Плагин login lockdown. Плагин безопасности WordPress Login LockDown – защита от взлома

Добрый день, уважаемые читатели ! Сегодня мы увеличим безопасность в WordPress . Вордпресс итак неплохо защищен, но дополнительная безопасность нам не помешает.

Для начала закроем доступ к ненужным файлам. Наберите в браузере адрес, например, ваш_блог/wp-content и если, Вы видите белый экран, то все нормально:

Если у Вас вышел список файлов, то необходимо сделать следующие действия (если даже белый экран, лучше выполнить нижеперечисленные действия):

Безопасность в WordPress с помощью плагина Login LockDown

Также Ваш блог могут взломать методом подбора пароля к блога. Если Вы поставили совсем легкий пароль, то взломщики с помощью специальных скриптов легко могут “проникнуть” на Ваш блог.

Настройка плагина безопасности Login LockDown

Чтобы попасть в настройки плагина, нужно перейти Админка WordPress –> Настройки –> Login LockDown:


1. Max Login Retries – максимальное количество попыток набора пароля.

2. Retry Time Period Restriction (minutes) – количество минут, за которые считается максимальное количество попыток набора пароля.

3. Lockout Length (minutes) – время блокировки.

То есть, если цифры останутся такими же, как и на картинке выше, то это означает следующее: если за 5 минут, пароль введен неправильно 3 раза подряд, то админка WordPress блокируется на 60 минут.

Настройки плагина Login LockDown я оставил по умолчанию, ничего не трогал, так как они меня полностью устраивают.

Пожалуй, на сегодня про безопасность в WordPress (Вордпрессе) все. До встречи на следующих уроках!

P.s. Не забывайте, свежие полезные уроки выходят каждый будний день, поэтому обязательно подпишитесь на RSS !

Здравствуйте, уважаемые читатели блога сайт ! Тема сегодняшней статьи: защита блога WordPress от взлома путем подбора пароля для входа в админку. Такой метод называют . Эта проблема очень актуальна, так как случаи несанкционированного доступа в святая святых блога, а именно в панель управления Вордпресс, к сожалению, совсем не редки.

Вообще тема безопасности Вордпресс очень обширна и не ограничивается только и , о которых я уже писал ранее. Гораздо более печальные последствия (даже представлять не хочется) могут наступить, если злоумышленники получат доступ в админку блога. Наша задача, сделать все возможное, чтобы этого не допустить. И сегодня я расскажу только об одном из способов усиления защиты блога. Встречайте, плагин безопасности WordPress Login LockDown .

Защита админки WordPress от взлома с помощью плагина Login LockDown

Самый простой способ взломать сайт, это подобрать логин и пароль для входа в панель управления. Надо сказать, что многие блоггеры сами облегчают работу взломщику на 50%, оставляя логин по умолчанию. И тогда ему остается только подобрать пароль.

А Вы поменяли логин пользователя или у Вас до сих пор стоит имя admin? Если нет, то сделайте это незамедлительно. Моя статья “ “, возможно, Вам в этом поможет.

Обязательно, сразу после установки движка, поменяйте пароль на более надежный (делаем около 20 символов, используя буквы верхнего и нижнего регистра, числа и спецсимволы). Это можно сделать прямо из админки, перейдя в меню “Пользователи ” – “Ваш профиль “. Дважды вводим новый пароль и сохраняем изменения, нажав кнопку “Обновить профиль “. Периодически меняйте пароль и не используйте его на других сайтах.

Такими нехитрыми действиями мы уже усложним взломщикам задачу. Но, допустим, они оказались упрямы и не оставляют попыток, используя специальные программы для подбора пароля. И тут нам на помощь приходит плагин защиты для WordPress Login LockDown.

Принцип действия плагина Login LockDown

Плагин фиксирует точное время и IP-адрес, с которого была сделана неудачная попытка входа в админку блога. Когда за определенный период времени будет совершено некоторое количество неудачных попыток, плагин блокирует доступ к сайту на заданное время. Выводится сообщение:

“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.

Кроме того, Вы будете иметь список всех заблокированных IP-адресов и возможность их разблокировать в настройках плагина. Рассмотрим их подробнее.

Установка и настройка плагина безопасности Login LockDown

Установите и активируйте плагин. Подробно установку этого плагина я описал, в качестве примера, в статье “ “. Поэтому без лишних слов сразу перейдем к настройкам.

Переходим в меню “Параметры ” – “Login LockDown “.

На рисунке показаны настройки по умолчанию. Вы можете изменить их на свое усмотрение. Ниже я опишу, что означает каждый из пунктов и дам свои комментарии:

• 1. Max Login Retries – максимальное количество попыток для входа в админ панель блога. Думаю, больше трех ставить не имеет смысла.
• 2. Retry Time Period Restriction (minutes) – период времени в минутах для повторной попытки. Пять минут хватит даже для того, чтобы добежать до канадской границы, не то чтобы ввести пароль.
• 3. Lockout Length (minutes) – время в минутах, на которое блокируется доступ к админке Вордпресс. Можно оставить 60 минут, а можно установить и побольше.
• 4. Lockout Invalid Usernames – учитывать ли неправильный ввод логина? Отмечаем этот пункт и плагин, кроме пароля, будет учитывать и неправильно написанное имя. Лишняя защита блога лишней никогда не бывает.
• 5. Mask Login Errors – маскировка ошибок ввода неправильных данных. Отмечаем, и тогда взломщик не будет знать, что его действия под контролем (что-то никакой разницы не заметил) .
• 6. Currently Locked Out – здесь отображается список, заблокированных в данное время IP-адресов и время до разблокировки. Об этом чуть ниже.

После сделанных настроек плагина безопасности Login LockDown, нажимаем кнопку “Update Settings “, чтобы изменения вступили в силу.

Для ясности, расшифрую, что произойдет при попытке взлома блога, если настройки стоят, например, по умолчанию, как на рисунке выше. Если пароль будет введен неправильно более 3 раз с интервалом 5 минут, то доступ для входа в панель администратора блокируется на 60 минут.

Теперь вернусь к списку IP-адресов. Не знаю, когда это может понадобиться, но у Вас есть возможность разблокировать IP-адрес, попавший в немилость. Для этого отметьте этот пункт и нажмите “Release Selected “. Наверное, это имеет смысл, если доступ к блогу есть не только у Вас. Например, несколько авторов или фрилансер должен что-то подправить.

Еще одна деталь. Если Вы заметили, то на первом скриншоте видно, что под формой входа в панель администратора выводится предупреждение о защите плагином Login LockDown. Оно должно появиться, если Вы правильно установили плагин и он работает. Но в этом случае теряется смысл пункта 5, ведь злоумышленник будет предупрежден о защите заранее. Давайте уберем эту надпись.

Идем в меню “Плагины ” – “Редактор “. Выбираем из выпадающего списка справа вверху наш плагин безопасности и нажимаем “Выбрать “. Находим в файле login-lockdown/loginlockdown.php эту строку (смотрите картинку ниже) и удаляем все, что указано между кавычками. Нажимаем “Обновить файл ” и переходим на страницу входа. Надпись должна исчезнуть.

Обратите внимание на предупреждение, на странице редактирования. Перед внесением изменений деактивируйте плагин, а потом снова включите. Надеюсь, то, что перед любым редактированием файлов, надо делать их копии, напоминать не надо.

Теперь плагин безопасности WordPress Login LockDown не позволит злоумышленнику попасть в админку путем подбора пароля. Конечно, это не гарантирует 100% защиты WordPress от взлома и других неприятностей. Но каждый вид защиты блога будет по кирпичику строить стену перед неприятелем. Чем эта стена выше, тем спокойнее Вы будете спать по ночам.

Необходимо хорошо запомнить, что уделять внимание вопросам безопасности блога надо не меньше, чем написанию уникального контента и продвижению в поисковых системах. В следующих статьях я еще не раз вернусь к этой теме. Подписывайтесь на обновления блога , чтобы всегда быть в курсе. До скорых встреч!

В первой части расскажу, как защитить блог от взлома с помощью подбора пароля. Самое главное - не ставьте простой пароль и не используйте один и тот же пароль на других ресурсах. Так же защититься от подбора пароля поможет плагин.

Установка и настройка плагина Login LockDown

Плагин блокирует доступ к вводу логина и пароля по IP на некоторое время, если было совершенно несколько неудачных попыток. Установить количество попыток и время блокировки вы можете сами.

Для установки нужно скачать плагин. Распаковать его в папку /plugins и активировать его.

Для настройки плагина заходим в «Параметры»->» появится такое окно:

Max Login Retries - это максимальное количество попыток входа, думаю трех достаточно.

Retry Time Period Restriction (minutes) - количество времени между попытками, у меня стоит 15 минут.

Lockout Length (minutes) - указывается количество минут, на которые блокируется форма входа в случае неправильного ввода данных за максимальное количество попыток, у меня стоит 15 минут.

Lockout Invalid Usernames - учитывать ли неверный ввод логина.

Mask Login Errors - маскировать ли ошибки ввода данных.

В разделе Currently Locked Out отображается список заблокированных IP.

Если плагин установлен нормально, то в форме ввода логина и пароля будет отображаться надпись Login form protected by Login LockDown.

Безопасность сайта, является приоритетным пунктом разработки веб-проекта, и защита WordPress не станет исключением. Попытки несанкционированного доступа к управлению блогом дело, хоть и не повсеместное, но имеет место быть в жизни вебмастера…

Чтобы оградить свой веб-сайт от грубого взлома, путём подбора входных данных, можно ограничить доступ к административной панели. Для этого можно , оставив приоритет только для доверенных IP-адресов, либо установить лимит на количество ошибок авторизации.

Популярным инструментом блогеров в борьбе с подбором, является бесплатный плагин — Login LockDown. Это узкоспециализированное дополнение, направлено на отслеживание попыток авторизации, то есть входа в консоль WordPress.
Особенностью плагина можно назвать гибкость настроек, позволяющих администратору отсрочить каждую попытку входа, лимитированную указанным числом, после чего заблокировать злоумышленника (его IP-адрес) на длительный срок!

Установка и активация

Проинсталлировать дополнение можно по средствам FTP доступа, перед этим скачав архив с плагином — https://wordpress.org/plugins/login-lockdown/
или перейдите в раздел админки «Плагины», щёлкните сверху пункт «Добавить новый», после чего введите название в строку поиска и нажмите клавишу «Enter». Первый результат устанавливаем, а после и активируем.

Настройки плагина

Как ранее замечено, количество опций LoginLockDown невелико, и представляет собой лишь функциональные параметры. После активации плагин начинает действовать со значениями по умолчанию, предпочтительными для большинства пользователей.
В панели разверните раздел «Настройки», где обнаружится пункт «Login LockDown», кликаем и переходим на страницу настроек «Login LockDown Options »:

1. Max Login Retries – количество попыток авторизации, после которых адрес блокируется. По умолчанию указано 3 (не рекомендуем устанавливать более 5 попыток).
2. Retry Time Period Restriction (minutes) – число минут между попытками авторизоваться, по умолчанию 2 минуты (лучше сократить, чтобы пользователь смог в скором времени повторить вход).
3. Lockout Length (minutes) – число минут блокировки IP-адреса, по умолчанию 120 (2 часа), вполне можно увеличить при должном уровне опасности.
4. Lockout Invalid Usernames? – опция для отключения функций плагина для незарегистрированных имён (логинов). Включаем по своему усмотрению, так как подбор несуществующей пары логин-пароль не несёт опасности.
5. Mask Login Errors? – опция отключения ошибок авторизации. Пользователю не будут отображаться уведомления о неверном имени пользователи или пароле.
6. Show Credit Link? – опция отображения ссылки на оф.сайт плагина (реклама разработчиков Login LockDown). Отображается по умолчанию, для отключения кликните третий четбокс.
7. Update settings – кнопка обновить настройки, нажимаем в конце для сохранения внесённых изменений.
8. Currently Locked Out – область со списком заблокированных адресов. Имеется возможность очистить IP для доверенных лиц, не получивших доступ к админке.

Вместо послесловия

Таким образом, можно ненавязчиво ограничить доступ к админке WordPress, исключая автоматический или ручной подбор. Плагин Login LockDown периодически обновляется, что указывает на совместимость с актуальными версиями CMS.

Сегодня WordPress самая популярная система управления контентом. И понятно почему: удобство использования и настройки, множество плагинов, бесплатность. Но вместе с этим и большое внимание со стороны злоумышленников. Сайты на Wordptess очень часто становятся мишенью для атак. Причины взлома сайта бывают разные, точнее причина одна — деньги, подходы разные. Одним из способов взлома сайта, в том числе и на WordPress, является брутфорс или по-русски — метод грубой силы (brute force — грубая сила) — это когда пытаются получить доступ к сайту, путем подбора логина и пароля.

Все пользователи WordPress знают, что вход в админ панель сайта находится по адресу site.com/wp-login.php или site.com/wp-admin, с которой вас все равно перебросит на первую. Об это знают и злоумышленники. По этому, если безответственно отнестись к защите админки, то вероятность взлома вашего сайта возрастает в разы. Каким образом можно помешать попасть в админку тем, кому не нужно?

Первое, и самое банальное, но от этого не менее важное — выбор сильного пароля и смена стандартного логина.

Второе — установка специальных плагинов для защиты админки.

Третье — настройка ркдиректов и редактирование файлов WordPress вручную.

И так же, сейчас большинство хостингов со своей стороны предлагает защиту админки.

В этой статье я хочу рассказать про плагин Login Lockdown, который поможет защитить административную панель вашего сайта на WordPress от подбора пароля.

В чем заключается принцип работы плагина? Когда кто-то пытается попасть в вашу админку и неправильно вводит данные, логин или пароль, определенное количество раз за определенный промежуток времени — Login LockDown блокирует IP адрес с которого происходила попытка доступа на определенное количество времени.

Установка плагина

Установить плагин можно через встроенный менеджер WordPress. Для этого в панели управления нужно перейти в Плагины->Добавить новый .

В поле поиска ввести название плагина.

В результатах поиска выбрать плагин и нажать установить.

После установки Login LockDown нужно сразу же его активировать.

Теперь можно переходить к настройке расширения.

Переходим в Настройки->Login LockDown

Настроек у плагина не так много. Коротко пройдемся по ним.

• Max Login Retries — максимальное количество попыток. По умолчанию 3, что означает, что после трех неудачных попыток авторизоваться доступ с этого IP будет заблокирован.
• Retry Time Period Restriction (minutes) — период времени в минутах, за который засчитываются неудачные попытки входа. По умолчанию 5. То есть, если в течении пяти минут будет 3 раза введен неправильный пароль, произойдет блокировка.
• Lockout Length (minutes) — период времени на который блокируется подозрительный IP. По умолчанию 60 мин.
• Lockout Invalid Usernames? — Засчитывать ли неверный логин? По умолчанию отключено. Если функция отключена, то плагин не засчитывает ввод неверного логина. То есть, теоретически, если злоумышленнику известен пароль от админ панели, то он сможет подбирать логин сколько угодно раз.
• Mask Login Errors? — Маскировать ошибки входа? По умолчанию отключено. Если функция отключена, то при вводе неправильных данных появляеться сообщение уведомляющая что именно введено неверно — логин или пароль.

При включенной функции в сообщении не будет уточнено где именно допущена ошибка.

• Show Credit Link? — Показывать ссылку на Login LockDown. На выбор: показывать ссылку на сайт плагина, показывать ссылку но с тегом nofollow или не показывать ссылку.
• Currently Locked Out — список заблокированных IP и время до разблокировки. Здесь же можно разблокировать IP.

Вот что из себя представляет Login LockDown. После изменения настроек сохраните их и теперь ваш блог будет еще немного защищенней.