Come configurare smartphone e PC. Portale informativo
  • casa
  • Windows 8
  • Plug-in di blocco. WordPress Security - plugin Login LockDown

Plug-in di blocco. WordPress Security - plugin Login LockDown

05.08.2020 Windows 8

Uno dei primi passi per impostare la sicurezza del tuo sito WordPress dovrebbe essere la protezione dell'autorizzazione del pannello di amministrazione. Il popolare plug-in Login LockDown ci aiuterà in questo, che ti aiuterà a proteggerti da attacchi di forza bruta su password e accessi.

Per iniziare con Login LockDown devi prima farlo. Dopo l'installazione, vai alla voce di menu Impostazioni / Blocco login e inizia a lavorare con il plugin. Ma prima, diamo un'occhiata alla funzionalità.

Navigazione nell'articolo:

Descrizione dell'operazione di blocco dell'accesso.

Login LockDown ricorda l'indirizzo IP e contrassegna ogni tentativo di accesso fallito. Se il numero di tentativi di autorizzazione è superiore a un certo numero specificato nelle impostazioni, vengono rilevati entro un breve periodo di tempo dallo stesso intervallo IP, la funzione di Login viene disabilitata per tutte le richieste di questo intervallo. Questo aiuta a prevenire programmi dannosi e umani da password di forza bruta. Attualmente, il plug-in imposta automaticamente il blocco IP per 1 ora dopo 3 tentativi di accesso non riusciti entro 5 minuti. Questo può essere modificato dal pannello delle impostazioni del plugin. Puoi anche rilasciare manualmente l'intervallo IP bloccato.

Andando al menu delle impostazioni del plugin Login LockDown, saranno disponibili i seguenti moduli di regolazione.

Nel primo campo del form dobbiamo specificare il numero massimo di tentativi di accesso non andati a buon fine, dopodiché verrà abilitato il blocco IP, questo campo deve avere un valore diverso da zero, altrimenti il ​​blocco non funzionerà.

Nel paragrafo successivo, dobbiamo indicare la frequenza consentita per l'inserimento di dati errati. Per impostazione predefinita, il tempo è di un minuto, ovvero, osservando il fuso orario tra i tentativi di un minuto, è possibile ignorare il blocco.

L'elemento successivo nell'impostazione Login LockDown consiste nell'abilitare il blocco quando viene immesso un login errato. Se Sì è attivo, il blocco non sarà abilitato.

WordPress notifica all'utente l'inserimento errato di determinati parametri, che possono accelerare l'hacking, quindi si consiglia di disabilitare questi prompt. Impostando il parametro su "Sì".

Per impostazione predefinita, il plug-in Login LockDown mostra agli utenti un collegamento al plug-in, in modo che anche altri possano proteggere i propri siti, consiglio di disabilitare questa funzione impostando il parametro come mostrato nell'immagine.

Dopo aver inserito tutte le impostazioni di Blocco accesso, fare clic sul pulsante Salva modifiche. Questo completa la configurazione del plugin.

Per rimuovere il blocco IP in modalità manuale, è necessario utilizzare un modulo speciale situato nella parte inferiore delle impostazioni.

Se tali indirizzi IP sono stati bloccati, sarà necessario escluderli dall'elenco.

Utilizzando questo semplice plug-in, puoi ridurre significativamente i rischi di hackerare il tuo sito tramite l'autorizzazione di WordPress, che è uno dei metodi di hacking più popolari.

Saluti, colleghi. Questo articolo parlerà di come come proteggere il tuo blog powered by WordPress da hacker e chiunque altro abbia le mani pruriginose. Partiamo dal fatto che ai nostri tempi i siti vengono spesso hackerati, soprattutto i negozi online, anche se non vengono promossi. Questo viene fatto, in generale, dagli hacker e da quelle persone che non lo sono, ma conoscono anche un paio di metodi dai loro colleghi su come hackerare un particolare sito.

Avendo ottenuto l'accesso al sito, di norma non si prefiggono l'obiettivo di trarne profitto, come faceva l'ex proprietario. Avendo violato un sito Web o un blog, molto spesso si rivolgono al suo proprietario per un riscatto. Il prezzo dipende da molti parametri, dall'argomento del sito al numero di visitatori giornalieri. Se l'ex proprietario si rifiuta di pagare, il ladro si rivolge semplicemente a qualsiasi borsa per l'acquisto e la vendita di siti, ad esempio, e lo vende.

Ma ad essere onesti, tutto questo non è molto redditizio. Come ho scritto prima, i negozi online vengono hackerati non a causa del sito stesso, ma a causa delle informazioni che sono memorizzate su di esso, o meglio delle password e dei numeri di carta di plastica di coloro che hanno pagato la merce. Ma se hai anche un semplice blog di pesca, non pensare che anche questo non ti riguardi. Il fatto è che gli hacker stessi essenzialmente non fanno nulla, per questo hanno software speciali (programmi) che cercano vulnerabilità sul tuo blog.

Uno di questi preleva le password per il tuo pannello di amministrazione (pannello di autorizzazione) per craccarlo. Se hai una password debole, verrai semplicemente aperto come un barattolo di latta in meno di pochi minuti. Chi se ne è accorto troppo tardi è troppo tardi per pensare a come proteggere il blog , perché anche se è possibile ripristinare l'accesso ad esso, l'hacker lascerà sicuramente del codice invisibile per poter visitare nuovamente questo sito in futuro, come se fosse a casa sua. Pertanto, è meglio pensare a come proteggere il più possibile il tuo blog nelle fasi iniziali del tuo progetto. , perché se non è ora, sarà troppo tardi. Quindi, in questo articolo ti presenterò due plug-in di blocco dell'accesso e limiterà i tentativi di accesso, che proteggeranno in modo affidabile la tua idea 24 ore al giorno.

Il principio di funzionamento del plugin Login LockDown e limitare i tentativi di login.

Tutto è molto semplice, come ho scritto sopra, stanno cercando di trovare una password per noi, quindi limitiamo questo piacere a loro. Il plug-in di blocco dell'accesso e il limite dei tentativi di accesso non consentono di accedere al sito per qualche tempo se la password viene inserita in modo errato. Il numero di tentativi e il tempo che ti sei prefissato. Ricordano anche l'ora esatta e l'IP del computer da cui hanno tentato di hackerare il sito. È possibile configurare i plug-in in modo che essi stessi inviino tali artigiani al divieto (lista nera).

Di conseguenza, dopo aver commesso un errore più volte, non potrebbero più continuare i loro tentativi, tuttavia, se, ovviamente, non dispongono di un IP dinamico. Ma in nessun caso non potranno più farlo in modalità veloce. Possono anche volerci mesi o anni per hackerare un sito del genere, tutto dipende dalla complessità della tua password e dalle impostazioni che specifichi. Quindi non preoccuparti, dovranno comunque aspettare fino alla pensione.

Installazione e configurazione del plug-in per il blocco dell'accesso.

Blocca nomi utente non validi- metti un segno di spunta qui se vuoi che venga preso in considerazione il login sbagliato. Cioè, oltre alla password, verrà verificato anche il login. Questa funzione è necessaria se non sei un blog e ci sono altri utenti con nomi diversi. Anche se non ce ne sono, metti comunque Sì.

Errori di accesso alla maschera- metti un segno di spunta su Sì qui se vuoi mascherare errori di inserimento dati errati.

MostraCreditLink- metti "No, non visualizzare il link di credito" qui se vuoi che la didascalia del plugin non venga visualizzata quando entri nel pannello di amministrazione, in modo da non dare indicazioni ai ladri su quale potrebbe essere il problema.

Attualmente bloccato- qui puoi rimuovere gli indirizzi IP che sono stati bannati. Per fare ciò, contrassegnali con un segno di spunta e fai clic su "Rilascia selezionati". Ok, dopo aver impostato tutto, fai clic su "Aggiorna impostazioni".

L'installazione e la configurazione del plugin limitano i tentativi di accesso.

Scarica il plugin limite tentativi di accesso e caricalo sul blog, attivalo. Vai su "impostazioni" "Limita tentativi di accesso".

In effetti, il plug-in Limite tentativi di accesso è lo stesso del blocco dell'accesso solo con impostazioni più avanzate. In essi puoi vedere quante volte qualcuno ha cercato di hackerarti. Per alcuni proprietari di siti nemmeno monetari, questa cifra raggiunge gli 8mila! Puoi anche configurare la ricezione di una notifica via e-mail quando un tentativo di hacking fallisce. A proposito, c'è un'altra caratteristica interessante qui che mi è davvero piaciuta. Puoi associare l'IP del tuo computer al pannello di amministrazione, cioè puoi accedere al tuo blog solo tramite il tuo computer.

Per abilitare questa funzione, seleziona la casella di controllo "Sì" accanto a - process login kukkis. Anche se il tuo computer si guasta, non importa, rimuovi il plugin e la protezione cadrà. Ok, con il resto delle impostazioni, penso che lo capirai da solo, sono in russo. Concludendo questo articolo, voglio dire che abbiamo fatto solo una piccola, ma già essenziale parte della protezione della nostra creazione, ma questo è lontano dalla fine, quindi vi consiglio di leggere il prossimo articolo -.

Login LockDown registra l'indirizzo IP e il timestamp di ogni tentativo di accesso fallito. Se più di a
un certo numero di tentativi viene rilevato in un breve periodo di tempo dallo stesso
IP range, quindi la funzione di accesso è disabilitata per tutte le richieste da quell'intervallo.
Questo aiuta a prevenire la scoperta della password di forza bruta. Attualmente il plugin è predefinito
a un blocco IP di 1 ora dopo 3 tentativi di accesso non riusciti entro 5 minuti. Questo può essere modificato
tramite il pannello Opzioni. Gli amministratori possono rilasciare manualmente gli intervalli IP bloccati dal pannello.

Installazione

  1. Estrai il file zip nella directory dei plugin nella sua cartella.
  2. Attiva il plugin nelle Opzioni plugin.
  3. Personalizza le impostazioni dal pannello Opzioni, se lo desideri.

Recensioni

Mi piace questo plugin e lo uso su un certo numero di siti web per i quali sono un webmaster. Nel caso in cui aiuta, ecco alcuni pensieri su come/perché ho configurato il plugin. Lascio le prime 3 voci di default (3,5,60). Mi sembrano ideali. Ho impostato il blocco dei nomi utente non validi? a SI. Se "non conoscono il nome utente, perché stanno cercando di accedere? Sto attento, quindi non mi chiuderò". Ho impostato Errori di accesso alla maschera? a SI. Nega informazioni utili alle persone che stanno tentando di accedere quando non dovrebbero. Perché aiutarli? Ho impostato Mostra link di credito? su NO. Adoro aiutare le persone - e si dà il caso" è il mio lavoro professionale - tuttavia raccontare alla gente il plug-in in modo che possano proteggere i loro blog dice anche alle persone che stanno tentando di accedere quando non dovrebbero "quale sicurezza sto usando. Questo è un punto più secondario, tuttavia rientra anche nella" necessità di conoscere la politica "- non lo fanno ...

In genere "non ho problemi con questo plugin e presumo che" funzioni bene per proteggere il mio sito dagli hacker. L'unico problema che ho è che di tanto in tanto mi blocca anche se SO per certo che non ho tentato di accedere senza successo più volte.

Di
Questo script ti consente di bloccare il tuo server, in modo simile a una whitelist vaniglia, ma in base alle autorizzazioni e con un bellissimo sistema di aiuto. Basta scaricare, inserire nella cartella Scripts e sei pronto per partire!

Caratteristiche
  • Blocca il server, simile a una / whitelist
  • Permesso per aggirare il blocco
  • Comando per verificare lo stato di blocco
  • Notifiche quando i giocatori cercano di unirsi durante un blocco
  • Archiviazione YAML
  • Completamente personalizzabile
Bug conosciuti
Nessuno

Che cos'è una sceneggiatura?
Uno script è simile a un plug-in e funziona come un plug-in, ma è scritto in una lingua diversa e richiede il plug-in Skript per funzionare. Per caricare / disabilitare / abilitare i tuoi skript, usa il comando / skript ingame

Installazione e dipendenze
Questo script richiede l'addon SkQuery per funzionare. Avrai anche bisogno del plugin Skript stesso. Installa entrambi questi plugin e riavvia il tuo server. Apri il file lockdown.sk in un programma come Notepad ++ e personalizzalo nella sezione "opzioni". Una volta fatto, salva il file e rilascialo nella cartella "scripts" sotto Skript, quindi tutto ciò che devi fare è digitare / skript reload lockdown e lo script sarà funzionante!

permessi
- lockdown.lock - Per bloccare il server e terminare i blocchi
- lockdown.bypass - Per bypassare un blocco
- lockdown.notify - Per ricevere notifiche quando il server viene sbloccato o quando un giocatore tenta di unirsi durante un blocco
- lockdown.info - Può usare / bloccare o / bloccare le informazioni per vedere lo stato di blocco corrente

personalizzazione

SpoilerTarget "> Spoiler: sezione personalizzazione

# ====================
# OPZIONI
# ====================
# p = prefisso
# C. = codice colore (& a, & b, & 1 ..)
# T. = testo
# m. = messaggio
opzioni:
# Prefisso utilizzato per tutti i messaggi
p: & 7 [& OROLOGIO & 7]

# Se dovrebbe esserci uno spazio tra le righe e il messaggio di aiuto
b.spazio: vero

# Righe utilizzate per il messaggio di aiuto
t.linee: & 7 =====================================

# Codice colore usato per / comando nel messaggio di aiuto
c.help: & c

# Codice colore utilizzato per la descrizione nel messaggio di aiuto
c.desc: & f

# Messaggio che viene inviato all'esecutore quando rimuove l'attuale blocco
m.end: & aHai terminato l'attuale blocco!

# Messaggio che viene inviato ai giocatori con il permesso di notifica quando qualcuno rimuove il blocco
m.ended: & b% player% ha rimosso l'attuale blocco!

# Messaggio che viene inviato al giocatore quando cerca di rimuovere un blocco inesistente o quando non c'è blocco attivo in una / info blocco
m.notlocked: & cIl server non è attualmente bloccato!

# Messaggio in / informazioni sul blocco quando il blocco è attivo
m.active: & aLockdown attivo

# Il messaggio di kick utilizzato per il blocco (use% (_ reason)% per il motivo e% nl% per una nuova riga)
t.motivo: & c & lLOCKDOWN ATTIVO% nl %% nl% & fReason: & c% (_ motivo) %% nl %% nl% & 7Ci scusiamo per l'inconveniente!% nl% & bwww.example.com

# Messaggio usato per dire che un blocco è ora attivo
m.start: & aLockdown attivato! & fMotivo: & c% (_ motivo)%

# Messaggio utilizzato quando il giocatore "non ha il permesso giusto
m.noperm: & cNon hai i permessi necessari per questo comando!

# Messaggio inviato ai giocatori con autorizzazione di notifica quando un giocatore tenta di unirsi durante un blocco
m.tried: & 7% player% ha provato a partecipare!


immagini

Ciao cari lettori del sito blog! Argomento dell'articolo di oggi: proteggere il tuo blog WordPress dall'hacking indovinando una password per entrare nel pannello di amministrazione. Questo metodo è chiamato. Questo problema è molto rilevante, dal momento che i casi di accesso non autorizzato al santo dei santi del blog, ovvero al pannello di controllo di WordPress, purtroppo non sono affatto rari.

In generale, l'argomento della sicurezza di WordPress è molto ampio e non è limitato solo e, di cui ho già scritto in precedenza. Conseguenze molto più tristi (non voglio nemmeno immaginare) possono verificarsi se gli aggressori ottengono l'accesso al pannello di amministrazione del blog. Il nostro compito è fare tutto il possibile per evitare che ciò accada. E oggi parlerò solo di uno dei modi per rafforzare la protezione del tuo blog. Scopri il plugin per la sicurezza di WordPress Blocco accesso.

Proteggere l'area di amministrazione di WordPress dall'hacking con il plugin Login LockDown

Il modo più semplice per hackerare un sito è trovare un nome utente e una password per accedere al pannello di controllo. Devo dire che molti blogger stessi rendono il 50% più facile per un cracker lavorare lasciando il login predefinito. E poi tutto quello che deve fare è capire la password.

Hai cambiato il nome utente o hai ancora il nome admin? In caso contrario, fallo immediatamente. Il mio articolo ““, forse, ti aiuterà in questo.

Assicurati, subito dopo aver installato il motore, di cambiare la password con una più sicura (facciamo circa 20 caratteri usando lettere maiuscole e minuscole, numeri e caratteri speciali). Questo può essere fatto direttamente dal pannello di amministrazione andando nel menu "Utenti" - "Il tuo profilo". Immettere due volte la nuova password e salvare le modifiche premendo il pulsante " Aggiorna il profilo“. Cambia periodicamente la tua password e non usarla su altri siti.

Con azioni così semplici, complicheremo il compito dei cracker. Ma diciamo che si sono rivelati testardi e non rinunciano a provare, usando programmi speciali per indovinare la password. Ed ecco che arriva il plugin di protezione per WordPress Login LockDown.

Come funziona il plugin Login LockDown

Il plugin registra l'ora esatta e l'indirizzo IP da cui è stato effettuato un tentativo non riuscito di accedere al pannello di amministrazione del blog. Quando un certo numero di tentativi non andati a buon fine viene effettuato entro un determinato periodo di tempo, il plugin blocca l'accesso al sito per un periodo di tempo specificato. Viene visualizzato il messaggio:

"Errore: Siamo spiacenti, ma questo intervallo IP è stato bloccato a causa di troppi tentativi di accesso non riusciti. Per favore riprova più tardi. "

Inoltre, avrai un elenco di tutti gli indirizzi IP bloccati e la possibilità di sbloccarli nelle impostazioni del plug-in. Consideriamoli in modo più dettagliato.

Installazione e configurazione del plugin di sicurezza Login LockDown

Installa e attiva il plugin. Ho descritto in dettaglio l'installazione di questo plugin, a titolo di esempio, nell'articolo ““. Pertanto, senza ulteriori indugi, andiamo direttamente alle impostazioni.

Vai al menu "Opzioni" - "Blocco accesso".

La figura mostra le impostazioni predefinite. Puoi cambiarli come meglio credi. Di seguito descriverò cosa significa ciascuno dei punti e fornirò i miei commenti:

  • 1. Numero massimo di tentativi di accesso- il numero massimo di tentativi di accesso al pannello di amministrazione del blog. Non credo abbia senso scommettere più di tre.
  • 2. Limitazione del periodo di tempo dei tentativi (minuti)- periodo di tempo in minuti per riprovare. Bastano cinque minuti anche per raggiungere il confine canadese, non per inserire la password.
  • 3. Durata del blocco (minuti)- il tempo in minuti per il quale viene bloccato l'accesso al pannello di amministrazione di WordPress. Puoi lasciare 60 minuti o puoi installarne altri.
  • 4. Blocca nomi utente non validi- se prendere in considerazione il login errato? Contrassegniamo questo elemento e il plugin, oltre alla password, terrà conto anche del nome sbagliato. La protezione superflua del blog non è mai superflua.
  • 5. Errori di accesso alla maschera- mascheramento di errori di inserimento dati errati. Lo segniamo, e quindi il cracker non saprà che le sue azioni sono sotto controllo (non ha notato alcuna differenza).
  • 6. Attualmente bloccato- qui viene visualizzato l'elenco degli indirizzi IP attualmente bloccati e il tempo fino allo sblocco. Maggiori informazioni su questo di seguito.

Dopo aver effettuato le impostazioni per il plugin di sicurezza Login LockDown, fare clic sul pulsante "Aggiorna impostazioni" per rendere effettive le modifiche.

Per chiarezza, decifrerò cosa succede quando tenti di hackerare un blog se le impostazioni sono, ad esempio, di default, come nell'immagine sopra. Se la password viene inserita in modo errato più di 3 volte con un intervallo di 5 minuti, l'accesso per accedere al pannello di amministrazione viene bloccato per 60 minuti.

Ora torniamo all'elenco degli indirizzi IP. Non so quando potresti averne bisogno, ma hai la possibilità di sbloccare un indirizzo IP che è caduto in disgrazia. Per fare ciò, seleziona questa casella e fai clic su "Rilascia selezionati". Probabilmente ha senso se non sei l'unico ad avere accesso al blog. Ad esempio, più autori o un libero professionista devono modificare qualcosa.

Un dettaglio in più. Se l'hai notato, nel primo screenshot puoi vedere che sotto il modulo di accesso nel pannello di amministrazione, viene visualizzato un avviso sulla protezione tramite il plug-in Login LockDown. Dovrebbe apparire se hai installato correttamente il plugin e funziona. Ma in questo caso si perde il significato del paragrafo 5, perché l'attaccante sarà avvisato in anticipo della protezione. Rimuoviamo questa iscrizione.

Andiamo al menu "Plugin" - "Editor". Seleziona il nostro plug-in di sicurezza dall'elenco a discesa in alto a destra e fai clic su "Seleziona". Trova nel file login-lockdown / loginlockdown.php questa riga (vedi l'immagine sotto) e rimuovi tutto tra le virgolette. Fai clic su "Aggiorna file" e vai alla pagina di accesso. L'iscrizione dovrebbe scomparire.

Prestare attenzione all'avviso nella pagina di modifica. Prima di apportare qualsiasi modifica, disattiva il plugin e poi riattivalo. Spero che prima di qualsiasi modifica dei file, sia necessario farne delle copie, non è necessario ricordare.

Ora Plugin di sicurezza per il blocco dell'accesso di WordPress non consentirà a un utente malintenzionato di accedere al pannello di amministrazione indovinando una password. Naturalmente, questo non garantisce la protezione al 100% di WordPress da hacking e altri fastidi. Ma ogni forma di difesa del blog costruirà un muro mattone dopo mattone davanti al nemico. Più alto è questo muro, più tranquillo dormirai la notte.

È necessario ricordare bene che prestare attenzione alla sicurezza del proprio blog non dovrebbe essere altro che scrivere contenuti unici e promuoverli nei motori di ricerca. Nei prossimi articoli tornerò su questo argomento più di una volta. Iscriviti agli aggiornamenti del blog per essere sempre informato. A presto!

Principali articoli correlati

Diversi movimenti del mouse in verticale e in orizzontale
Diversi movimenti del mouse in verticale e in orizzontale
Come comprimere le trame in fallout 4
Come comprimere le trame in fallout 4
Resta solo da capire il livello richiesto
Resta solo da capire il livello richiesto
Categorie:
© 2021 bumotors.ru. Come configurare smartphone e PC. Portale informativo.