Jedan od prvih koraka za postavljanje sigurnosti vaše WordPress stranice trebao bi biti osiguravanje autorizacije administratorske ploče. U tome će nam pomoći popularni dodatak Login LockDown koji će vas zaštititi od brutalnih lozinki i prijavljivanja zlonamjernih robota.

Kako biste započeli s Login LockDown, prvo trebate. Nakon instalacije idite na stavku izbornika Settings/Login LockDown i počnite raditi s dodatkom. Ali prvo, pogledajmo funkcionalnost.

Kretanje po članku:

Opis rada Login LockDown.

Login LockDown pamti IP adresu i označava svaki neuspjeli pokušaj prijave. Ako se u kratkom vremenskom razdoblju iz istog IP raspona otkrije broj pokušaja prijave veći od određenog broja navedenog u postavkama, tada je funkcija Prijava onemogućena za sve zahtjeve iz tog raspona. To pomaže u sprječavanju zlonamjernih programa i ljudi da grubo forsiraju vaše lozinke. Dodatak trenutno postavlja zadanu IP zabranu od 1 sata nakon 3 neuspjela pokušaja prijave unutar 5 minuta. To se može promijeniti na ploči postavki dodatka. Također možete ručno osloboditi blokirani IP raspon.

Odlaskom na izbornik postavki dodatka Login LockDown postat će nam dostupni sljedeći obrasci za prilagodbu.

U prvom polju obrasca potrebno je naznačiti maksimalan broj neuspješnih pokušaja prijave, nakon čega će biti omogućeno blokiranje IP-a, ovo polje mora imati vrijednost različitu od nule, inače blokiranje neće funkcionirati.

U sljedećem paragrafu trebamo naznačiti prihvatljivu učestalost unosa netočnih podataka. Prema zadanim postavkama, vrijeme je postavljeno na jednu minutu, odnosno promatranjem vremenske zone između pokušaja od jedne minute, možete zaobići blokiranje.

Sljedeći korak u konfiguriranju Login LockDown je omogućiti blokiranje kada se unese netočna prijava. Ako je Da aktivno, blokiranje neće biti omogućeno.

WordPress obavještava korisnika ako su neki parametri netočno uneseni, što može ubrzati hakiranje, pa je preporučljivo onemogućiti te upite. Postavljanjem parametra na "Da".

Dodatak Login LockDown prema zadanim postavkama prikazuje korisnicima poveznicu na dodatak, tako da i drugi mogu osigurati svoje stranice, preporučujem da onemogućite ovu funkciju postavljanjem parametra kao što je prikazano na slici.

Nakon unosa svih postavki Login LockDown, kliknite gumb Save Changes. Ovo dovršava postavljanje dodatka.

Da biste ručno uklonili IP blokiranje, morate koristiti poseban obrazac koji se nalazi na samom dnu postavki.

Ako su takve IP adrese blokirane, morat ćete ih ukloniti s popisa.

Korištenjem ovog jednostavnog dodatka možete značajno smanjiti rizik od hakiranja vaše stranice putem WordPress autentifikacije, što je jedna od najpopularnijih metoda hakiranja.

Pozdrav kolege. Ovaj članak će govoriti o kako zaštititi svoj blog na WordPress motoru od hakera i svih onih koje svrbe ruke. Počnimo s činjenicom da su web stranice danas prilično često hakirane, posebice internetske trgovine, čak i ako nisu dobro promovirane. To uglavnom rade hakeri i oni ljudi koji nisu hakeri, ali znaju i par metoda od svojih kolega kako hakirati ovu ili onu stranicu.

Nakon što su dobili pristup stranici, oni, u pravilu, ne postavljaju sebi cilj ostvariti profit od nje, kao što je to učinio bivši vlasnik. Nakon hakiranja web stranice ili bloga najčešće se obraćaju njegovom vlasniku za otkupninu. Cijena ovisi o mnogim parametrima, od teme stranice do broja posjetitelja po danu. Ako bivši vlasnik odbije platiti, onda lopov jednostavno ode na bilo koju kupoprodajnu mjenjačnicu, na primjer, i proda je.

Ali da budem iskren, sve ovo nije previše isplativo. Kao što sam ranije napisao, internetske trgovine nisu hakirane zbog same stranice, već zbog informacija koje su na njoj pohranjene, odnosno lozinki i brojeva plastičnih kartica onih ljudi koji su platili robu. Ali ako imate čak i jednostavan ribolovni blog, nemojte misliti da ni to neće utjecati na vas. Činjenica je da sami hakeri zapravo ne rade ništa, za to imaju poseban softver (programe) koji traže ranjivosti na vašem blogu.

Jedan od njih odabire lozinke za vašu administratorsku ploču (autorizacijsku ploču) kako bi je hakirao. Ako imate slabu lozinku, jednostavno ćete biti otvoreni kao limenka za manje od nekoliko minuta. Oni koji su to prekasno shvatili već su prekasno razmišljali o tome kako zaštititi blog , jer čak i ako joj uspijete vratiti pristup, haker će sigurno ostaviti neki neprimjetan kod tako da u budućnosti možete ponovno posjetiti ovu stranicu, kao da je to vaš vlastiti dom. Stoga je bolje razmisliti o tome kako zaštititi svoj blog što je više moguće u početnim fazama pokretanja vašeg projekta. , jer ako to ne učiniš sada, bit će prekasno. Dakle, u ovom ću vam članku predstaviti dva dodatka: zaključavanje prijave i ograničenje pokušaja prijave, koji će pouzdano štititi vaše dijete 24 sata dnevno.

Kako funkcionira dodatak za zaključavanje prijave i ograničavanje pokušaja prijave.

Sve je vrlo jednostavno, kao što sam gore napisao, pokušavaju pogoditi našu lozinku, pa im ograničimo ovo zadovoljstvo. Dodaci za zaključavanje prijave i ograničavanje pokušaja prijave sprječavaju prijavu na web mjesto neko vrijeme ako je lozinka unesena netočno. Sami određujete broj pokušaja i vrijeme. Također se sjećaju točnog vremena i IP-a računala s kojeg su pokušali hakirati stranicu. Možete konfigurirati dodatke tako da oni sami šalju takve obrtnike na zabranu (crna lista).

Kao rezultat toga, nakon što su nekoliko puta pogriješili, više nisu mogli nastaviti svoje pokušaje, osim ako, naravno, nisu imali dinamički IP. Ali ni pod kojim okolnostima više neće moći to učiniti brzo. Čak im mogu trebati mjeseci ili godine da hakiraju takvu stranicu, sve ovisi o složenosti vaše lozinke i postavkama koje navedete. Zato ne brinite, ionako će morati pričekati do mirovine.

Instaliranje i konfiguriranje dodatka za zaključavanje prijave.

Zaključavanje Nevažećih korisničkih imena– ovdje označite kućicu ako želite da se pogrešan unos prijave uzme u obzir. Odnosno, osim lozinke, provjeravat će se i prijava. Ova funkcija je potrebna ako ne blogujete sami i ako postoje drugi korisnici s različitim imenima. Čak i ako ih nema, svejedno postavljamo Da.

Mask Login Errors– ovdje označite kućicu Da ako želite da se greške pri unosu netočnih podataka maskiraju.

ShowCreditLink– ovdje stavite “No, donotdisplaythecreditlink” ako želite da se natpis dodatka ne prikazuje prilikom ulaska u admin ploču, čime ne dajete naslutiti lopovima u čemu bi mogao biti problem.

Trenutno zaključano— ovdje možete ukloniti IP adrese koje su zabranjene. Da biste to učinili, označite ih i kliknite na "Oslobodi odabrano". U redu, nakon što ste sve konfigurirali, kliknite na "Ažuriraj postavke".

Instaliranje i konfiguriranje dodatka za ograničenje pokušaja prijave.

Preuzmite dodatak za ograničenje pokušaja prijave i prenesite ga na blog, aktivirajte ga. Idite na “Postavke” “Ograniči pokušaje prijave”.

U biti, dodatak za ograničenje pokušaja prijave isti je kao i zaključavanje prijave samo s naprednijim postavkama. U njima možete vidjeti koliko su vas puta pokušali hakirati. Za neke vlasnike web stranica koje čak nisu povezane s novcem, ta brojka doseže 8 tisuća! Također možete postaviti da primate obavijesti e-poštom ako pokušaj hakiranja ne uspije. Usput, postoji još jedna cool značajka koja mi se jako svidjela. IP svog računala možete povezati s admin panelom, odnosno na svoj blog se možete prijaviti samo preko svog računala.

Kako biste omogućili ovu funkciju, potvrdite okvir "Da" pored - obraditi kolačiće za prijavu. Čak i ako vam se računalo pokvari, nema veze, samo uklonite dodatak i zaštita će nestati. U redu, mislim da ostale postavke možete sami odrediti; na ruskom su. Završavajući ovaj članak, želim reći da smo učinili samo mali, ali već značajan dio zaštite naše kreacije, ali ovo je daleko od kraja, stoga preporučujem da pročitate sljedeći članak -.

Login LockDown bilježi IP adresu i vremensku oznaku svakog neuspjelog pokušaja prijave. Ako je više od a
određeni broj pokušaja se detektira unutar kratkog vremenskog perioda od istog
IP raspon, tada je funkcija prijave onemogućena za sve zahtjeve iz tog raspona.
To pomaže u sprječavanju otkrivanja lozinke grubom silom. Trenutno su zadane postavke dodatka
na 1 sat zaključavanja iz IP bloka nakon 3 neuspjela pokušaja prijave unutar 5 minuta. Ovo se može modificirati
putem ploče s opcijama. Administratori mogu ručno osloboditi zaključane IP raspone s ploče.

Montaža

1. Ekstrahirajte zip datoteku u svoj direktorij dodataka u vlastitu mapu.
2. Aktivirajte dodatak u opcijama dodatka.
3. Po želji prilagodite postavke na ploči s opcijama.

Recenzije

Sviđa mi se ovaj dodatak i koristim ga na nizu web stranica za koje sam webmaster. U slučaju da pomaže, evo nekoliko razmišljanja o tome kako/zašto sam konfigurirao dodatak. Ostavljam prva 3 unosa kao zadana (3,5,60). Čine mi se idealnim. Postavio sam zaključavanje. Nevažeća korisnička imena? na DA. Ako ne znaju korisničko ime, zašto se pokušavaju prijaviti? Pažljiv sam, pa se neću zaključati. Postavio sam Mask Login Errors? na DA. Uskraćuje korisne obavještajne podatke ljudima koji se pokušavaju prijaviti kada ne bi trebali. Zašto im pomagati? Postavio sam Prikaži kreditnu vezu? na NE. Volim pomagati ljudima - i slučajno to je moj profesionalni posao - međutim govoriti ljudima o dodatak kako bi mogli zaštititi svoje blogove također govori ljudima koji se pokušavaju prijaviti kada se ne bi trebali prijaviti koju sigurnost koristim. Ovo je sporednija točka, ali također potpada pod "pravila potrebe za znanjem" - oni ne .

Općenito nemam problema s ovim dodatkom i pretpostavljam da dobro radi na zaštiti moje stranice od hakera. Jedini problem koji imam je to što me s vremena na vrijeme zaključava iako ZNAM pouzdano da se nisam neuspješno pokušao prijaviti nekoliko puta.

• Zaključajte poslužitelj, slično kao /whitelist
• Dopuštenje za zaobilaženje zaključavanja
• Naredba za provjeru statusa zaključavanja
• Obavijesti kada se igrači pokušaju pridružiti tijekom zaključavanja
• YAML pohrana
• Potpuno prilagodljiv

Instalacija i ovisnosti
Ova skripta zahtijeva dodatak SkQuery da bi radila. Trebat će vam i sam Skript plugin. Instalirajte oba ova dodatka i ponovno pokrenite poslužitelj. Otvorite datoteku lockdown.sk u programu kao što je Notepad++ i prilagodite je u odjeljku "opcije". Nakon što to učinite, samo spremite datoteku i ispustite je u mapu "skripte" pod Skriptom, tada sve što trebate učiniti je upisati /skript ponovno zaključavanje i skripta će biti funkcionalna!

Dozvole
- lockdown.lock - Za zaključavanje poslužitelja i za prekid zaključavanja
- lockdown.bypass - Za zaobilaženje zaključavanja
- lockdown.notify - Za dobivanje obavijesti kada se poslužitelj otključa ili kada se igrač pokuša pridružiti tijekom zaključavanja
- lockdown.info - Može koristiti /lock ili /lock info da vidi trenutni status zaključavanja

Prilagodba

SpoilerTarget"> Spojler: odjeljak za prilagodbu

# ====================
#OPCIJE
# ====================
# p = prefiks
#c. = kod boje (&a, &b, &1..)
#t. =tekst
#m. = poruka
opcije:
# Prefiks koji se koristi za sve poruke
p: &7[&cLOCK&7]

# Treba li postojati razmak između redaka i poruke pomoći
b.razmak: istina

# Redovi korišteni za poruku pomoći
t.redovi: &7=============================================== =======

# Kod boje koji se koristi za /naredbu u poruci pomoći
c.pomoć: &c

# Kod boje koji se koristi za opis u poruci pomoći
c.desc:&f

# Poruka koja se šalje izvršitelju kada ukloni trenutno zaključavanje
m.end: &aZavršili ste trenutno zaključavanje!

# Poruka koja se šalje igračima s dozvolom obavijesti kada netko ukloni zaključavanje
m.ended: &b%player% je uklonio trenutno zaključavanje!

# Poruka koja se šalje igraču kada pokuša ukloniti nepostojeće zaključavanje ili kada nema aktivnog zaključavanja u /lock info
m.notlocked: &cPoslužitelj trenutno nije zaključan!

# Poruka u /lock info kada je zaključavanje aktivno
m.active: &aLockdown aktivan

# Početna poruka koja se koristi za zaključavanje (koristite %(_reason)% za razlog i %nl% za novi redak)
t.razlog: &c&lZAKLJUČAVANJE AKTIVNO%nl%%nl%&fRazlog: &c%(_reason)%%nl%%nl%&7Oprostite zbog neugodnosti!%nl%&bwww.example.com

# Poruka koja je govorila da je zaključavanje sada aktivno
m.start: &aZaključavanje aktivirano! &fRazlog: &c%(_reason)%

# Poruka koja se koristi kada igrač nema odgovarajuću dozvolu
m.noperm: &cNemate potrebnu dozvolu za ovu naredbu!

# Poruka koja se šalje igračima s dopuštenjem obavijesti kada se igrač pokuša pridružiti tijekom zaključavanja
m.tried: &7%player% pokušao se pridružiti!

Pozdrav, dragi čitatelji bloga! Tema današnjeg članka: štiteći vaš WordPress blog od hakiranja odabirom lozinke za ulazak u administratorsko područje. Ova metoda se zove. Ovaj problem je vrlo relevantan, jer slučajevi neovlaštenog pristupa svetinji nad svetinjama bloga, odnosno upravljačkoj ploči WordPressa, nažalost, nisu nimalo rijetki.

Općenito, tema sigurnosti WordPressa vrlo je široka i nije ograničena samo na i, o čemu sam već ranije pisao. Mnogo tužnije posljedice (ne želim ni zamisliti) mogu se dogoditi ako napadači dobiju pristup administratorskom području bloga. Naš zadatak je učiniti sve da se to ne dogodi. A danas ću vam reći samo o jednom od načina za jačanje zaštite vašeg bloga. Upoznajte WordPress sigurnosni dodatak Zaključavanje prijave.

Zaštita vašeg WordPress administratora od hakiranja pomoću dodatka Login LockDown

Najlakši način hakiranja stranice je pogoditi korisničko ime i lozinku za ulazak u upravljačku ploču. Mora se reći da mnogi blogeri sami hakerima olakšavaju posao za 50% ostavljajući zadanu prijavu. A onda sve što mora učiniti je pronaći lozinku.

Jeste li promijenili korisničko ime ili još uvijek imate ime admin? Ako ne, učinite to odmah. Moj članak "" može vam pomoći u tome.

Obavezno odmah nakon instaliranja motora promijenite lozinku na sigurniju (neka ima oko 20 znakova, koristeći velika i mala slova, brojeve i posebne znakove). To možete učiniti izravno s administratorske ploče odlaskom na izbornik "Korisnici" - "Vaš profil". Unesite novu lozinku dva puta i spremite promjene klikom na gumb “ Ažuriraj profil“. Povremeno promijenite lozinku i nemojte je koristiti na drugim stranicama.

Ovakvim jednostavnim radnjama već ćemo zakomplicirati zadatak hakerima. Ali recimo da su se pokazali tvrdoglavima i ne odustaju od pokušaja, koristeći posebne programe za pogađanje lozinke. I tu nam u pomoć dolazi sigurnosni dodatak za WordPress Login LockDown.

Kako radi dodatak Login LockDown

Dodatak bilježi točno vrijeme i IP adresu s koje je izvršen neuspješan pokušaj prijave u administratorsko područje bloga. Kada se napravi određeni broj neuspješnih pokušaja tijekom određenog vremenskog razdoblja, dodatak blokira pristup stranici na određeno vrijeme. Prikazuje se poruka:

“Pogreška: Žao nam je, ali ovaj IP raspon je blokiran zbog previše neuspjelih pokušaja prijave. Molimo pokušajte ponovo kasnije."

Osim toga, imat ćete popis svih blokiranih IP adresa i mogućnost njihovog deblokiranja u postavkama dodatka. Pogledajmo ih pobliže.

Instaliranje i konfiguriranje sigurnosnog dodatka Login LockDown

Instalirajte i aktivirajte dodatak. Instalaciju ovog dodatka detaljno sam opisao, kao primjer, u članku „“. Stoga, bez daljnjeg odlaganja, prijeđimo odmah na postavke.

Idite na izbornik "Opcije" - "Zaključavanje prijave".

Slika prikazuje zadane postavke. Možete ih mijenjati kako želite. U nastavku ću opisati što svaka točka znači i dati svoje komentare:

• 1. Maks. prijava preuzima– maksimalan broj pokušaja prijave na administrativnu ploču bloga. Mislim da nema smisla stavljati više od tri.
• 2. Ograničenje vremenskog razdoblja ponovnog pokušaja (minute)– vremensko razdoblje u minutama za ponovni pokušaj. Pet minuta dovoljno je čak i za trčanje do kanadske granice, a kamoli za unos lozinke.
• 3. Duljina zaključavanja (minute)– vrijeme u minutama za koje je blokiran pristup WordPress administratorskom području. Možete ga ostaviti 60 minuta, a možete i duže.
• 4. Zaključavanje Nevažećih korisničkih imena– treba li uzeti u obzir pogrešan unos prijave? Označimo ovu stavku i dodatak će, osim lozinke, uzeti u obzir i pogrešno napisano ime. Dodatna zaštita za vaš blog nikad nije previše.
• 5. Mask Login Errors– maskiranje pogrešaka pri unosu netočnih podataka. Označimo ga i tada napadač neće znati da su njegovi postupci pod kontrolom (nije primijetio nikakvu razliku).
• 6. Trenutno zaključano– ovdje se prikazuje popis trenutno blokiranih IP adresa i vrijeme do deblokade. Više o tome u nastavku.

Nakon postavljanja postavki sigurnosnog dodatka Login LockDown, kliknite gumb "Ažuriraj postavke" kako bi promjene stupile na snagu.

Radi jasnoće, dešifrirat ću što će se dogoditi kada pokušate hakirati blog ako su postavke, na primjer, zadane, kao na gornjoj slici. Ako se lozinka netočno unese više od 3 puta u razmaku od 5 minuta, pristup administratorskoj ploči bit će blokiran na 60 minuta.

Sada se vratimo na popis IP adresa. Ne znam kada bi to moglo biti potrebno, ali imate priliku deblokirati IP adresu koja je ispala iz milosti. Da biste to učinili, označite ovu stavku i kliknite "Oslobodi odabrano". Ovo vjerojatno ima smisla ako ne samo vi imate pristup blogu. Na primjer, nekoliko autora ili freelancer mora nešto ispraviti.

Još jedan detalj. Ako ste primijetili, na prvoj snimci zaslona možete vidjeti da se ispod obrasca za prijavu u administratorskom panelu prikazuje upozorenje o zaštiti od strane Login LockDown dodatka. Trebao bi se pojaviti ako ste ispravno instalirali dodatak i ako radi. Ali u ovom slučaju gubi se smisao stavka 5. jer će napadač biti unaprijed upozoren na zaštitu. Uklonimo ovaj natpis.

Idite na izbornik "Dodaci" - "Uređivač". Odaberite naš sigurnosni dodatak s padajućeg popisa u gornjem desnom kutu i kliknite "Odaberi". Nalazimo ga u spisu login-lockdown/logindown.php ovaj redak (vidi sliku ispod) i izbrišite sve između navodnika. Pritisnite “Ažuriraj datoteku” i idite na stranicu za prijavu. Natpis bi trebao nestati.

Obratite pažnju na upozorenje na stranici za uređivanje. Prije unosa promjena deaktivirajte dodatak i zatim ga ponovno omogućite. Nadam se da nema potrebe podsjećati da prije bilo kakvog uređivanja datoteka morate napraviti njihove kopije.

Sada WordPress Login LockDown sigurnosni dodatak neće dopustiti napadaču da dobije pristup administratorskoj ploči pogađanjem lozinke. Naravno, to ne jamči 100% zaštitu za WordPress od hakiranja i drugih problema. Ali svaka vrsta obrane bloga izgradit će zid ispred neprijatelja ciglu po ciglu. Što je ovaj zid viši, to ćete mirnije spavati noću.

Važno je upamtiti da pitanjima sigurnosti bloga ne morate posvetiti ništa manje pozornosti nego pisanju jedinstvenog sadržaja i njegovom promoviranju u tražilicama. U budućim člancima vraćat ću se ovoj temi više puta. Pretplatite se na ažuriranja bloga kako biste uvijek bili u tijeku. Vidimo se uskoro!