Uzamykací doplnok. Prihlásenie LockDown plugin pre WordPress

Bezpečnosť webových stránok je prioritou pri vývoji webového projektu a bezpečnosť WordPress nebude výnimkou. Pokusy o neoprávnený prístup k správe blogu, hoci nie sú univerzálne, sa v živote webmastera vyskytujú...

Ak chcete chrániť svoje webové stránky pred očividným hackovaním, výberom vstupných údajov môžete obmedziť prístup k administratívnemu panelu. Ak to chcete urobiť, môžete ponechať prioritu iba pre dôveryhodné adresy IP alebo nastaviť limit počtu chýb autorizácie.

Obľúbeným nástrojom blogerov v boji proti selekcii je bezplatný doplnok— Uzamknutie prihlásenia. Tento vysoko špecializovaný doplnok je zameraný na sledovanie pokusov o autorizáciu, teda prihlásenie do konzoly WordPress.
Špeciálnou vlastnosťou pluginu je flexibilita jeho nastavení, umožňujúca správcovi oddialiť každý pokus o prihlásenie obmedzený na určený počet a následne útočníka (jeho IP adresu) dlhodobo zablokovať!

Inštalácia a aktivácia

Doplnok si môžete nainštalovať pomocou prístupu FTP po stiahnutí archívu s doplnkom - https://wordpress.org/plugins/login-lockdown/
alebo prejdite do sekcie „Pluginy“ na paneli správcu, kliknite na „Pridať nové“ v hornej časti, potom zadajte názov do vyhľadávacieho panela a stlačte „Enter“. Nainštalujeme prvý výsledok a potom ho aktivujeme.

Nastavenia pluginu

Ako už bolo uvedené, počet možností LoginLockDown je malý a predstavuje iba funkčné parametre. Po aktivácii plugin pracuje s predvolenými hodnotami, ktoré uprednostňuje väčšina používateľov.
Na paneli rozbaľte časť „Nastavenia“, kde nájdete položku „Login LockDown“, kliknite a prejdite na stránku nastavení „ Možnosti uzamknutia prihlásenia»:

  1. Max Login Retries – počet pokusov o autorizáciu, po ktorých je adresa zablokovaná. Predvolená hodnota je 3 (neodporúčame nastaviť viac ako 5 pokusov).
  2. Retry Time Period Restriction (minúty) – počet minút medzi pokusmi o prihlásenie, štandardne 2 minúty (je lepšie ho skrátiť, aby sa používateľ mohol čoskoro znova prihlásiť).
  3. Lockout Length (minúty) – počet minút blokovania IP adresy, štandardne 120 (2 hodiny), je celkom možné ho zvýšiť so správnou úrovňou nebezpečenstva.
  4. Uzamknúť neplatné používateľské mená? – možnosť vypnutia funkcií pluginu pre neregistrované mená (prihlásenia). Povoľujeme to podľa vlastného uváženia, pretože výber neexistujúceho páru prihlasovacie meno a heslo nepredstavuje žiadne nebezpečenstvo.
  5. Chyby pri prihlásení masky? – možnosť zakázať chyby autorizácie. Používateľ nebude upozornený, ak je používateľské meno alebo heslo nesprávne.
  6. Zobraziť odkaz na kredit? – možnosť zobrazenia odkazu na oficiálnu webovú stránku doplnku (reklama pre vývojárov Login LockDown). Zobrazuje sa v predvolenom nastavení, ak ho chcete deaktivovať, kliknite na tretie začiarkavacie políčko.
  7. Aktualizovať nastavenia – tlačidlo pre aktualizáciu nastavení, kliknutím na koniec uložíte vykonané zmeny.
  8. Aktuálne uzamknuté – oblasť so zoznamom blokovaných adries. Je možné vymazať IP pre dôveryhodné osoby, ktoré nezískali prístup k administračnému panelu.

Namiesto doslovu

Týmto spôsobom môžete nenápadne obmedziť prístup do oblasti správy WordPress, s výnimkou automatického alebo manuálneho výberu. Doplnok Login LockDown sa pravidelne aktualizuje, aby naznačil kompatibilitu s aktuálne verzie CMS.

Dobrý deň, milí čitatelia blogu! Téma dnešného článku: ochrana vášho blogu WordPress pred hackermi výberom hesla pre vstup do administračného panela. Táto metóda sa nazýva . Tento problém je veľmi relevantný, pretože prípady neoprávneného prístupu k svätyni blogu, konkrétne ovládaciemu panelu WordPress, nie sú, žiaľ, vôbec zriedkavé.

Vo všeobecnosti je téma bezpečnosti WordPress veľmi široká a neobmedzuje sa len na a, o ktorých som už písal skôr. Oveľa smutnejšie následky (ani si to nechcem predstaviť) môžu nastať, ak útočníci získajú prístup do oblasti správy blogu. Našou úlohou je urobiť všetko pre to, aby sa to nestalo. A dnes vám poviem len o jednom zo spôsobov, ako posilniť ochranu vášho blogu. Zoznámte sa s bezpečnostným doplnkom WordPress Uzamknutie prihlásenia.

Ochrana vášho správcu WordPress pred hackovaním pomocou doplnku Login LockDown

Najjednoduchší spôsob, ako hacknúť stránku, je uhádnuť používateľské meno a heslo na vstup do ovládacieho panela. Treba povedať, že mnohí samotní blogeri uľahčujú hackerovi prácu o 50% tým, že ponechajú predvolené prihlásenie. A potom už len musí nájsť heslo.

Zmenili ste si používateľské meno alebo stále máte meno admin? Ak nie, okamžite tak urobte. V tomto vám môže pomôcť môj článok „“.

Uistite sa, že ihneď po inštalácii motora zmeňte heslo na bezpečnejšie (približne 20 znakov pomocou veľkých a malých písmen, číslic a špeciálnych znakov). Môžete to urobiť priamo z panela správcu tak, že prejdete do ponuky „Používatelia“ - „Váš profil“. Zadajte dvakrát Nové heslo a uložte zmeny kliknutím na „ Aktualizovať profil“. Heslo pravidelne meňte a nepoužívajte ho na iných stránkach.

Takýmito jednoduchými akciami už skomplikujeme úlohu hackerov. Ale povedzme, že sa ukázali ako tvrdohlaví a nevzdávajú to skúšanie, používanie špeciálne programy na výber hesla. A tu nám prichádza na pomoc bezpečnostný doplnok pre WordPress Login LockDown.

Ako funguje doplnok Login LockDown

Doplnok zaznamenáva presný čas a IP adresu, z ktorej bol neúspešný pokus o prihlásenie do oblasti administrácie blogu. Keď sa počas určitého časového obdobia uskutoční určitý počet neúspešných pokusov, doplnok na určitý čas zablokuje prístup na stránku. daný čas. Zobrazí sa správa:

"Chyba: Prepáčte, ale tento rozsah IP bol zablokovaný z dôvodu veľké číslo neúspešné pokusy o prihlásenie. Skúste neskôr prosím."

Okrem toho budete mať k dispozícii zoznam všetkých blokovaných IP adries a možnosť ich odblokovania v nastaveniach pluginu. Poďme sa na ne pozrieť bližšie.

Inštalácia a konfigurácia bezpečnostného doplnku Login LockDown

Nainštalujte a aktivujte doplnok. Inštaláciu tohto pluginu som podrobne opísal ako príklad v článku „“. Preto bez ďalších okolkov prejdime priamo k nastaveniam.

Prejdite do ponuky „Možnosti“ – „Login LockDown“.

Obrázok ukazuje predvolené nastavenia. Môžete ich ľubovoľne meniť. Nižšie popíšem, čo každý z bodov znamená, a uvediem svoje komentáre:

  • 1. Maximálny počet získaných prihlásenímaximálne množstvo sa pokúsi prihlásiť do panela správcu blogu. Myslím si, že nemá zmysel uvádzať viac ako tri.
  • 2. Obmedzenie časového obdobia opakovania (minúty)– časový úsek v minútach na opakovaný pokus. Päť minút stačí na to, aby ste čo i len dobehli ku kanadskej hranici, nieto ešte zadali heslo.
  • 3. Dĺžka blokovania (minúty)– čas v minútach, na ktorý je zablokovaný prístup do oblasti správcu WordPress. Môžete ho nechať 60 minút, alebo ho môžete nastaviť dlhšie.
  • 4. Uzamknutie Neplatné používateľské mená– treba brať do úvahy nesprávne zadanie prihlásenia? Túto položku označíme a plugin okrem hesla zohľadní aj nesprávne napísané meno. Dodatočná ochrana vášho blogu nie je nikdy priveľa.
  • 5. Chyby pri prihlásení masky– maskovanie chýb pri zadávaní nesprávnych údajov. Označíme to a útočník potom nebude vedieť, že jeho činy sú pod kontrolou (nevšimol si žiadny rozdiel).
  • 6. Momentálne uzamknuté– tu sa zobrazuje zoznam aktuálne blokovaných IP adries a čas do odblokovania. Viac o tom nižšie.

Po vykonaní nastavení bezpečnostného doplnku Login LockDown kliknite na tlačidlo „Aktualizovať nastavenia“, aby sa zmeny prejavili.

Pre prehľadnosť rozlúštim, čo sa stane, keď sa pokúsite hacknúť blog, ak sú nastavenia napríklad predvolené, ako na obrázku vyššie. Ak heslo zadáte nesprávne viac ako 3-krát v intervale 5 minút, prístup do administračného panelu bude zablokovaný na 60 minút.

Teraz sa vráťme k zoznamu IP adries. Neviem, kedy to môže byť potrebné, ale máte možnosť odblokovať IP adresu, ktorá upadla do nemilosti. Ak to chcete urobiť, začiarknite túto položku a kliknite na „Uvoľniť vybraté“. Pravdepodobne to dáva zmysel, ak nielen vy máte prístup k blogu. Napríklad viacerí autori alebo freelancer musí niečo opraviť.

Ešte jeden detail. Ak ste si všimli, na prvej snímke obrazovky môžete vidieť, že pod prihlasovacím formulárom v admin paneli sa zobrazuje upozornenie na ochranu pomocou pluginu Login LockDown. Mala by sa zobraziť, ak ste doplnok nainštalovali správne a funguje. Ale v tomto prípade sa zmysel odseku 5 stráca, pretože útočník bude na ochranu vopred upozornený. Odstránime tento nápis.

Prejdite do ponuky „Pluginy“ - „Editor“. Vyberte náš bezpečnostný doplnok z rozbaľovacieho zoznamu vpravo hore a kliknite na „Vybrať“. Nájdeme ho v súbore login-lockdown/loginlockdown.php tento riadok (pozri obrázok nižšie) a vymažte všetko medzi úvodzovkami. Kliknite na „Aktualizovať súbor“ a prejdite na prihlasovaciu stránku. Nápis by mal zmiznúť.

Všimnite si prosím varovanie na stránke úprav. Pred vykonaním zmien deaktivujte doplnok a potom ho znova povoľte. Dúfam, že vám nie je potrebné pripomínať, že pred akoukoľvek úpravou súborov si musíte urobiť ich kópie.

Teraz Bezpečnostný doplnok WordPress Login LockDown neumožní útočníkovi získať prístup k správcovskému panelu uhádnutím hesla. To samozrejme nezaručuje 100% ochranu WordPress pred hackermi a inými problémami. Ale každý typ obrany blogu postaví múr pred nepriateľom tehlu po tehle. Čím vyššia je táto stena, tým pokojnejšie budete v noci spať.

Je dôležité si zapamätať, že bezpečnostným otázkam blogu nemusíte venovať menšiu pozornosť ako písaniu jedinečného obsahu a propagácii blogu. vyhľadávače. V ďalších článkoch sa k tejto téme ešte viackrát vrátim. Prihláste sa na odber aktualizácií blogu, aby ste mali vždy aktuálne informácie. Do skorého videnia!

Z vlámania, . Teraz odporúčam nainštalovať veľmi užitočné a potrebné ochranný doplnok Uzamknutie prihlásenia. Načo to je? Ak chcete na svojom webe niečo zmeniť, prejdite na panel správcu svojho blogu WordPress. Aby ste sa mohli prihlásiť, musíte zadať svoje používateľské meno a heslo do príslušných polí.

Prihlasovacie meno a heslo- niečo ako kľúč, ktorý blokuje neoprávnený vstup na váš administratívny panel WordPress blog. Útočník sa môže pokúsiť uhádnuť kľúč zadaním rôznych možností prihlásenia. Plugin na ochranu blogu Uzamknutie prihlásenia obmedzuje počet takýchto pokusov. Obmedzuje tiež čas zadávania: napríklad štandardne stojí 3 pokusy za 5 minút. Ak sú všetky pokusy nesprávne, prístup sa zablokuje na 60 minút. Toto sú predvolené nastavenia a možno ich zmeniť.

Inštalácia a konfigurácia bezpečnostného doplnku blogu Login LockDown

Ak chcete nainštalovať, prejdite na administratívny panel v Pluginy - Pridať nové . Zadajte kľúčovú frázu do vyhľadávacieho formulára Uzamknutie prihlásenia a vo výsledkoch vyhľadávania nájdete požadovaný plugin. stlač tlačidlo Inštalácia .

Potom prejdite na Pluginy, nájdite a aktivujte ho.

Potom prejdite na Nastavenia - Uzamknutie prihlásenia a nakonfigurovať doplnok.

  • Maximálny počet získaných prihlásení— počet pokusov o zadanie prihlasovacieho mena a hesla. Predvolená hodnota je 3, viac nemá zmysel nastavovať.
  • Obmedzenie časového obdobia opakovania (minúty) — čas na zadanie hesla a prihlásenia. Stojí to 5 minút, to je celkom dosť, môžete urobiť menej, napríklad 3 minúty.
  • Dĺžka blokovania (minúty)— čas blokovania prístupu po neúspešných pokusoch. Stojí to 60 minút, ale môžete urobiť aj viac, napríklad 2-3 hodiny.
  • Uzamknutie Neplatné používateľské mená— či sa má brať do úvahy zadanie prihlásenia. Odchádzame Nie.
  • Chyby pri prihlásení masky— maskovanie chýb pri zadávaní prihlásenia. Dali sme Áno aby útočník nevedel, čo presne bolo zadané nesprávne – prihlasovacie meno alebo heslo.
  • Momentálne uzamknuté— tu je zobrazený zoznam zablokovaných IP adries, z ktorých boli nesprávne pokusy o prihlásenie. Ak chcete, môžete odblokovať určitú IP, napríklad ak na blogu nepracujete sami a s istotou viete, že osoba, ktorá s vami spolupracuje na blogu WordPress, vyplnila formulár nesprávne. Používa sa, ak nie je čas čakať na odomknutie.

Po zmene parametrov kliknite na tlačidlo Aktualizovať nastavenia pre uloženie nastavení.

Keď ty ochranný doplnok blog Uzamknutie prihlásenia zaškrtnite, pod prihlasovacím formulárom v admin paneli sa zobrazí hlásenie, že formulár je chránený týmto pluginom. A potom bude útočník na to upozornený. Tento nápis môžete odstrániť. Ak chcete nápis odstrániť, v administratívnom paneli blogu WordPress prejdite na položku ponuky Pluginy, nájdite a deaktivujte doplnok a potom prejdite na Pluginy - Editor , nájdite tento doplnok, kliknite Vyberte si. V kóde súboru loginlockdown.php nájsť riadok:

ozvena"

Prihlasovací formulár chránený funkciou Login LockDown.


»;

a odstráňte to, čo je medzi úvodzovkami, to znamená, čo by malo zostať:

echo"";
Uložte zmeny a aktivujte doplnok.

To však nie je všetko, v ďalšom článku sa dozviete, čo je ešte žiaduce.

Video o tom, ako nainštalovať doplnok Login LockDown na ochranu vášho blogu WordPress

Viac podrobnosti Môžete ho získať v sekciách „Všetky kurzy“ a „Nástroje“, ku ktorým je možné pristupovať Horné menu stránky. V týchto sekciách sú články zoskupené podľa tém do blokov obsahujúcich čo najpodrobnejšie (pokiaľ je to možné) informácie o rôznych témach.

Môžete sa tiež prihlásiť na odber blogu a dozvedieť sa o všetkých nových článkoch.
Nezaberie to veľa času. Stačí kliknúť na odkaz nižšie:

O
Tento skript vám umožňuje uzamknúť váš server, podobne ako vanilkový whitelist, ale na základe povolení a s krásnym systémom pomoci. Stačí stiahnuť, vložiť do priečinka Scripts a môžete začať!

Vlastnosti
  • Zamknite server, podobne ako / whitelist
  • Povolenie obísť uzamknutie
  • Príkaz na kontrolu stavu uzamknutia
  • Upozornenia, keď sa hráči pokúsia pripojiť počas uzamknutia
  • úložisko YAML
  • Plne prispôsobiteľné
Známe chyby
žiadne

čo je to skript?
Skript je podobný doplnku a funguje ako doplnok, ale je napísaný v inom jazyku a na fungovanie vyžaduje doplnok Skript. Ak chcete načítať/zakázať/povoliť svoje skripty, použite príkaz /skript ingame

Inštalácia a závislosti
Aby tento skript fungoval, vyžaduje doplnok SkQuery. Budete potrebovať aj samotný plugin Skript. Nainštalujte oba tieto doplnky a reštartujte server. Otvorte súbor lockdown.sk v programe ako Notepad++ a prispôsobte si ho v časti „možnosti“. Keď to urobíte, súbor uložte a klesnúť v priečinku "scripts" pod skriptom, potom už len stačí napísať /skript reload lockdown a skript bude funkčný!

Povolenia
- lockdown.lock - Na uzamknutie servera a ukončenie blokovania
- lockdown.bypass - Obídenie uzamknutia
- lockdown.notify - Ak chcete dostávať upozornenia, keď sa server odomkne alebo keď sa hráč pokúsi pripojiť počas uzamknutia
- lockdown.info - Môžete použiť /lock alebo /lock info na zobrazenie aktuálneho stavu uzamknutia

Prispôsobenie

SpoilerTarget"> Spoiler: Sekcia prispôsobenia

# ====================
#MOŽNOSTI
# ====================
# p = predpona
#c. = kód farby (&a, &b, &1..)
#t. = text
#m. = správa
možnosti:
# Predpona používaná pre všetky správy
p: &7[&cLOCK&7]

# Mala by byť medzi riadkami a správou pomocníka medzera
b.medzera: pravda

# Riadky použité pre správu pomocníka
t.lines: &7============================================== =======

# Farebný kód použitý pre /príkaz v správe pomocníka
c.help: atď

# Farebný kód použitý pre popis v správe pomocníka
c.desc:&f

# Správa, ktorá sa odošle exekútorovi, keď odstráni aktuálne uzamknutie
m.end: &aUkončili ste súčasné uzamknutie!

# Správa, ktorá sa odošle hráčom s povolením na upozornenie, keď niekto odstráni uzamknutie
m.ended: &b%player% odstránil aktuálne uzamknutie!

# Správa, ktorá sa odošle hráčovi, keď sa pokúsi odstrániť neexistujúce uzamknutie alebo keď v informáciách /lock nie je aktívny žiadny zámok
m.notlocked: &cServer momentálne nie je uzamknutý!

# Správa v / lock info, keď je zámok aktívny
m.active: &aUzamknutie je aktívne

# Správa o vykopnutí použitá na uzamknutie (použite %(_reason)% ako dôvod a %nl% pre nový riadok)
t.reason: &c&lLOCKDOWN ACTIVE%nl%%nl%&fDôvod: &c%(_reason)%%nl%%nl%&7Ospravedlňujeme sa za nepríjemnosti!%nl%&bwww.example.com

# Správa hovorila, že zámok je teraz aktívny
m.start: &aUzamknutie aktivované! &fDôvod: &c%(_reason)%

# Správa použitá, keď hráč nemá správne povolenie
m.noperm: &cNemáte požadované oprávnenie pre tento príkaz!

# Správa odoslaná hráčom s povolením upozorniť, keď sa hráč pokúsi pripojiť počas uzamknutia
m.tried: &7%player% sa pokúsilo pripojiť!


snímky

Jedným z prvých krokov k nastaveniu zabezpečenia vášho webu WordPress by malo byť zabezpečenie autorizácie administrátorského panelu. Pomôže nám s tým populárny plugin Login LockDown, ktorý vás pomôže ochrániť pred hrubou silou hesiel a prihlásením sa škodlivých botov.

Aby ste mohli začať s prihlásením LockDown, musíte najprv. Po inštalácii prejdite do položky menu Settings/Login LockDown a začnite pracovať s pluginom. Najprv sa však pozrime na funkčnosť.

Navigácia v článku:

Popis práce Prihlásenie LockDown.

Login LockDown si pamätá IP adresu a označí každý neúspešný pokus o prihlásenie. Ak sa v krátkom časovom období z rovnakého rozsahu IP zistí počet pokusov o prihlásenie väčší ako určitý počet zadaný v nastaveniach, funkcia prihlásenia sa deaktivuje pre všetky požiadavky z tohto rozsahu. Pomáha to predchádzať útokom na heslo malvér a ľudí. Plugin momentálne nastavuje predvolený blok IP na 1 hodinu po 3 neúspešných pokusoch o prihlásenie do 5 minút. Toto je možné zmeniť na paneli nastavení pluginu. Blokovaný rozsah IP môžete uvoľniť aj manuálne.

Keď prejdete do ponuky nastavení pluginu Login LockDown, sprístupnia sa nám nasledujúce formuláre úprav.

V prvom poli formulára musíme uviesť maximálny počet neúspešných pokusov o prihlásenie, po ktorých bude povolené blokovanie IP; toto pole musí mať nenulovú hodnotu, inak blokovanie nebude fungovať.

V ďalšom odseku musíme uviesť prijateľnú frekvenciu zadávania nesprávnych údajov. Štandardne je čas nastavený na jednu minútu, to znamená, že dodržaním časového pásma medzi pokusmi o jednu minútu môžete blokovanie obísť.

Ďalším bodom nastavenia LockDown prihlásenia je povoliť uzamknutie vstupu nesprávne prihlásenie. Ak je aktívna možnosť Áno, blokovanie nebude povolené.

WordPress upozorní používateľa, ak sú niektoré parametre zadané nesprávne, čo môže urýchliť hackovanie, preto sa odporúča tieto výzvy zakázať. Nastavením parametra na „Áno“.

Plugin Login LockDown štandardne zobrazuje používateľom odkaz na plugin, aby si svoje stránky mohli zabezpečiť aj ostatní, odporúčam túto funkciu vypnúť nastavením parametra ako na obrázku.

Po zadaní všetkých nastavení LockDown prihlásenia kliknite na tlačidlo Uložiť zmeny. Tým sa dokončí nastavenie pluginu.

Ak chcete odstrániť blokovanie IP z manuálny mód musíte použiť špeciálny formulár, ktorý sa nachádza úplne dole v nastaveniach.

Ak boli takéto adresy IP zablokované, budete ich musieť odstrániť zo zoznamu.

Pomocou tohto jednoduchého doplnku môžete výrazne znížiť riziko napadnutia vašej stránky prostredníctvom autentifikácie WordPress, ktorá je jednou z najpopulárnejších metód hackovania.