плагина для незарегистрированных имён (логинов). Включаем по своему усмотрению, так как подбор несуществующей пары логин-пароль не несёт опасности.
- Mask Login Errors? – опция отключения ошибок авторизации. Пользователю не будут отображаться уведомления о неверном имени пользователи или пароле.
- Show Credit Link? – опция отображения ссылки на оф.сайт плагина (реклама разработчиков Login LockDown). Отображается по умолчанию, для отключения кликните третий четбокс.
- Update settings – кнопка обновить настройки, нажимаем в конце для сохранения внесённых изменений.
- Currently Locked Out – область со списком заблокированных адресов. Имеется возможность очистить IP для доверенных лиц, не получивших доступ к админке.
Вместо послесловия
Таким образом, можно ненавязчиво ограничить доступ к админке WordPress, исключая автоматический или ручной подбор. Плагин Login LockDown периодически обновляется, что указывает на совместимость с актуальными версиями CMS.
Здравствуйте, уважаемые читатели блога сайт ! Тема сегодняшней статьи: защита блога WordPress от взлома путем подбора пароля для входа в админку. Такой метод называют . Эта проблема очень актуальна, так как случаи несанкционированного доступа в святая святых блога, а именно в панель управления Вордпресс, к сожалению, совсем не редки.
Вообще тема безопасности Вордпресс очень обширна и не ограничивается только и , о которых я уже писал ранее. Гораздо более печальные последствия (даже представлять не хочется) могут наступить, если злоумышленники получат доступ в админку блога. Наша задача, сделать все возможное, чтобы этого не допустить. И сегодня я расскажу только об одном из способов усиления защиты блога. Встречайте, плагин безопасности WordPress Login LockDown .
Защита админки WordPress от взлома с помощью плагина Login LockDown
Самый простой способ взломать сайт, это подобрать логин и пароль для входа в панель управления. Надо сказать, что многие блоггеры сами облегчают работу взломщику на 50%, оставляя логин по умолчанию. И тогда ему остается только подобрать пароль.
А Вы поменяли логин пользователя или у Вас до сих пор стоит имя admin? Если нет, то сделайте это незамедлительно. Моя статья “ “, возможно, Вам в этом поможет.
Обязательно, сразу после установки движка, поменяйте пароль на более надежный (делаем около 20 символов, используя буквы верхнего и нижнего регистра, числа и спецсимволы). Это можно сделать прямо из админки, перейдя в меню “Пользователи ” – “Ваш профиль “. Дважды вводим новый пароль и сохраняем изменения, нажав кнопку “Обновить профиль “. Периодически меняйте пароль и не используйте его на других сайтах.
Такими нехитрыми действиями мы уже усложним взломщикам задачу. Но, допустим, они оказались упрямы и не оставляют попыток, используя специальные программы для подбора пароля. И тут нам на помощь приходит плагин защиты для WordPress Login LockDown.
Принцип действия плагина Login LockDown
Плагин фиксирует точное время и IP-адрес, с которого была сделана неудачная попытка входа в админку блога. Когда за определенный период времени будет совершено некоторое количество неудачных попыток, плагин блокирует доступ к сайту на заданное время. Выводится сообщение:
“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.
Кроме того, Вы будете иметь список всех заблокированных IP-адресов и возможность их разблокировать в настройках плагина. Рассмотрим их подробнее.
Установка и настройка плагина безопасности Login LockDown
Установите и активируйте плагин. Подробно установку этого плагина я описал, в качестве примера, в статье “ “. Поэтому без лишних слов сразу перейдем к настройкам.
Переходим в меню “Параметры ” – “Login LockDown “.
На рисунке показаны настройки по умолчанию. Вы можете изменить их на свое усмотрение. Ниже я опишу, что означает каждый из пунктов и дам свои комментарии:
- 1. Max Login Retries – максимальное количество попыток для входа в админ панель блога. Думаю, больше трех ставить не имеет смысла.
- 2. Retry Time Period Restriction (minutes) – период времени в минутах для повторной попытки. Пять минут хватит даже для того, чтобы добежать до канадской границы, не то чтобы ввести пароль.
- 3. Lockout Length (minutes) – время в минутах, на которое блокируется доступ к админке Вордпресс. Можно оставить 60 минут, а можно установить и побольше.
- 4. Lockout Invalid Usernames – учитывать ли неправильный ввод логина? Отмечаем этот пункт и плагин, кроме пароля, будет учитывать и неправильно написанное имя. Лишняя защита блога лишней никогда не бывает.
- 5. Mask Login Errors – маскировка ошибок ввода неправильных данных. Отмечаем, и тогда взломщик не будет знать, что его действия под контролем (что-то никакой разницы не заметил) .
- 6. Currently Locked Out – здесь отображается список, заблокированных в данное время IP-адресов и время до разблокировки. Об этом чуть ниже.
После сделанных настроек плагина безопасности Login LockDown, нажимаем кнопку “Update Settings “, чтобы изменения вступили в силу.
Для ясности, расшифрую, что произойдет при попытке взлома блога, если настройки стоят, например, по умолчанию, как на рисунке выше. Если пароль будет введен неправильно более 3 раз с интервалом 5 минут, то доступ для входа в панель администратора блокируется на 60 минут.
Теперь вернусь к списку IP-адресов. Не знаю, когда это может понадобиться, но у Вас есть возможность разблокировать IP-адрес, попавший в немилость. Для этого отметьте этот пункт и нажмите “Release Selected “. Наверное, это имеет смысл, если доступ к блогу есть не только у Вас. Например, несколько авторов или фрилансер должен что-то подправить.
Еще одна деталь. Если Вы заметили, то на первом скриншоте видно, что под формой входа в панель администратора выводится предупреждение о защите плагином Login LockDown. Оно должно появиться, если Вы правильно установили плагин и он работает. Но в этом случае теряется смысл пункта 5, ведь злоумышленник будет предупрежден о защите заранее. Давайте уберем эту надпись.
Идем в меню “Плагины ” – “Редактор “. Выбираем из выпадающего списка справа вверху наш плагин безопасности и нажимаем “Выбрать “. Находим в файле login-lockdown/loginlockdown.php эту строку (смотрите картинку ниже) и удаляем все, что указано между кавычками. Нажимаем “Обновить файл ” и переходим на страницу входа. Надпись должна исчезнуть.
Обратите внимание на предупреждение, на странице редактирования. Перед внесением изменений деактивируйте плагин, а потом снова включите. Надеюсь, то, что перед любым редактированием файлов, надо делать их копии, напоминать не надо.
Теперь плагин безопасности WordPress Login LockDown не позволит злоумышленнику попасть в админку путем подбора пароля. Конечно, это не гарантирует 100% защиты WordPress от взлома и других неприятностей. Но каждый вид защиты блога будет по кирпичику строить стену перед неприятелем. Чем эта стена выше, тем спокойнее Вы будете спать по ночам.
Необходимо хорошо запомнить, что уделять внимание вопросам безопасности блога надо не меньше, чем написанию уникального контента и продвижению в поисковых системах. В следующих статьях я еще не раз вернусь к этой теме. Подписывайтесь на обновления блога , чтобы всегда быть в курсе. До скорых встреч!
От взлома, . Теперь я рекомендую поставить очень полезный и нужный плагин для защиты Login LockDown . Для чего он нужен? Когда Вы хотите что-то изменить на своем , Вы заходите в административную панель блога WordPress. Для того, чтобы войти, Вам нужно ввести логин и пароль в соответствующие окошки.
Логин и пароль — что-то вроде ключа, который преграждает посторонним вход в административную панель Вашего блога WordPress . Злоумышленник может попробовать подобрать ключ, вводя различные варианты для входа. Плагин для защиты блога Login LockDown ограничивает число таких попыток. Также он ограничивает и время ввода: например, по умолчанию стоит 3 попытки за 5 минут. Если все попытки будут некорректными, доступ блокируется на 60 минут. Это настройки по умолчанию, которые можно изменить.
Установка и настройка плагина для защиты блога Login LockDown
Для установки заходите в административную панель, в Плагины — Добавить новый
. Вводите в форму поиска ключевую фразу Login LockDown
и в результатах выдачи находите нужный плагин. Нажимаете кнопку Установить
.
После этого заходите в Плагины
, находите и активизируете его.
Затем заходите в Настройки — Login LockDown и настраиваете плагин.
- Max Login Retries — количество попыток ввода логина и пароля. По умолчанию стоит 3, больше ставить нет смысла.
- Retry Time Period Restriction (minutes) — время ввода пароля и логина. Стоит 5 минут, этого вполне достаточно, можно и меньше сделать, например, 3 минуты.
- Lockout Length (minutes) — время блокировки доступа после неудачных попыток. Стоит 60 минут, но можно сделать и больше, например, часа 2−3.
- Lockout Invalid Usernames — учитывать ли ввод логина. Оставляем No .
- Mask Login Errors — маскировка ошибок ввода логина. Ставим Yes , чтобы злоумышленник не знал, что именно неправильно введено — логин или пароль.
- Currently Locked Out — здесь отображается список блокированных IP адресов, с которых были некорректные попытки входа. При желании, можно разблокировать какой-то IP, например, если Вы работаете над блогом не один, и точно знаете, что некорректно заполнял форму человек, который с Вами над блогом WordPress работает. Применяется, если ждать разблокировки некогда.
После изменения параметров нажимаете на кнопку Update Settings
, чтобы сохранить настройки.
Когда Вы плагин для защиты блога Login LockDown поставите, под формой входа в административную панель появится надпись о том, что форма находится под защитой этого плагина. И тогда злоумышленник будет предупрежден об этом. Вы можете эту надпись убрать. Чтобы убрать надпись, в административной панели блога WordPress заходите в пункт меню Плагины , находите и деактивируете плагин, затем заходите в Плагины — Редактор , находите это плагин, нажимаете Выбрать . В коде файла loginlockdown.php находите строку:
echo «
Login form protected by Login LockDown.
и убираете то, что находится между кавычками, то есть должно остаться:
echo"";
Изменения сохраняете и плагин активируете.
Но это еще не все, в следующей статье Вы узнаете, что еще желательно .
Видео о том, как поставить плагин Login LockDown для защиты блога WordPress
Более подробные сведения Вы можете получить в разделах "Все курсы" и "Полезности", в которые можно перейти через верхнее меню сайта. В этих разделах статьи сгруппированы по тематикам в блоки, содержащие максимально развернутую (насколько это было возможно) информацию по различным темам.
Также Вы можете подписаться на блог, и узнавать о всех новых статьях.
Это не займет много времени. Просто нажмите на ссылку ниже:
This Script allows you to lock your server, similar to a vanilla whitelist, but based off permissions and with a beautiful help system. Just dowload, put in the Scripts folder and you"re ready to go!
Features
- Lock the server, similar to a /whitelist
- Permission to bypass the lockdown
- Command to check the lockdown status
- Notifications when players try to join during a lockdown
- YAML storage
- Fully customizable
None
What is a script?
A Script is similar to a plugin and works like a plugin, but is written in a different language and requires the Skript plugin for it to work. To load/disable/enable your skripts, use the /skript command ingame
Installation and Depencies
This script requires the addon SkQuery for it to work. You will also need the Skript plugin itself. Install both of these plugins and restart your server. Open the lockdown.sk file in a program like Notepad++ and customize it in the "options" section. Once you"ve done that, just save the file and drop it in the "scripts" folder under Skript, then all you have to do is type /skript reload lockdown and the script will be functional!
Permissions
SpoilerTarget">Spoiler: Customization Section
# ====================
# Whether there should be a space between the lines and the help message
# Lines used for the help message
# Colorcode used for /command in help message
# Colorcode used for the description in the help message
# Message that gets send to the executor when he removes the current lockdown
# Message that gets send to players with the notify permission when someone removes the lockdown
# Message that gets send to the player when he tries to remove an unexisting lockdown or when there is no lock active in a /lock info
# Message in /lock info when the lock is active
# The kick-message used for the lockdown (use %{_reason}% for the reason and %nl% for a new line)
# Message used to say that a lock is now active
# Message used when the player doesn"t have the right permission
# Message send to players with notify permission when a player tries to join during a lockdown
- lockdown.lock - To lock the server and to end lockdowns
- lockdown.bypass - To bypass a lockdown
- lockdown.notify - To get notifications when the server gets unlocked or when a player tries to join during a lockdown
- lockdown.info - Can use /lock or /lock info to see the current lockdown status
Customization
# OPTIONS
# ====================
# p = prefix
# c. = colorcode (&a, &b, &1..)
# t. = text
# m. = message
options:
# Prefix used for all messages
p: &7[&cLOCK&7]
b.space: true
t.lines: &7=====================================
c.help: &c
c.desc: &f
m.end: &aYou ended the current lockdown!
m.ended: &b%player% removed the current lockdown!
m.notlocked: &cThe server is currently not locked!
m.active: &aLockdown active
t.reason: &c&lLOCKDOWN ACTIVE%nl%%nl%&fReason: &c%{_reason}%%nl%%nl%&7Sorry for the inconvenience!%nl%&bwww.example.com
m.start: &aLockdown activated! &fReason: &c%{_reason}%
m.noperm: &cYou do not have the required permission for this command!
m.tried: &7%player% tried to join!
Images
Одним из первых пунктов по настройке безопасности вашего WordPress сайта должна быть защита авторизации административной панели. В этом нам поможет популярный плагин Login LockDown, который поможет обезопасить вас от перебора паролей и логина вредоносными ботами.
Для того чтобы приступить к работе с Login LockDown вам нужно сначала . После установки в пункт меню Настройки/Login LockDown и приступаем к работе с плагином. Но для начала разберемся в функционале.
Навигация по статье:
Описание работы Login LockDown.
Login LockDown запоминает IP-адрес и ставит метки каждой неудачной попытке входа в систему. Если количество попыток авторизации больше, чем определенное число, указанное в настройках, обнаружены в течение короткого периода времени с того же диапазона IP, то функция Login отключается для всех запросов из этого диапазона. Это помогает предотвратить переборы паролей вредоносными программами и людьми. В настоящее время плагин устанавливает по умолчанию блокировку IP на 1 час после 3 неудачных попыток входа в течение 5 минут. Это можно изменить с панели настройки плагина. Также вы можете освободить заблокированный IP-диапазон вручную.
Перейдя в меню настройки плагина Login LockDown нам станут доступны следующие формы корректировки.
В первом поле формы нам нужно указать максимальное количество неудачных попыток входа, после которого будет включена блокировка IP, данное поле должно иметь не нулевое значение, в противном случае блокировка не сработает.
В следующем пункте нам нужно указать допустимую периодичность ввода неправильных данных. По умолчанию время стоит в одну минуту, то-есть соблюдая временную зону между попытками в одну минуту можно обойти блокировку.
Следующим пунктом настройки Login LockDown является включение блокировки при вводе неправильного логина. При активном Yes блокировка не будет включена.
WordPress уведомляет пользователя о неправильном вводе тех или иных параметров, что может ускорить взлом, по этому рекомендуется отключить эти подсказки. Установив параметр в «Yes».
По умолчанию плагин Login LockDown показывает пользователям ссылку на плагин, для того чтобы остальные могли так же обезопасить свои сайты, рекомендую отключить эту функцию, установив параметр так как показано на картинке.
После ввода всех настроек Login LockDown нажимаем кнопку сохранить изменения. На этом настройка плагина окончена.
Для того что бы убрать блокировку IP в ручном режиме нужно воспользоваться специальной формой, которая расположена в самом низу настроек.
Если такие IP-адреса были заблокированы, тогда вам будет нужно исключить их из списка.
Используя этот простой плагин вы сможете значительно уменьшить риски взлома вашего сайта через авторизацию WordPress, а это один из самых популярных методов взлома.