Dodatak za zaključavanje prijave. Sigurnosni dodatak za zaključavanje prijave za WordPress - zaštita od hakiranja

Dobar dan, dragi čitatelji! Danas ćemo se povećati WordPress sigurnost... WordPress je već prilično dobro zaštićen, ali nam dodatna sigurnost neće naškoditi.

Prvo zatvorimo pristup nepotrebnim datotekama. Upišite adresu u svoj preglednik, na primjer vaš_blog / wp-content i ako vidite bijeli ekran, onda je sve u redu:

Ako imate popis datoteka, trebate učiniti sljedeće (čak i ako postoji bijeli ekran, bolje je učiniti sljedeće):

Sigurnost u WordPressu s dodatkom za zaključavanje prijave

Također, vaš blog se može hakirati pogađanjem lozinke za blog. Ako postavite vrlo laganu lozinku, hakeri mogu lako "probiti" na vaš blog pomoću posebnih skripti.

Konfiguriranje sigurnosnog dodatka za zaključavanje prijave

Da biste ušli u postavke dodatka, morate ići WordPress administrator -> Postavke -> Zaključavanje prijave:


1. Maksimalni broj pokušaja prijave- maksimalni broj pokušaja unosa lozinke.

2. Ograničenje vremenskog razdoblja ponovnog pokušaja (minute)- broj minuta za koje se uzima u obzir maksimalni broj pokušaja upisivanja lozinke.

3. Trajanje blokade (minuta) - vrijeme blokiranja.

Odnosno, ako brojevi ostanu isti kao na gornjoj slici, to znači sljedeće: ako se za 5 minuta lozinka unese pogrešno 3 puta zaredom, tada je administratorska ploča WordPressa blokirana 60 minuta.

Postavke dodatka Login LockDown ostavio sam prema zadanim postavkama, ništa nisam dirao, jer mi u potpunosti odgovaraju.

Možda se danas sve vrti oko sigurnosti u WordPressu (Wordpress). Vidimo se na sljedećim lekcijama!

P.s. Ne zaboravite, svježe, korisne lekcije izlaze svaki radni dan, stoga se svakako pretplatite na RSS!

Pozdrav dragi čitatelji blog stranice! Tema današnjeg članka: štiti vaš WordPress blog od hakiranja pogađanjem lozinke za ulazak u administratorsku ploču. Ova metoda se zove. Ovaj problem je vrlo relevantan, budući da slučajevi neovlaštenog pristupa svetinji nad svetinjama bloga, odnosno upravljačkoj ploči WordPressa, nažalost, nisu nimalo rijetki.

Općenito, tema sigurnosti WordPressa je vrlo opsežna i nije ograničena samo na i, o čemu sam već pisao ranije. Mnogo tužnije posljedice (ne želim ni zamišljati) mogu se dogoditi ako napadači dobiju pristup admin panelu bloga. Naš je zadatak učiniti sve da se to ne dogodi. A danas ću govoriti samo o jednom od načina za jačanje zaštite vašeg bloga. Upoznajte WordPress sigurnosni dodatak Zaključavanje prijave.

Zaštita adminskog područja WordPressa od hakiranja s dodatkom Login LockDown

Najlakši način za hakiranje stranice je pronaći korisničko ime i lozinku za ulazak u upravljačku ploču. Moram reći da mnogi blogeri sami 50% olakšavaju rad krekeru ostavljajući zadanu prijavu. A onda sve što treba učiniti je shvatiti lozinku.

Jeste li promijenili korisničko ime ili još uvijek imate ime admin? Ako ne, učinite to odmah. Moj članak "", možda će vam pomoći u tome.

Svakako odmah nakon instaliranja motora promijenite lozinku u sigurniju (izrađujemo oko 20 znakova pomoću velikih i malih slova, brojeva i posebnih znakova). To se može učiniti izravno s administratorske ploče odlaskom na izbornik "Korisnici" - "Vaš profil". Dvaput unesite novu lozinku i spremite promjene pritiskom na tipku “ Ažuriraj profil“. Povremeno mijenjajte svoju lozinku i nemojte je koristiti na drugim stranicama.

Takvim jednostavnim radnjama zakomplicirat ćemo zadatak krekerima. No, recimo da su se pokazali tvrdoglavima i ne odustaju pokušavati, koristeći posebne programe za pogađanje lozinke. I ovdje dolazi zaštitni dodatak za WordPress Login LockDown.

Kako radi dodatak za zaključavanje prijave

Dodatak bilježi točno vrijeme i IP adresu s koje je učinjen neuspješan pokušaj ulaska u administratorsku ploču bloga. Kada se u određenom vremenskom razdoblju napravi određeni broj neuspješnih pokušaja, dodatak blokira pristup stranici na određeno vrijeme. Prikazuje se poruka:

“Pogreška: Žao nam je, ali ovaj raspon IP-a je blokiran zbog previše neuspjelih pokušaja prijave. Molimo pokušajte ponovo kasnije. "

Osim toga, imat ćete popis svih blokiranih IP adresa i mogućnost deblokiranja u postavkama dodatka. Razmotrimo ih detaljnije.

Instaliranje i konfiguriranje sigurnosnog dodatka Login LockDown

Instalirajte i aktivirajte dodatak. Detaljno sam opisao instalaciju ovog dodatka, kao primjer, u članku ““. Stoga, bez daljnjega, idemo odmah na postavke.

Idite na izbornik "Opcije" - "Zaključavanje prijave".

Slika prikazuje zadane postavke. Možete ih mijenjati kako vam odgovara. U nastavku ću opisati što svaka od točaka znači i dati svoje komentare:

• 1. Maksimalni broj pokušaja prijave- maksimalni broj pokušaja ulaska u admin panel bloga. Mislim da nema smisla kladiti se na više od tri.
• 2. Ograničenje vremenskog razdoblja ponovnog pokušaja (minute)- vremensko razdoblje u minutama za ponovni pokušaj. Pet minuta je dovoljno čak i da dođete do kanadske granice, a ne da unesete lozinku.
• 3. Trajanje blokade (minute)- vrijeme u minutama za koje je blokiran pristup admin panelu WordPress-a. Možete ostaviti 60 minuta, ili možete instalirati više.
• 4. Zaključavanje Nevažeća korisnička imena- treba li uzeti u obzir netočnu prijavu? Označavamo ovu stavku i dodatak će, osim lozinke, uzeti u obzir i pogrešno napisano ime. Suvišna zaštita bloga nikada nije suvišna.
• 5. Pogreške pri prijavi maske- maskiranje pogrešaka u unosu netočnih podataka. Označimo ga, a onda kreker neće znati da su njegovi postupci pod kontrolom (nije primijetio nikakvu razliku).
• 6. Trenutno zaključan- ovdje se prikazuje popis trenutno blokiranih IP adresa i vrijeme do deblokiranja. Više o tome u nastavku.

Nakon što izvršite postavke za sigurnosni dodatak Login LockDown, kliknite gumb "Ažuriraj postavke" kako bi promjene stupile na snagu.

Radi jasnoće, dešifrirati ću što se događa kada pokušate hakirati blog ako su postavke, primjerice, prema zadanim postavkama, kao na gornjoj slici. Ako se lozinka unese netočno više od 3 puta u intervalu od 5 minuta, tada je pristup za ulazak u administratorsku ploču blokiran na 60 minuta.

Sada se vratite na popis IP adresa. Ne znam kada bi vam to moglo zatrebati, ali imate opciju deblokiranja IP adrese koja je pala u nemilost. Da biste to učinili, označite ovaj okvir i kliknite na „Oslobodi odabrano“. Vjerojatno ima smisla ako niste jedini koji ima pristup blogu. Na primjer, više autora ili freelancer treba nešto podesiti.

Još jedan detalj. Ako ste primijetili, tada na prvoj snimci zaslona možete vidjeti da se ispod obrasca za prijavu na admin panelu prikazuje upozorenje o zaštiti dodatka Login LockDown. Trebao bi se pojaviti ako ste ispravno instalirali dodatak i radi. Ali u ovom slučaju se gubi smisao stavka 5, jer će napadač biti unaprijed upozoren na zaštitu. Uklonimo ovaj natpis.

Idemo na izbornik "Plugins" - "Editor". Odaberite naš sigurnosni dodatak s padajućeg popisa u gornjem desnom kutu i kliknite "Odaberi". Pronađite u datoteci login-lockdown / loginlockdown.php ovaj redak (pogledajte sliku ispod) i uklonite sve između navodnika. Kliknite "Ažuriraj datoteku" i idite na stranicu za prijavu. Natpis bi trebao nestati.

Obratite pažnju na upozorenje na stranici za uređivanje. Prije bilo kakvih promjena, deaktivirajte dodatak i zatim ga ponovno omogućite. Nadam se da prije bilo kakvog uređivanja datoteka morate napraviti njihove kopije, ne morate ih podsjećati.

Sada Sigurnosni dodatak za zaključavanje prijave u WordPress neće dopustiti napadaču da uđe u administratorsku ploču pogađanjem lozinke. Naravno, to ne jamči 100% zaštitu WordPressa od hakiranja i drugih smetnji. Ali svaki oblik obrane bloga izgradit će zid ciglu po ciglu ispred neprijatelja. Što je ovaj zid viši, to ćete mirnije spavati noću.

Potrebno je dobro zapamtiti da paziti na sigurnost vašeg bloga treba biti ništa manje od pisanja jedinstvenog sadržaja i njegova promicanja u tražilicama. U sljedećim člancima vratit ću se na ovu temu više puta. Pretplatite se na ažuriranja bloga kako biste uvijek bili u toku. Vidimo se uskoro!

U prvom dijelu ću vam reći kako zaštititi svoj blog od hakiranja pomoću pogađanja lozinke. Ono što je najvažnije, nemojte postavljati jednostavnu lozinku i nemojte koristiti istu lozinku na drugim resursima. Dodatak će također pomoći u zaštiti od pogađanja lozinke.

Instaliranje i konfiguriranje dodatka Login LockDown

Dodatak neko vrijeme blokira pristup login i lozinki putem IP adrese, ako je bilo dosta neuspješnih pokušaja. Možete sami postaviti broj pokušaja i vrijeme blokiranja.

Za instalaciju morate preuzeti dodatak. Raspakirajte ga u mapu / plugins i aktivirajte ga.

Da biste konfigurirali dodatak, idite na "Opcije" -> "pojavit će se sljedeći prozor:

Maksimalni broj pokušaja prijave- ovo je maksimalni broj pokušaja prijave, mislim da su tri dovoljna.

Ograničenje vremenskog razdoblja ponovnog pokušaja (minute)- vrijeme između pokušaja, imam 15 minuta.

Trajanje blokade (minute)- naveden je broj minuta za koje je obrazac za prijavu blokiran u slučaju netočnog unosa podataka za maksimalan broj pokušaja, imam 15 minuta.

Zaključavanje Nevažeća korisnička imena- treba li uzeti u obzir netočnu prijavu.

Pogreške pri prijavi maske- treba li maskirati pogreške u unosu podataka.

U odjeljku Trenutno Izbačen prikazuje se popis blokiranih IP adresa.

Ako je dodatak normalno instaliran, obrazac za prijavu zaštićen zaključavanjem prijave bit će prikazan u obrascu za unos prijave i lozinke.

Sigurnost web stranice je glavni prioritet u razvoju web projekata, a WordPress sigurnost nije iznimka. Pokušaji neovlaštenog pristupa upravljanju blogom su slučaj, iako nije raširen, ali ima mjesta u životu webmastera ...

Kako biste zaštitili svoju web stranicu od grubog hakiranja, odabirom ulaznih podataka možete ograničiti pristup administrativnoj ploči. Da biste to učinili, možete ostaviti prioritet samo za pouzdane IP adrese ili postaviti ograničenje broja pogrešaka autorizacije.

Popularan alat za blogere u borbi protiv novačenja je besplatni dodatak - Login LockDown. Ovaj visoko specijalizirani dodatak namijenjen je praćenju pokušaja autorizacije, odnosno ulaska u WordPress konzolu.
Značajka dodatka je fleksibilnost postavki koje omogućuju administratoru da odgodi svaki pokušaj prijave, ograničen na određeni broj, a zatim blokira napadača (njegovu IP adresu) na duže vrijeme!

Instalacija i aktivacija

Dodatak možete instalirati koristeći FTP pristup, nakon preuzimanja arhive s dodatkom - https://wordpress.org/plugins/login-lockdown/
ili idite na odjeljak "Dodaci" u administrativnom području, kliknite na stavku "Dodaj novo" na vrhu, zatim unesite naziv u traku za pretraživanje i pritisnite tipku "Enter". Postavite prvi rezultat, a zatim ga aktivirajte.

Postavke dodatka

Kao što je ranije napomenuto, opcije LoginLockDown su malobrojne i one predstavljaju samo funkcionalne parametre. Nakon aktivacije, dodatak počinje raditi sa zadanim vrijednostima koje preferira većina korisnika.
Na ploči proširite odjeljak "Postavke", gdje ćete pronaći stavku "Login LockDown", kliknite i idite na stranicu s postavkama " Opcije zaključavanja prijave»:

1. Max Login Retries - broj pokušaja autorizacije nakon kojih je adresa blokirana. Zadana vrijednost je 3 (ne preporučujemo postavljanje više od 5 pokušaja).
2. Retry Time Period Restriction (minute) - broj minuta između pokušaja autorizacije, prema zadanim postavkama 2 minute (bolje ga je skratiti kako bi korisnik mogao uskoro ponovno ući).
3. Dužina zaključavanja (minute) - broj minuta za blokiranje IP adrese, prema zadanim postavkama 120 (2 sata), sasvim je moguće povećati s odgovarajućom razinom ozbiljnosti.
4. Zaključati Nevažeća korisnička imena? - opcija za onemogućavanje funkcija dodataka za neregistrirana imena (prijave). Uključujemo ga prema vlastitom nahođenju, jer odabir nepostojećeg para prijava-lozinka nije opasan.
5. Pogreške pri prijavi maske? - opcija za onemogućavanje pogrešaka autorizacije. Od korisnika se neće tražiti nevažeće korisničko ime ili lozinka.
6. Želite li prikazati kreditnu vezu? - mogućnost prikaza veze na web stranicu dodatka izvan web-mjesta (Login LockDown developers oglas). Prikazano prema zadanim postavkama, kliknite treći potvrdni okvir da biste ga onemogućili.
7. Ažuriraj postavke - gumb za ažuriranje postavki, kliknite na kraju za spremanje unesenih promjena.
8. Trenutno zaključano - područje s popisom blokiranih adresa. Moguće je izbrisati IP za pouzdane osobe koje nisu dobile pristup administratorskoj ploči.

Umjesto pogovora

Tako možete nenametljivo ograničiti pristup administratorskom području WordPressa, isključujući automatski ili ručni odabir. Dodatak Login LockDown se povremeno ažurira, što ukazuje na kompatibilnost s trenutnim CMS verzijama.

WordPress je najpopularniji sustav za upravljanje sadržajem danas. I jasno je zašto: jednostavnost korištenja i prilagođavanja, mnogo dodataka, besplatni. No, u isto vrijeme, postoji velika pozornost od strane cyber kriminalaca. Web stranice na Wordptessu vrlo su često na meti napada. Razlozi hakiranja stranice su različiti, točnije razlog je jedan – novac, različiti pristupi. Jedan od načina hakiranja web-mjesta, uključujući i WordPress, je brute force ili na ruskom - metoda brute sile - to je kada pokušavaju pristupiti stranici pogađanjem korisničkog imena i lozinke.

Svi korisnici WordPressa znaju da se prijava na admin panel stranice nalazi na site.com/wp-login.php ili site.com/wp-admin, s koje ćete ionako biti prebačeni na prvu. Za to znaju i napadači. Stoga, ako ste neodgovorni za zaštitu administratorske ploče, vjerojatnost hakiranja vaše stranice značajno se povećava. Kako možete spriječiti one koji ne trebaju ući u admin panel?

Prvo, i najobičnije, ali ne manje važno, je odabir jake lozinke i promjena standardne prijave.

Drugi je instalacija posebnih dodataka za zaštitu administrativnog područja.

Treći je postavljanje rcdirects i ručno uređivanje WordPress datoteka.

Također, sada većina hosting usluga sa svoje strane nudi zaštitu za admin panel.

U ovom članku želim govoriti o dodatku za zaključavanje prijave, koji će pomoći u zaštiti administratorske ploče vaše WordPress stranice od pogađanja lozinke.

Kako radi dodatak? Kada netko pokuša ući u vašu administratorsku ploču i pogrešno unese podatke, prijavu ili lozinku, određeni broj puta u određenom vremenskom razdoblju - Login LockDown blokira IP adresu s koje se pokušalo pristupiti na određeno vrijeme .

Instaliranje dodatka

Dodatak možete instalirati putem ugrađenog WordPress upravitelja. Da biste to učinili, na upravljačkoj ploči morate ići na Dodaci-> Dodaj novi.

Unesite naziv dodatka u polje za pretraživanje.

U rezultatima pretraživanja odaberite dodatak i kliknite instaliraj.

Nakon što instalirate Login LockDown, morate ga odmah aktivirati.

Sada možete nastaviti s konfiguriranjem proširenja.

Ići Postavke-> Zaključavanje prijave

Dodatak nema mnogo postavki. Prođimo ih ukratko.

• Maksimalni broj pokušaja prijave- maksimalni broj pokušaja. Zadana vrijednost je 3, što znači da će nakon tri neuspješna pokušaja autentifikacije pristup s ove IP adrese biti blokiran.
• Ograničenje vremenskog razdoblja ponovnog pokušaja (minute)- vremensko razdoblje u minutama za koje se broje neuspješni pokušaji prijave. Zadana vrijednost je 5. To jest, ako se netočna lozinka unese 3 puta unutar pet minuta, doći će do blokiranja.
• Trajanje blokade (minute)- vremensko razdoblje u kojem je sumnjivi IP blokiran. Zadana vrijednost je 60 minuta.
• Zaključati Nevažeća korisnička imena?- Trebam li računati pogrešnu prijavu? Onemogućeno prema zadanim postavkama. Ako je funkcija onemogućena, dodatak neće bilježiti unos netočne prijave. Odnosno, teoretski, ako napadač zna lozinku s administratorske ploče, tada će moći brutalno prisiliti prijavu koliko god puta želi.
• Pogreške pri prijavi maske?- Maskirati pogreške pri prijavi? Onemogućeno prema zadanim postavkama. Ako je funkcija onemogućena, tada se prilikom unosa netočnih podataka pojavljuje poruka koja obavještava što je točno uneseno - prijava ili lozinka.

Kada je funkcija omogućena, poruka neće točno odrediti gdje je pogreška napravljena.

• Želite li prikazati kreditnu vezu?- Prikaži vezu na zaključavanje prijave. Možete odabrati da prikažete vezu na web-mjesto dodatka, prikažete vezu ali s oznakom nofollow ili ne prikažete vezu.
• Trenutno zaključan- popis blokiranih IP adresa i vrijeme do deblokiranja. Ovdje također možete deblokirati IP.

To je ono što Login LockDown znači. Nakon promjene postavki, spremite ih i sada će vaš blog biti malo sigurniji.