Одним из первых пунктов по настройке безопасности вашего WordPress сайта должна быть защита авторизации административной панели. В этом нам поможет популярный плагин Login LockDown, который поможет обезопасить вас от перебора паролей и логина вредоносными ботами.

Для того чтобы приступить к работе с Login LockDown вам нужно сначала . После установки в пункт меню Настройки/Login LockDown и приступаем к работе с плагином. Но для начала разберемся в функционале.

Навигация по статье:

Описание работы Login LockDown.

Login LockDown запоминает IP-адрес и ставит метки каждой неудачной попытке входа в систему. Если количество попыток авторизации больше, чем определенное число, указанное в настройках, обнаружены в течение короткого периода времени с того же диапазона IP, то функция Login отключается для всех запросов из этого диапазона. Это помогает предотвратить переборы паролей вредоносными программами и людьми. В настоящее время плагин устанавливает по умолчанию блокировку IP на 1 час после 3 неудачных попыток входа в течение 5 минут. Это можно изменить с панели настройки плагина. Также вы можете освободить заблокированный IP-диапазон вручную.

Перейдя в меню настройки плагина Login LockDown нам станут доступны следующие формы корректировки.

В первом поле формы нам нужно указать максимальное количество неудачных попыток входа, после которого будет включена блокировка IP, данное поле должно иметь не нулевое значение, в противном случае блокировка не сработает.

В следующем пункте нам нужно указать допустимую периодичность ввода неправильных данных. По умолчанию время стоит в одну минуту, то-есть соблюдая временную зону между попытками в одну минуту можно обойти блокировку.

Следующим пунктом настройки Login LockDown является включение блокировки при вводе неправильного логина. При активном Yes блокировка не будет включена.

WordPress уведомляет пользователя о неправильном вводе тех или иных параметров, что может ускорить взлом, по этому рекомендуется отключить эти подсказки. Установив параметр в «Yes».

По умолчанию плагин Login LockDown показывает пользователям ссылку на плагин, для того чтобы остальные могли так же обезопасить свои сайты, рекомендую отключить эту функцию, установив параметр так как показано на картинке.

После ввода всех настроек Login LockDown нажимаем кнопку сохранить изменения. На этом настройка плагина окончена.

Для того что бы убрать блокировку IP в ручном режиме нужно воспользоваться специальной формой, которая расположена в самом низу настроек.

Если такие IP-адреса были заблокированы, тогда вам будет нужно исключить их из списка.

Используя этот простой плагин вы сможете значительно уменьшить риски взлома вашего сайта через авторизацию WordPress, а это один из самых популярных методов взлома.

Приветствую вас, коллеги. В этой статье пойдет речь о том, как защитить свой блог на движке WordPress от хакеров и всех тех, у кого руки чешутся. Начнем пожалуй с того что в наше время сайты довольно часто взламывают, особенно интернет-магазины, если даже они не раскрученные. Делают это по большому счету хакеры и те люди, которые не являются таковыми, но они также знают пару методов от своих собратьев, как можно взломать тот или иной сайт.

Получив доступ к сайту они, как правило, не ставят перед собой цель, получать от него прибыль, как это делал бывший владелец. Взломав сайт или блог, они чаще всего обращаются к его владельцу за выкупом. Цена зависит от многих параметров, начиная от тематики сайта заканчивая количеством посетителей в день. Если бывший владелец отказывается платить то вор просто идет на любую биржу купли продажи сайтов, например на и продает его.

Но если честно все это не очень-то прибыльно. Как я уже писал ранее интернет-магазины взламывают не из-за сайта так такового, а за информации, которая на нем хранится, а точнее паролей и номеров пластиковых карт тех людей, которые оплачивали товары. Но если у вас даже простой блог по рыбалке не думайте, что это и вас не коснется. Дело в том, что сами хакеры по сути ничего не делают, для этого у них есть специальный софт (программы), которые ищут уязвимые места на вашем блоге.

Одна из таких подбирает пароли к вашей админке (панель авторизации), чтобы ее взломать. Если у вас стоит слабый пароль, то вас просто откроют как консервную банку меньше чем за несколько минут. Те, кто поздно спохватились уже поздно задумываться, как защитить блог, так как если даже и удаться вернуть к нему доступ хакер обязательно оставит какой-нибудь незаметный код, чтобы в будущем снова зайти на этот сайт, как себе в родной дом. Поэтому лучше уже на начальных этапах ведения своего проекта задуматься, как по максимуму защитить блог, ибоесли сделать это не сейчас потом уже будет поздно. Итак, в этой статье я познакомлю вас с двумя плагинами login lockdownи limit login attempts, которые будут надежно защищать ваше детище 24 часа в сутки.

Принцип действия плагина Login LockDown и limit login attempts.

Все очень просто, как я писал выше, к нам пытаются подобрать пароль, так давайте ограничим им это удовольствие. Плагин login lockdown и limit login attempts не дают авторизоваться на сайте некоторое время, если пароль введен неправильно. Количество попыток и время вы устанавливаете сами. Также они запоминают точное время и IP компьютера, с которого пытались взломать сайт. Можно настроить плагины так, чтобы они сами отправлять в бан (черный список) таких умельцев.

В итоге ошибившись несколько раз они уже не смог дальше продолжать свой попытки, правда, если у них конечно не динамический IP. Но при любых обстоятельствах они уже не смогут это делать в быстром режиме. На взлом такого сайта и у них могут уйти даже месяцы или годы, все зависит от сложности вашего пароля и настроек, которые вы укажите. Так что можете не волноваться, им придется ждать до пенсий в любом случае.

Установка и настройка плагина login lockdown.

Lockout Invalid Usernames – поставьте тут галочку, если хотите чтобы учитывался неправильный ввод логина. То есть помимо пароля буде еще и логин проверяться. Эта функция нужна, если вы ведете блог не один и есть другие пользователи с другими именами. Если даже таких нет, все равно ставим Yes.

Mask Login Errors – поставьте тут галочку на Yes, если хотите чтобы маскировались ошибки ввода неправильных данных.

ShowCreditLink – тут поставьте «No, donotdisplaythecreditlink» если хотите чтобы не отображалась надпись плагина при входе в админку, тем самым не дав подсказки воришкам в чем может быть дело.

Currently Locked Out — тут вы можете убрать IP адреса, которые попали в бан. Для этого отметьте их галочкой и нажмите на «Release Selected». Ок после того как вы все настроите, нажмите на «Update Settings».

Установка и настройка плагина limit login attempts.

Скачиваем плагин limit login attempts и закачиваем его на блог, активируем. Переходи в «настройки» «Limit Login Attempts».

По сути плагин limit login attemptsэто тоже самое, что и login lockdown только с более расширенными настройками. В них вы можете видеть, сколько раз вас пытались взломать. У некоторых владельцев сайтов даже не денежной тематики эта цифра доходит до 8тыс! Также вы можете настроить, чтобы вас уведомляли по почте при неудачной попытке взлома. Кстати, тут есть еще одна классная функция, которая мне очень понравилась. Можно привязать IP своего компьютера к админке, то есть на вашем блоге можно авторизоваться только через ваш компьютер.

Чтобы включить эту функцию поставьте галочку «Да» возле – обрабатывать куккис логина. Если даже ваш компьютер сломается не беда, через удалите плагин и защита спадет. Ок, с остальными настройками я думаю, вы сами разберетесь все же они на русском языке. Заканчивая эту статью, хочу сказать, что мы проделали только малую, но уже существенную часть по защите своего творения, но это еще далеко не конец, поэтому рекомендую ознакомиться со следующей статьей — .

Login LockDown records the IP address and timestamp of every failed login attempt. If more than a
certain number of attempts are detected within a short period of time from the same
IP range, then the login function is disabled for all requests from that range.
This helps to prevent brute force password discovery. Currently the plugin defaults
to a 1 hour lock out of an IP block after 3 failed login attempts within 5 minutes. This can be modified
via the Options panel. Administrators can release locked out IP ranges manually from the panel.

Installation

1. Extract the zip file into your plugins directory into its own folder.
2. Activate the plugin in the Plugin options.
3. Customize the settings from the Options panel, if desired.

Reviews

I like this plugin and use it on a number of websites I am a webmaster for. In case it helps, here are some thoughts on how/why I have configured the plugin. I leave the first 3 entries as default (3,5,60). They seem ideal to me. I set Lockout Invalid Usernames? to YES. If they don"t know the Username, why are they trying to login? I am careful, so I won"t lock myself out. I set Mask Login Errors? to YES. Denies useful intelligence to people who are trying to login when they shouldn"t. Why help them? I set Show Credit Link? to NO. I love helping people - and as it happens it"s my professional work - however telling people about the plugin so they can protect their blogs also tells people who are trying to login when they shouldn"t what security I am using. This is a more minor point, however it also falls under the "need to know policy" - they don"t.

I generally don"t have issues with this plugin and I assume it"s working well to protect my site from hackers. The only issue I have is that time to time it locks me out although I KNOW for a fact that I haven"t attempted to login unsuccessfully several times.

• Lock the server, similar to a /whitelist
• Permission to bypass the lockdown
• Command to check the lockdown status
• Notifications when players try to join during a lockdown
• YAML storage
• Fully customizable

Installation and Depencies
This script requires the addon SkQuery for it to work. You will also need the Skript plugin itself. Install both of these plugins and restart your server. Open the lockdown.sk file in a program like Notepad++ and customize it in the "options" section. Once you"ve done that, just save the file and drop it in the "scripts" folder under Skript, then all you have to do is type /skript reload lockdown and the script will be functional!

Permissions
- lockdown.lock - To lock the server and to end lockdowns
- lockdown.bypass - To bypass a lockdown
- lockdown.notify - To get notifications when the server gets unlocked or when a player tries to join during a lockdown
- lockdown.info - Can use /lock or /lock info to see the current lockdown status

Customization

SpoilerTarget">Spoiler: Customization Section

# ====================
# OPTIONS
# ====================
# p = prefix
# c. = colorcode (&a, &b, &1..)
# t. = text
# m. = message
options:
# Prefix used for all messages
p: &7[&cLOCK&7]

# Whether there should be a space between the lines and the help message
b.space: true

# Lines used for the help message
t.lines: &7=====================================

# Colorcode used for /command in help message
c.help: &c

# Colorcode used for the description in the help message
c.desc: &f

# Message that gets send to the executor when he removes the current lockdown
m.end: &aYou ended the current lockdown!

# Message that gets send to players with the notify permission when someone removes the lockdown
m.ended: &b%player% removed the current lockdown!

# Message that gets send to the player when he tries to remove an unexisting lockdown or when there is no lock active in a /lock info
m.notlocked: &cThe server is currently not locked!

# Message in /lock info when the lock is active
m.active: &aLockdown active

# The kick-message used for the lockdown (use %{_reason}% for the reason and %nl% for a new line)
t.reason: &c&lLOCKDOWN ACTIVE%nl%%nl%&fReason: &c%{_reason}%%nl%%nl%&7Sorry for the inconvenience!%nl%&bwww.example.com

# Message used to say that a lock is now active
m.start: &aLockdown activated! &fReason: &c%{_reason}%

# Message used when the player doesn"t have the right permission
m.noperm: &cYou do not have the required permission for this command!

# Message send to players with notify permission when a player tries to join during a lockdown
m.tried: &7%player% tried to join!

Здравствуйте, уважаемые читатели блога сайт ! Тема сегодняшней статьи: защита блога WordPress от взлома путем подбора пароля для входа в админку. Такой метод называют . Эта проблема очень актуальна, так как случаи несанкционированного доступа в святая святых блога, а именно в панель управления Вордпресс, к сожалению, совсем не редки.

Вообще тема безопасности Вордпресс очень обширна и не ограничивается только и , о которых я уже писал ранее. Гораздо более печальные последствия (даже представлять не хочется) могут наступить, если злоумышленники получат доступ в админку блога. Наша задача, сделать все возможное, чтобы этого не допустить. И сегодня я расскажу только об одном из способов усиления защиты блога. Встречайте, плагин безопасности WordPress Login LockDown .

Защита админки WordPress от взлома с помощью плагина Login LockDown

Самый простой способ взломать сайт, это подобрать логин и пароль для входа в панель управления. Надо сказать, что многие блоггеры сами облегчают работу взломщику на 50%, оставляя логин по умолчанию. И тогда ему остается только подобрать пароль.

А Вы поменяли логин пользователя или у Вас до сих пор стоит имя admin? Если нет, то сделайте это незамедлительно. Моя статья “ “, возможно, Вам в этом поможет.

Обязательно, сразу после установки движка, поменяйте пароль на более надежный (делаем около 20 символов, используя буквы верхнего и нижнего регистра, числа и спецсимволы). Это можно сделать прямо из админки, перейдя в меню “Пользователи ” – “Ваш профиль “. Дважды вводим новый пароль и сохраняем изменения, нажав кнопку “Обновить профиль “. Периодически меняйте пароль и не используйте его на других сайтах.

Такими нехитрыми действиями мы уже усложним взломщикам задачу. Но, допустим, они оказались упрямы и не оставляют попыток, используя специальные программы для подбора пароля. И тут нам на помощь приходит плагин защиты для WordPress Login LockDown.

Принцип действия плагина Login LockDown

Плагин фиксирует точное время и IP-адрес, с которого была сделана неудачная попытка входа в админку блога. Когда за определенный период времени будет совершено некоторое количество неудачных попыток, плагин блокирует доступ к сайту на заданное время. Выводится сообщение:

“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.

Кроме того, Вы будете иметь список всех заблокированных IP-адресов и возможность их разблокировать в настройках плагина. Рассмотрим их подробнее.

Установка и настройка плагина безопасности Login LockDown

Установите и активируйте плагин. Подробно установку этого плагина я описал, в качестве примера, в статье “ “. Поэтому без лишних слов сразу перейдем к настройкам.

Переходим в меню “Параметры ” – “Login LockDown “.

На рисунке показаны настройки по умолчанию. Вы можете изменить их на свое усмотрение. Ниже я опишу, что означает каждый из пунктов и дам свои комментарии:

• 1. Max Login Retries – максимальное количество попыток для входа в админ панель блога. Думаю, больше трех ставить не имеет смысла.
• 2. Retry Time Period Restriction (minutes) – период времени в минутах для повторной попытки. Пять минут хватит даже для того, чтобы добежать до канадской границы, не то чтобы ввести пароль.
• 3. Lockout Length (minutes) – время в минутах, на которое блокируется доступ к админке Вордпресс. Можно оставить 60 минут, а можно установить и побольше.
• 4. Lockout Invalid Usernames – учитывать ли неправильный ввод логина? Отмечаем этот пункт и плагин, кроме пароля, будет учитывать и неправильно написанное имя. Лишняя защита блога лишней никогда не бывает.
• 5. Mask Login Errors – маскировка ошибок ввода неправильных данных. Отмечаем, и тогда взломщик не будет знать, что его действия под контролем (что-то никакой разницы не заметил) .
• 6. Currently Locked Out – здесь отображается список, заблокированных в данное время IP-адресов и время до разблокировки. Об этом чуть ниже.

После сделанных настроек плагина безопасности Login LockDown, нажимаем кнопку “Update Settings “, чтобы изменения вступили в силу.

Для ясности, расшифрую, что произойдет при попытке взлома блога, если настройки стоят, например, по умолчанию, как на рисунке выше. Если пароль будет введен неправильно более 3 раз с интервалом 5 минут, то доступ для входа в панель администратора блокируется на 60 минут.

Теперь вернусь к списку IP-адресов. Не знаю, когда это может понадобиться, но у Вас есть возможность разблокировать IP-адрес, попавший в немилость. Для этого отметьте этот пункт и нажмите “Release Selected “. Наверное, это имеет смысл, если доступ к блогу есть не только у Вас. Например, несколько авторов или фрилансер должен что-то подправить.

Еще одна деталь. Если Вы заметили, то на первом скриншоте видно, что под формой входа в панель администратора выводится предупреждение о защите плагином Login LockDown. Оно должно появиться, если Вы правильно установили плагин и он работает. Но в этом случае теряется смысл пункта 5, ведь злоумышленник будет предупрежден о защите заранее. Давайте уберем эту надпись.

Идем в меню “Плагины ” – “Редактор “. Выбираем из выпадающего списка справа вверху наш плагин безопасности и нажимаем “Выбрать “. Находим в файле login-lockdown/loginlockdown.php эту строку (смотрите картинку ниже) и удаляем все, что указано между кавычками. Нажимаем “Обновить файл ” и переходим на страницу входа. Надпись должна исчезнуть.

Обратите внимание на предупреждение, на странице редактирования. Перед внесением изменений деактивируйте плагин, а потом снова включите. Надеюсь, то, что перед любым редактированием файлов, надо делать их копии, напоминать не надо.

Теперь плагин безопасности WordPress Login LockDown не позволит злоумышленнику попасть в админку путем подбора пароля. Конечно, это не гарантирует 100% защиты WordPress от взлома и других неприятностей. Но каждый вид защиты блога будет по кирпичику строить стену перед неприятелем. Чем эта стена выше, тем спокойнее Вы будете спать по ночам.

Необходимо хорошо запомнить, что уделять внимание вопросам безопасности блога надо не меньше, чем написанию уникального контента и продвижению в поисковых системах. В следующих статьях я еще не раз вернусь к этой теме. Подписывайтесь на обновления блога , чтобы всегда быть в курсе. До скорых встреч!