Plug-in per il blocco dell'accesso. Plugin di sicurezza LockDown per l'accesso a WordPress - Protezione dagli hacker

Buon pomeriggio, cari lettori! Oggi aumenteremo Sicurezza di WordPress... WordPress è già abbastanza ben protetto, ma la sicurezza aggiuntiva non ci danneggerà.

Innanzitutto, chiudiamo l'accesso ai file non necessari. Digita l'indirizzo nel tuo browser, ad esempio tuo_blog / wp-content e se vedi uno schermo bianco, allora va tutto bene:

Se hai un elenco di file, devi fare quanto segue (anche se c'è una schermata bianca, è meglio fare quanto segue):

Sicurezza in WordPress con il plugin Login LockDown

Inoltre, il tuo blog può essere violato indovinando la password del blog. Se imposti una password molto leggera, gli hacker possono facilmente "penetrare" il tuo blog utilizzando script speciali.

Configurazione del plugin di sicurezza per il blocco dell'accesso

Per accedere alle impostazioni del plugin, devi andare Amministratore WordPress -> Impostazioni -> Blocco accesso:


1. Numero massimo di tentativi di accesso- il numero massimo di tentativi per inserire una password.

2. Limitazione del periodo di tempo dei tentativi (minuti)- il numero di minuti per i quali si considera il numero massimo di tentativi di digitazione della password.

3. Durata del blocco (minuti) - tempo di blocco.

Cioè, se i numeri rimangono gli stessi dell'immagine sopra, ciò significa quanto segue: se in 5 minuti la password viene inserita in modo errato 3 volte di seguito, l'amministratore di WordPress viene bloccato per 60 minuti.

Ho lasciato le impostazioni del plugin Login LockDown per impostazione predefinita, non ho toccato nulla, poiché mi si adattano perfettamente.

Forse, oggi tutto riguarda la sicurezza in WordPress (Wordpress). Ci vediamo alle prossime lezioni!

p.s. Non dimenticare che ogni giorno della settimana escono lezioni fresche e utili, quindi assicurati di iscriverti all'RSS!

Ciao cari lettori del sito blog! Argomento dell'articolo di oggi: proteggere il tuo blog WordPress dall'hacking indovinando una password per entrare nel pannello di amministrazione. Questo metodo è chiamato. Questo problema è molto rilevante, dal momento che i casi di accesso non autorizzato al santo dei santi del blog, ovvero al pannello di controllo di WordPress, purtroppo non sono affatto rari.

In generale, l'argomento della sicurezza di WordPress è molto ampio e non è limitato solo e, di cui ho già scritto in precedenza. Conseguenze molto più tristi (non voglio nemmeno immaginare) possono verificarsi se gli aggressori ottengono l'accesso al pannello di amministrazione del blog. Il nostro compito è fare tutto il possibile per evitare che ciò accada. E oggi parlerò solo di uno dei modi per rafforzare la protezione del tuo blog. Scopri il plugin per la sicurezza di WordPress Blocco accesso.

Proteggere l'area di amministrazione di WordPress dall'hacking con il plugin Login LockDown

Il modo più semplice per hackerare un sito è trovare un nome utente e una password per accedere al pannello di controllo. Devo dire che molti blogger stessi rendono il 50% più facile per un cracker lavorare lasciando il login predefinito. E poi tutto quello che deve fare è capire la password.

Hai cambiato il nome utente o hai ancora il nome admin? In caso contrario, fallo immediatamente. Il mio articolo ““, forse, ti aiuterà in questo.

Assicurati, subito dopo aver installato il motore, di cambiare la password con una più sicura (facciamo circa 20 caratteri usando lettere maiuscole e minuscole, numeri e caratteri speciali). Questo può essere fatto direttamente dal pannello di amministrazione andando nel menu "Utenti" - "Il tuo profilo". Immettere due volte la nuova password e salvare le modifiche premendo il pulsante " Aggiorna il profilo“. Cambia periodicamente la tua password e non usarla su altri siti.

Con azioni così semplici, complicheremo il compito dei cracker. Ma diciamo che si sono rivelati testardi e non rinunciano a provare, usando programmi speciali per indovinare la password. Ed ecco che arriva il plugin di protezione per WordPress Login LockDown.

Come funziona il plugin Login LockDown

Il plugin registra l'ora esatta e l'indirizzo IP da cui è stato effettuato un tentativo non riuscito di accedere al pannello di amministrazione del blog. Quando un certo numero di tentativi non andati a buon fine viene effettuato entro un determinato periodo di tempo, il plugin blocca l'accesso al sito per un periodo di tempo specificato. Viene visualizzato il messaggio:

"Errore: Siamo spiacenti, ma questo intervallo IP è stato bloccato a causa di troppi tentativi di accesso non riusciti. Per favore riprova più tardi. "

Inoltre, avrai un elenco di tutti gli indirizzi IP bloccati e la possibilità di sbloccarli nelle impostazioni del plug-in. Consideriamoli in modo più dettagliato.

Installazione e configurazione del plugin di sicurezza Login LockDown

Installa e attiva il plugin. Ho descritto in dettaglio l'installazione di questo plugin, a titolo di esempio, nell'articolo ““. Pertanto, senza ulteriori indugi, andiamo direttamente alle impostazioni.

Vai al menu "Opzioni" - "Blocco accesso".

La figura mostra le impostazioni predefinite. Puoi cambiarli come meglio credi. Di seguito descriverò cosa significa ciascuno dei punti e fornirò i miei commenti:

• 1. Numero massimo di tentativi di accesso- il numero massimo di tentativi di accesso al pannello di amministrazione del blog. Non credo abbia senso scommettere più di tre.
• 2. Limitazione del periodo di tempo dei tentativi (minuti)- periodo di tempo in minuti per riprovare. Bastano cinque minuti anche per raggiungere il confine canadese, non per inserire la password.
• 3. Durata del blocco (minuti)- il tempo in minuti per il quale viene bloccato l'accesso al pannello di amministrazione di WordPress. Puoi lasciare 60 minuti o puoi installarne altri.
• 4. Blocca nomi utente non validi- se prendere in considerazione il login errato? Contrassegniamo questo elemento e il plugin, oltre alla password, terrà conto anche del nome sbagliato. La protezione superflua del blog non è mai superflua.
• 5. Errori di accesso alla maschera- mascheramento di errori di inserimento dati errati. Lo segniamo, e quindi il cracker non saprà che le sue azioni sono sotto controllo (non ha notato alcuna differenza).
• 6. Attualmente bloccato- qui viene visualizzato l'elenco degli indirizzi IP attualmente bloccati e il tempo fino allo sblocco. Maggiori informazioni su questo di seguito.

Dopo aver effettuato le impostazioni per il plugin di sicurezza Login LockDown, fare clic sul pulsante "Aggiorna impostazioni" per rendere effettive le modifiche.

Per chiarezza, decifrerò cosa succede quando tenti di hackerare un blog se le impostazioni sono, ad esempio, di default, come nell'immagine sopra. Se la password viene inserita in modo errato più di 3 volte con un intervallo di 5 minuti, l'accesso per accedere al pannello di amministrazione viene bloccato per 60 minuti.

Ora torniamo all'elenco degli indirizzi IP. Non so quando potresti averne bisogno, ma hai la possibilità di sbloccare un indirizzo IP che è caduto in disgrazia. Per fare ciò, seleziona questa casella e fai clic su "Rilascia selezionati". Probabilmente ha senso se non sei l'unico ad avere accesso al blog. Ad esempio, più autori o un libero professionista devono modificare qualcosa.

Un dettaglio in più. Se l'hai notato, nel primo screenshot puoi vedere che sotto il modulo di accesso nel pannello di amministrazione, viene visualizzato un avviso sulla protezione tramite il plug-in Login LockDown. Dovrebbe apparire se hai installato correttamente il plugin e funziona. Ma in questo caso si perde il significato del paragrafo 5, perché l'attaccante sarà avvisato in anticipo della protezione. Rimuoviamo questa iscrizione.

Andiamo al menu "Plugin" - "Editor". Seleziona il nostro plug-in di sicurezza dall'elenco a discesa in alto a destra e fai clic su "Seleziona". Trova nel file login-lockdown / loginlockdown.php questa riga (vedi l'immagine sotto) e rimuovi tutto tra le virgolette. Fai clic su "Aggiorna file" e vai alla pagina di accesso. L'iscrizione dovrebbe scomparire.

Prestare attenzione all'avviso nella pagina di modifica. Prima di apportare qualsiasi modifica, disattiva il plugin e poi riattivalo. Spero che prima di qualsiasi modifica dei file, sia necessario farne delle copie, non è necessario ricordare.

Ora Plugin di sicurezza per il blocco dell'accesso di WordPress non consentirà a un utente malintenzionato di accedere al pannello di amministrazione indovinando una password. Naturalmente, questo non garantisce la protezione al 100% di WordPress da hacking e altri fastidi. Ma ogni forma di difesa del blog costruirà un muro mattone dopo mattone davanti al nemico. Più alto è questo muro, più tranquillo dormirai la notte.

È necessario ricordare bene che prestare attenzione alla sicurezza del proprio blog non dovrebbe essere altro che scrivere contenuti unici e promuoverli nei motori di ricerca. Nei prossimi articoli tornerò su questo argomento più di una volta. Iscriviti agli aggiornamenti del blog per essere sempre informato. A presto!

Nella prima parte ti dirò come proteggere il tuo blog dall'hacking utilizzando il tentativo di indovinare la password. Ancora più importante, non impostare una password semplice e non utilizzare la stessa password su altre risorse. Il plugin aiuterà anche a proteggere dall'indovinare la password.

Installazione e configurazione del plugin Login LockDown

Il plugin blocca per qualche tempo l'accesso a login e password tramite IP, se ci sono stati parecchi tentativi non andati a buon fine. Puoi impostare tu stesso il numero di tentativi e il tempo di blocco.

Per installarlo è necessario scaricare il plugin. Decomprimilo nella cartella / plugins e attivalo.

Per configurare il plugin, vai su "Opzioni" -> "apparirà la seguente finestra:

Numero massimo di tentativi di accesso- questo è il numero massimo di tentativi di accesso, penso che tre siano sufficienti.

Limitazione del periodo di tempo dei tentativi (minuti)- la quantità di tempo tra i tentativi, ho 15 minuti.

Durata del blocco (minuti)- viene indicato il numero di minuti per cui viene bloccato il form di login in caso di inserimento dati errato per il numero massimo di tentativi, ho 15 minuti.

Blocca nomi utente non validi- se tenere conto di un login errato.

Errori di accesso alla maschera- se mascherare gli errori di inserimento dati.

Nella sezione Attualmente Chiuso fuori viene visualizzato un elenco di IP bloccati.

Se il plug-in è installato normalmente, il modulo di accesso protetto da Login LockDown verrà visualizzato nel modulo di immissione del login e della password.

La sicurezza del sito web è una priorità assoluta nello sviluppo di progetti web e la sicurezza di WordPress non fa eccezione. I tentativi di accesso non autorizzato alla gestione di un blog sono un caso, anche se non molto diffuso, ma avvengono nella vita di un webmaster...

Per proteggere il tuo sito web dall'hacking di forza bruta, scegliendo i dati di input, puoi limitare l'accesso al pannello amministrativo. Per fare ciò, puoi lasciare la priorità solo agli indirizzi IP affidabili o impostare un limite al numero di errori di autorizzazione.

Uno strumento popolare per i blogger nella lotta contro il reclutamento è un plug-in gratuito: Login LockDown. Questo add-on altamente specializzato ha lo scopo di tracciare i tentativi di autorizzazione, cioè di entrare nella console di WordPress.
Una caratteristica del plugin è la flessibilità delle impostazioni che consentono all'amministratore di posticipare ogni tentativo di accesso, limitato a un numero specificato, e quindi bloccare l'attaccante (il suo indirizzo IP) per molto tempo!

Installazione e attivazione

È possibile installare il componente aggiuntivo utilizzando l'accesso FTP, dopo aver scaricato l'archivio con il plug-in - https://wordpress.org/plugins/login-lockdown/
oppure vai alla sezione "Plugin" del pannello di amministrazione, clicca sulla voce "Aggiungi nuovo" in alto, quindi inserisci il nome nella barra di ricerca e premi il tasto "Invio". Imposta il primo risultato, quindi attivalo.

Impostazioni del plugin

Come notato in precedenza, le opzioni di LoginLockDown sono poche e distanti tra loro e rappresentano solo parametri funzionali. All'attivazione, il plugin inizia a funzionare con i valori predefiniti preferiti dalla maggior parte degli utenti.
Nel pannello, espandi la sezione "Impostazioni", dove troverai la voce "Blocco login", fai clic e vai alla pagina delle impostazioni " Opzioni di blocco dell'accesso»:

1. Numero massimo di tentativi di accesso: il numero di tentativi di autorizzazione dopo i quali l'indirizzo viene bloccato. Il valore predefinito è 3 (non consigliamo di impostare più di 5 tentativi).
2. Retry Time Period Restriction (minuti) - il numero di minuti tra i tentativi di accesso, per impostazione predefinita 2 minuti (è meglio abbreviarlo in modo che l'utente possa accedere di nuovo presto).
3. Lunghezza blocco (minuti) - il numero di minuti per bloccare l'indirizzo IP, per impostazione predefinita 120 (2 ore), è possibile aumentare con il livello di gravità appropriato.
4. Blocca nomi utente non validi? - opzione per disabilitare le funzioni del plugin per i nomi non registrati (login). Lo attiviamo a nostra discrezione, poiché la selezione di una coppia login-password inesistente non è pericolosa.
5. Errori di accesso alla maschera? - opzione per disabilitare gli errori di autorizzazione. All'utente non verrà richiesto un nome utente o una password non validi.
6. Mostra link di credito? - l'opzione per visualizzare un collegamento al sito Web esterno del plug-in (annuncio degli sviluppatori di Login LockDown). Visualizzato per impostazione predefinita, fai clic sulla terza casella di controllo per disabilitarlo.
7. Aggiorna impostazioni: il pulsante per aggiornare le impostazioni, fare clic alla fine per salvare le modifiche apportate.
8. Attualmente bloccato: un'area con un elenco di indirizzi bloccati. È possibile cancellare l'IP per le persone fidate che non hanno ricevuto l'accesso al pannello di amministrazione.

Invece di una postfazione

Pertanto, puoi limitare in modo discreto l'accesso all'area di amministrazione di WordPress, escludendo la selezione automatica o manuale. Il plug-in Login LockDown viene aggiornato periodicamente, il che indica la compatibilità con le versioni correnti del CMS.

WordPress è il sistema di gestione dei contenuti più popolare oggi. Ed è chiaro perché: facilità d'uso e personalizzazione, molti plugin, gratis. Ma allo stesso tempo, c'è molta attenzione da parte dei criminali informatici. I siti Web su Wordptess sono molto spesso presi di mira da attacchi. Le ragioni per l'hacking di un sito sono diverse, più precisamente, la ragione è una: denaro, approcci diversi. Uno dei modi per hackerare un sito, anche su WordPress, è la forza bruta o in russo - un metodo di forza bruta - questo è quando tentano di accedere al sito indovinando un nome utente e una password.

Tutti gli utenti di WordPress sanno che il login al pannello di amministrazione del sito si trova all'indirizzo site.com/wp-login.php oppure site.com/wp-admin, dal quale verrete comunque trasferiti al primo. Lo sanno anche gli aggressori. Pertanto, se sei irresponsabile nel proteggere il pannello di amministrazione, la probabilità di hackerare il tuo sito aumenta in modo significativo. Come impedire a chi non ha bisogno di entrare nel pannello di amministrazione?

Il primo e più comune, ma non meno importante, è scegliere una password complessa e modificare il login standard.

Il secondo è l'installazione di plugin speciali per proteggere l'area di amministrazione.

Il terzo è impostare rcdirect e modificare manualmente i file di WordPress.

E inoltre, ora la maggior parte dei servizi di hosting, dal canto suo, offre protezione per il pannello di amministrazione.

In questo articolo, voglio parlare del plugin Login Lockdown, che aiuterà a proteggere il pannello di amministrazione del tuo sito WordPress dall'indovinare la password.

Come funziona il plugin? Quando qualcuno tenta di entrare nel tuo pannello di amministrazione e inserisce in modo errato dati, login o password, un certo numero di volte in un determinato periodo di tempo - Login LockDown blocca l'indirizzo IP da cui è stato effettuato un tentativo di accesso per un certo periodo di tempo .

Installazione del plugin

Puoi installare il plugin tramite il gestore WordPress integrato. Per fare ciò, nel pannello di controllo devi andare su Plugin-> Aggiungi nuovo.

Inserisci il nome del plugin nel campo di ricerca.

Nei risultati della ricerca, seleziona un plug-in e fai clic su Installa.

Dopo aver installato Login LockDown, devi attivarlo immediatamente.

Ora puoi procedere alla configurazione dell'estensione.

Vai a Impostazioni-> Blocco accesso

Il plugin non ha molte impostazioni. Esaminiamoli brevemente.

• Numero massimo di tentativi di accesso- il numero massimo di tentativi. Il valore predefinito è 3, il che significa che dopo tre tentativi di autenticazione non riusciti, l'accesso da questo IP verrà bloccato.
• Limitazione del periodo di tempo dei tentativi (minuti)- il periodo di tempo in minuti per il quale vengono conteggiati i tentativi di accesso non andati a buon fine. Il valore predefinito è 5. Ciò significa che se viene immessa una password errata 3 volte entro cinque minuti, si verificherà un blocco.
• Durata del blocco (minuti)- il periodo di tempo per il quale l'IP sospetto viene bloccato. L'impostazione predefinita è 60 minuti.
• Blocca nomi utente non validi?- Devo contare il login sbagliato? Disabilitato per impostazione predefinita. Se la funzione è disabilitata, il plugin non conterà l'input di un login errato. Cioè, in teoria, se un utente malintenzionato conosce la password dal pannello di amministrazione, sarà in grado di forzare l'accesso tutte le volte che vuole.
• Errori di accesso alla maschera?- Mascherare gli errori di accesso? Disabilitato per impostazione predefinita. Se la funzione è disabilitata, quando si inseriscono dati errati, viene visualizzato un messaggio che notifica cosa è stato inserito esattamente in modo errato: login o password.

Quando la funzione è abilitata, il messaggio non specifica esattamente dove è stato commesso l'errore.

• Mostra link di credito?- Mostra collegamento a Login LockDown. Puoi scegliere di mostrare un link al sito del plugin, mostrare un link ma con un tag nofollow o non mostrare un link.
• Attualmente bloccato- elenco degli IP bloccati e tempo fino allo sblocco. Puoi anche sbloccare l'IP qui.

Questo è il significato di Login LockDown. Dopo aver modificato le impostazioni, salvale e ora il tuo blog sarà un po' più sicuro.