Плъгин за блокиране на влизане. Приставка за сигурност за блокиране на влизане в WordPress - Защита от хакване

Добър ден, скъпи читатели! Днес ще увеличим Сигурност на WordPress... WordPress вече е доста добре защитен, но допълнителната сигурност няма да ни навреди.

Първо, нека затворим достъпа до ненужните файлове. Въведете адреса в браузъра си, например your_blog / wp-contentи ако видите бял екран, значи всичко е наред:

Ако имате списък с файлове, тогава трябва да направите следното (дори и да има бял екран, по-добре е да направите следното):

Сигурност в WordPress с плъгин за блокиране на влизане

Освен това вашият блог може да бъде хакнат, като познаете паролата за блога. Ако зададете много лека парола, хакерите могат лесно да „проникнат“ във вашия блог с помощта на специални скриптове.

Конфигуриране на приставка за сигурност за блокиране на влизане

За да влезете в настройките на плъгина, трябва да отидете Администратор на WordPress -> Настройки -> Заключване за влизане:


1. Макс. повторни опити за влизане- максималният брой опити за въвеждане на парола.

2. Ограничение във времето за повторен опит (минути)- броят минути, за които се отчита максималният брой опити за въвеждане на парола.

3. Продължителност на блокиране (минути) -време за блокиране.

Тоест, ако числата останат същите като на снимката по-горе, това означава следното: ако за 5 минути паролата бъде въведена неправилно 3 пъти подред, тогава администраторският панел на WordPress е блокиран за 60 минути.

Оставих настройките на плъгина Login LockDown по подразбиране, не докоснах нищо, тъй като те напълно ме устройват.

Може би днес всичко е свързано със сигурността в WordPress (Wordpress). Ще се видим в следващите уроци!

P.s. Не забравяйте, че всеки делничен ден излизат свежи, полезни уроци, така че не забравяйте да се абонирате за RSS!

Здравейте скъпи читатели на сайта на блога! Тема на днешната статия: защита на вашия WordPress блог от хакванекато познаете парола за влизане в административния панел. Този метод се нарича. Този проблем е много актуален, тъй като случаите на неоторизиран достъп до светая светих на блога, а именно до контролния панел на WordPress, за съжаление, изобщо не са рядкост.

Като цяло темата за сигурността на WordPress е много обширна и не е ограничена само и, за което вече писах по-рано. Много по-тъжни последствия (дори не искам да си представям) могат да възникнат, ако нападателите получат достъп до административния панел на блога. Нашата задача е да направим всичко възможно това да не се случи. И днес ще говоря само за един от начините за засилване на защитата на вашия блог. Запознайте се с приставката за сигурност на WordPress Заключване на входа.

Защита на административната зона на WordPress от хакване с плъгин Login LockDown

Най-лесният начин да хакнете сайт е да намерите потребителско име и парола за влизане в контролния панел. Трябва да кажа, че много блогъри сами правят 50% по-лесно работата на кракера, като оставят входа по подразбиране. И тогава всичко, което трябва да направи, е да разбере паролата.

Сменихте ли потребителското име или все още имате името администратор? Ако не, направете го незабавно. Моята статия „“, може би ще ви помогне с това.

Не забравяйте, че веднага след инсталирането на двигателя сменете паролата на по-сигурна (правим около 20 знака, използвайки главни и малки букви, цифри и специални знаци). Това може да стане директно от административния панел, като отидете в менюто "Потребители" - "Вашият профил". Въведете новата парола два пъти и запазете промените, като натиснете бутона “ Актуализирайте профила“. Променяйте периодично паролата си и не я използвайте на други сайтове.

С такива прости действия ще усложним задачата на крекерите. Но да кажем, че се оказаха упорити и не се отказвайте да опитвате, използвайки специални програми, за да познаете паролата. И тук идва приставката за защита за WordPress Login LockDown.

Как работи плъгинът Login LockDown

Плъгинът записва точното време и IP адреса, от които е направен неуспешен опит за влизане в администраторския панел на блога. Когато се направят определен брой неуспешни опити в рамките на определен период от време, плъгинът блокира достъпа до сайта за определено време. Показва се съобщението:

„Грешка: Съжаляваме, но този диапазон на IP е блокиран поради твърде много неуспешни опити за влизане. Моля, опитайте отново по-късно. "

Освен това ще имате списък с всички блокирани IP адреси и възможността да ги деблокирате в настройките на плъгина. Нека ги разгледаме по-подробно.

Инсталиране и конфигуриране на приставката за сигурност за заключване за влизане

Инсталирайте и активирайте плъгина. Описах инсталирането на този плъгин подробно, като пример, в статията „“. Ето защо, без повече приказки, нека преминем направо към настройките.

Отидете в менюто "Опции" - "Login LockDown".

Фигурата показва настройките по подразбиране. Можете да ги промените, както сметнете за добре. По-долу ще опиша какво означава всяка една от точките и ще дам своите коментари:

• 1. Макс. повторни опити за влизане- максималният брой опити за влизане в административния панел на блога. Не мисля, че има смисъл да залагате повече от три.
• 2. Ограничение във времето за повторен опит (минути)- период от време в минути за повторен опит. Пет минути са достатъчни дори да стигнете до канадската граница, а не да въведете паролата.
• 3. Продължителност на блокиране (минути)- времето в минути, за което е блокиран достъпът до административния панел на WordPress. Можете да го оставите за 60 минути или да инсталирате повече.
• 4. Заключване на невалидни потребителски имена- дали да се вземе предвид неправилното влизане? Маркираме този елемент и плъгинът, в допълнение към паролата, ще вземе предвид и грешно изписаното име. Излишната защита на блога никога не е излишна.
• 5. Маскиране на грешки при влизане- маскиране на грешки при въвеждане на неправилни данни. Маркираме го и тогава кракерът няма да знае, че действията му са под контрол (той не забеляза никаква разлика).
• 6. В момента е заключен- тук се показва списъкът с блокирани в момента IP адреси и времето до деблокирането. Повече за това по-долу.

След като направите настройките за приставката за сигурност LockDown за влизане, щракнете върху бутона „Актуализиране на настройките“, за да влязат в сила промените.

За по-голяма яснота ще дешифрирам какво се случва, когато се опитате да хакнете блог, ако настройките са например по подразбиране, както е на снимката по-горе. Ако паролата бъде въведена неправилно повече от 3 пъти с интервал от 5 минути, тогава достъпът за влизане в администраторския панел се блокира за 60 минути.

Сега се върнете към списъка с IP адреси. Не знам кога може да ви потрябва, но имате възможност да деблокирате IP адрес, който е изпаднал в немилост. За да направите това, поставете отметка в това квадратче и щракнете върху „Освободи избраното“. Вероятно има смисъл, ако не сте единственият, който има достъп до блога. Например, множество автори или фрийлансър трябва да настроят нещо.

Още една подробност. Ако сте забелязали, тогава на първата екранна снимка можете да видите, че под формата за вход в административния панел се показва предупреждение за защита от плъгина Login LockDown. Трябва да се появи, ако сте инсталирали приставката правилно и тя работи. Но в този случай смисълът на параграф 5 се губи, тъй като нападателят ще бъде предупреден за защитата предварително. Нека премахнем този надпис.

Отиваме в менюто "Plugins" - "Editor". Изберете нашия плъгин за сигурност от падащия списък в горния десен ъгъл и щракнете върху „Избор“. Намерете във файла login-lockdown / loginlockdown.phpтози ред (вижте снимката по-долу) и премахнете всичко между кавичките. Щракнете върху „Актуализиране на файла“ и отидете на страницата за вход. Надписът трябва да изчезне.

Обърнете внимание на предупреждението на страницата за редактиране. Преди да направите каквито и да е промени, деактивирайте плъгина и след това го активирайте отново. Надявам се, че преди каквото и да е редактиране на файлове, трябва да направите копия от тях, няма нужда да напомняте.

Сега Приставка за сигурност за блокиране на влизане в WordPressняма да позволи на нападател да влезе в административния панел, като познае парола. Разбира се, това не гарантира 100% защита на WordPress от хакване и други ядове. Но всяка форма на защита на блога ще изгради стена тухла по тухла пред врага. Колкото по-висока е тази стена, толкова по-спокойно ще спите през нощта.

Необходимо е да запомните добре, че обръщането на внимание на сигурността на вашия блог трябва да бъде не по-малко от писането на уникално съдържание и популяризирането му в търсачките. В следващите статии ще се връщам към тази тема повече от веднъж. Абонирайте се за актуализации на блога, за да сте винаги в течение. Ще се видим скоро!

В първата част ще ви кажа как да защитите блога си от хакване с помощта на познаване на парола. Най-важното е, че не задавайте проста парола и не използвайте същата парола за други ресурси. Плъгинът също ще помогне за защита срещу отгатване на парола.

Инсталиране и конфигуриране на плъгина Login LockDown

Плъгинът блокира достъпа до вход и парола по IP за известно време, ако е имало доста неуспешни опита. Можете сами да зададете броя на опитите и времето за блокиране.

За да инсталирате, трябва да изтеглите приставката. Разопаковайте го в папката / plugins и го активирайте.

За да конфигурирате приставката, отидете на "Опции" -> "ще се появи следният прозорец:

Макс. повторни опити за влизане- това е максималният брой опити за влизане, мисля, че три са достатъчни.

Ограничение във времето за повторен опит (минути)- времето между опитите, имам 15 минути.

Продължителност на блокиране (минути)- посочен е броят на минутите, за които формата за вход е блокирана при неправилно въвеждане на данни за максимален брой опити, имам 15 минути.

Заключване на невалидни потребителски имена- дали да се вземе предвид неправилно влизане.

Маскиране на грешки при влизане- дали да се маскират грешки при въвеждане на данни.

В раздела Текущо Заключенпоказва се списък с блокирани IP адреси.

Ако плъгинът е инсталиран нормално, формуляра за вход, защитен от Login LockDown, ще бъде показан във формуляра за вход и парола.

Сигурността на уебсайта е основен приоритет при разработването на уеб проекти и сигурността на WordPress не е изключение. Опитите за неоторизиран достъп до управлението на блог са случай, макар и не широко разпространен, но има място в живота на уеб администратора ...

За да защитите уебсайта си от хакване с груба сила, като изберете входни данни, можете да ограничите достъпа до административния панел. За да направите това, можете да оставите приоритета само за доверени IP адреси или да зададете ограничение за броя на грешките при упълномощаване.

Популярен инструмент за блогърите в борбата срещу набирането на персонал е безплатен плъгин - Login LockDown. Тази високоспециализирана добавка е насочена към проследяване на опитите за оторизация, тоест влизане в конзолата на WordPress.
Характеристика на приставката е гъвкавостта на настройките, които позволяват на администратора да отлага всеки опит за влизане, ограничен до определен брой, и след това да блокира нападателя (неговия IP адрес) за дълго време!

Инсталиране и активиране

Можете да инсталирате добавката чрез FTP достъп, след като изтеглите архива с плъгина - https://wordpress.org/plugins/login-lockdown/
или отидете в секцията „Плъгини“ на административната област, щракнете върху елемента „Добавяне на нов“ в горната част, след това въведете името в лентата за търсене и натиснете клавиша „Enter“. Задайте първия резултат и след това го активирайте.

Настройки на приставката

Както беше отбелязано по-рано, опциите LoginLockDown са малко и далеч и представляват само функционални параметри. След активиране плъгинът започва да работи със стойностите по подразбиране, предпочитани от повечето потребители.
В панела разгънете секцията "Настройки", където ще намерите елемента "Заключване на входа", щракнете и отидете на страницата с настройки " Опции за блокиране на влизане»:

1. Макс. повторни опити за влизане - броят опити за оторизация, след които адресът е блокиран. По подразбиране е 3 (не препоръчваме да задавате повече от 5 опита).
2. Ограничение на времето за повторен опит (минути) - броят на минутите между опитите за оторизация, 2 минути по подразбиране (по-добре е да го съкратите, за да може потребителят да влезе отново скоро).
3. Дължина на блокиране (минути) - броят минути за блокиране на IP адреса, по подразбиране 120 (2 часа), е напълно възможно да се увеличи с правилното ниво на сериозност.
4. Блокиране Невалидни потребителски имена? - опция за деактивиране на функциите на плъгин за нерегистрирани имена (входове). Включваме го по наша преценка, тъй като изборът на несъществуваща двойка вход-парола не е опасен.
5. Грешки при влизане в маска? - опция за деактивиране на грешки при оторизация. Потребителят няма да бъде подканван за невалидно потребителско име или парола.
6. Показване на кредитна връзка? - опцията за показване на връзка към уебсайта извън сайта на приставката (реклама за разработчици за блокиране на влизане). Показва се по подразбиране, щракнете върху третото квадратче за отметка, за да го деактивирате.
7. Актуализиране на настройките - бутона за актуализиране на настройките, щракнете в края, за да запазите направените промени.
8. Currently Locked Out – област със списък с блокирани адреси. Възможно е изчистване на IP за доверени лица, които не са получили достъп до административния панел.

Вместо послеслов

По този начин можете ненатрапчиво да ограничите достъпа до административната област на WordPress, с изключение на автоматичен или ръчен избор. Приставката Login LockDown се актуализира периодично, което показва съвместимост с текущите версии на CMS.

WordPress е най-популярната система за управление на съдържанието днес. И е ясно защо: лекота на използване и персонализиране, много плъгини, безплатни. Но в същото време има много внимание от страна на киберпрестъпниците. Уебсайтовете на Wordptess много често са обект на атаки. Причините за хакване на сайт са различни, по-точно причината е една – пари, различни подходи. Един от начините за хакване на сайт, включително на WordPress, е груба сила или на руски - метод на груба сила - това е, когато се опитват да осъществят достъп до сайта, като познаят потребителско име и парола.

Всички потребители на WordPress знаят, че влизането в административния панел на сайта се намира на site.com/wp-login.php или site.com/wp-admin, от който така или иначе ще бъдете прехвърлени към първия. Нападателите също знаят за това. Следователно, ако сте безотговорни към защитата на администраторския панел, тогава вероятността от хакване на вашия сайт се увеличава значително. Как можете да предотвратите тези, които не трябва да влизат в административния панел?

Първото и най-често срещано, но не по-малко важно, е да изберете силна парола и да промените стандартното влизане.

Вторият е инсталирането на специални плъгини за защита на административната област.

Третият е настройка на rcdirects и ръчно редактиране на WordPress файлове.

И също така, сега повечето от хостинг услугите от своя страна предлагат защита за административния панел.

В тази статия искам да говоря за плъгина Login Lockdown, който ще ви помогне да защитите административния панел на вашия WordPress сайт от отгатване на парола.

Как работи плъгинът? Когато някой се опита да влезе във вашия админ панел и въведе неправилно данни, потребителско име или парола, определен брой пъти за определен период от време - Login LockDown блокира IP адреса, от който е направен опит за достъп за определен период от време .

Инсталиране на плъгина

Можете да инсталирате приставката чрез вградения мениджър на WordPress. За да направите това, в контролния панел трябва да отидете Плъгини-> Добавяне на ново.

Въведете името на приставката в полето за търсене.

В резултатите от търсенето изберете плъгин и щракнете върху инсталиране.

След като инсталирате Login LockDown, трябва незабавно да го активирате.

Сега можете да продължите към конфигурирането на разширението.

Отидете на Настройки-> Заключване за влизане

Плъгинът няма много настройки. Нека ги разгледаме накратко.

• Макс. повторни опити за влизане- максималният брой опити. По подразбиране е 3, което означава, че след три неуспешни опита за удостоверяване, достъпът от този IP ще бъде блокиран.
• Ограничение във времето за повторен опит (минути)- периодът от време в минути, за който се отчитат неуспешните опити за влизане. По подразбиране е 5. Това означава, че ако се въведе неправилна парола 3 пъти в рамките на пет минути, ще настъпи блокиране.
• Продължителност на блокиране (минути)- периодът от време, за който подозрителният IP е блокиран. По подразбиране е 60 минути.
• Блокиране Невалидни потребителски имена?- Трябва ли да преброя грешното влизане? Деактивирано по подразбиране. Ако функцията е деактивирана, плъгинът няма да отчита въвеждането на неправилно влизане. Тоест, теоретично, ако нападателят знае паролата от административния панел, тогава той ще може да форсира влизането толкова пъти, колкото пожелае.
• Грешки при влизане в маска?- Маска на грешки при влизане? Деактивирано по подразбиране. Ако функцията е деактивирана, тогава при въвеждане на неправилни данни се появява съобщение, което уведомява какво точно е въведено неправилно - потребителско име или парола.

Когато функцията е активирана, съобщението няма да посочи точно къде е допусната грешката.

• Показване на кредитна връзка?- Показване на връзка към заключване за влизане. Можете да изберете да покажете връзка към сайта на приставката, да покажете връзка, но с маркер nofollow, или да не покажете връзка.
• В момента е заключен- списък на блокираните IP и време до деблокирането. Можете също да деблокирате IP адреса тук.

Това е, за което влизане LockDown. След като промените настройките, запазете ги и сега вашият блог ще бъде малко по-сигурен.