plugin de blocare a autentificarii. WordPress Login LockDown Security Plugin – Protecție împotriva pirateriei

Bună ziua, dragi cititori! Astăzi vom crește securitate în wordpress. WordPress este deja bine protejat, dar securitatea suplimentară nu ne va răni.

În primul rând, să închidem accesul la fișierele inutile. Introdu adresa browserului, de exemplu, blogul dvs./wp-contentși dacă vedeți un ecran alb, atunci totul este în regulă:

Dacă aveți o listă de fișiere, atunci trebuie să faceți următoarele (chiar dacă există un ecran alb, este mai bine să faceți următoarele):

Securitate în WordPress cu pluginul Login LockDown

De asemenea, blogul tău poate fi spart prin ghicirea parolei blogului tău. Dacă setați o parolă foarte ușoară, atunci hackerii vă pot „pătrunde” cu ușurință blogul folosind scripturi speciale.

Configurarea pluginului de securitate autentificare LockDown

Pentru a ajunge la setările pluginului, trebuie să accesați Administrator WordPress –> Setări –> Blocare autentificare:


1. Încercări maxime de conectare– numărul maxim de încercări de parolă.

2. Retrimitere pentru perioada de timp (minute)– numărul de minute pentru care se numără numărul maxim de încercări de parolă.

3. Durata blocării (minute) timp de blocare.

Adică dacă numerele rămân aceleași ca în imaginea de mai sus, atunci asta înseamnă următorul lucru: dacă în 5 minute parola este introdusă greșit de 3 ori la rând, atunci zona de administrare WordPress este blocată timp de 60 de minute.

Am lăsat implicit setările pluginului Login LockDown, nu am atins nimic, deoarece mi se potrivesc complet.

Poate că, pentru astăzi, totul este despre securitate în WordPress (Wordpress). Ne vedem la următoarele lecții!

P.s. Nu uitați, noi lecții utile sunt lansate în fiecare zi a săptămânii, așa că asigurați-vă că vă abonați la RSS!

Bună ziua, dragi cititori ai blogului! Subiectul articolului de azi: protejarea blogului dvs. WordPress de hacking selectând o parolă pentru a intra în panoul de administrare. Această metodă se numește . Această problemă este foarte relevantă, întrucât cazurile de acces neautorizat la sfânta sfintelor blogului și anume panoul de control WordPress, din păcate, nu sunt deloc rare.

În general, subiectul de securitate WordPress este foarte extins și nu se limitează doar la cele despre care am scris deja mai devreme. Consecințe mult mai nefericite (nici nu vreau să-mi imaginez) pot apărea dacă atacatorii obțin acces la panoul de administrare a blogului. Sarcina noastră este să facem tot posibilul pentru a preveni acest lucru. Și astăzi voi vorbi doar despre una dintre modalitățile de a întări protecția blogului. Faceți cunoștință cu pluginul de securitate WordPress Autentificare LockDown.

Protejarea administratorului WordPress de piratare cu pluginul Login LockDown

Cel mai simplu mod de a sparge un site este să ridicați un nume de utilizator și o parolă pentru a intra în panoul de control. Trebuie să spun că mulți bloggeri înșiși o fac cu 50% mai ușoară pentru un hacker, lăsând autentificarea implicită. Și apoi rămâne doar să ghicim parola.

Ți-ai schimbat numele de utilizator sau mai ai numele de administrator? Dacă nu, atunci fă-o imediat. Articolul meu „“ vă poate ajuta în acest sens.

Asigurați-vă că, imediat după instalarea motorului, schimbați parola cu una mai sigură (facem aproximativ 20 de caractere folosind litere mari și mici, cifre și caractere speciale). Acest lucru se poate face direct din panoul de administrare accesând meniul „Utilizatori” - „Profilul tău”. Introduceți noua parolă de două ori și salvați modificările făcând clic pe „ Actualizati profilul„. Schimbați-vă parola periodic și nu o utilizați pe alte site-uri.

Cu astfel de acțiuni simple, vom complica deja sarcina pentru biscuiți. Dar, să presupunem că s-au dovedit a fi încăpățânați și nu lasă încercări, folosind programe speciale pentru a ghici o parolă. Aici vine în ajutor pluginul de securitate WordPress Login LockDown.

Cum funcționează pluginul Login LockDown

Pluginul captează ora exactă și adresa IP de la care a fost făcută o încercare nereușită de conectare la administratorul blogului. Atunci când un anumit număr de încercări nereușite sunt făcute într-o anumită perioadă de timp, pluginul blochează accesul la site pentru o anumită perioadă de timp. Se afișează un mesaj:

„Eroare: Ne pare rău, dar acest interval IP a fost blocat din cauza prea multor încercări eșuate de conectare. Vă rugăm să încercați din nou mai târziu."

În plus, veți avea o listă cu toate adresele IP blocate și posibilitatea de a le debloca în setările pluginului. Să le luăm în considerare mai detaliat.

Instalarea și configurarea pluginului de securitate Login LockDown

Instalați și activați pluginul. Am descris în detaliu instalarea acestui plugin, ca exemplu, în articolul „“. Prin urmare, fără alte prelungiri, să trecem la setări.

Accesați meniul „Opțiuni” - „Blocare autentificare”.

Figura arată setările implicite. Le poți schimba după bunul plac. Mai jos voi descrie ce înseamnă fiecare dintre puncte și voi da comentariile mele:

• 1. Încercări maxime de conectare- numărul maxim de încercări de a intra în panoul de administrare a blogului. Nu cred că are sens să pun mai mult de trei.
• 2. Retrimitere pentru perioada de timp (minute)– perioada de timp în minute pentru a reîncerca. Cinci minute sunt suficiente chiar și pentru a fugi până la granița cu Canada, darămite să introduceți parola.
• 3. Durata blocării (minute)- timpul în minute pentru care accesul la panoul de administrare WordPress este blocat. Puteți lăsa 60 de minute sau puteți seta mai multe.
• 4. Blocare nume de utilizator nevalide– luați în considerare introducerea incorectă de conectare? Marcăm acest articol și pluginul, pe lângă parolă, va ține cont și de numele scris greșit. Protecția suplimentară a blogului nu este niciodată de prisos.
• 5. Masca erori de conectare– mascarea erorilor de introducere a datelor incorecte. Notăm, iar apoi crackerul nu va ști că acțiunile sale sunt sub control (ceva nu a observat nicio diferență).
• 6. Momentan blocat- aici puteți vedea o listă de adrese IP blocate în prezent și timpul până la deblocare. Mai multe despre asta mai jos.

După ce pluginul de securitate Login LockDown a fost configurat, faceți clic pe butonul „Actualizare setări“ pentru ca modificările să intre în vigoare.

Pentru claritate, voi descifra ce se întâmplă atunci când încercați să spargeți un blog dacă setările sunt, de exemplu, implicite, ca în figura de mai sus. Dacă parola este introdusă incorect de mai mult de 3 ori cu un interval de 5 minute, atunci accesul la panoul de administrare este blocat timp de 60 de minute.

Acum reveniți la lista de adrese IP. Nu știu când ar putea fi necesar, dar aveți posibilitatea de a debloca o adresă IP care a căzut în disfavoare. Pentru a face acest lucru, bifați acest articol și faceți clic pe „Release Selected”. Probabil că acest lucru are sens dacă nu ești singurul cu acces la blog. De exemplu, mai mulți autori sau un freelancer trebuie să modifice ceva.

Inca un detaliu. Dacă observați, atunci în prima captură de ecran puteți vedea că un avertisment despre protecția prin plugin-ul Login LockDown este afișat sub formularul de conectare din panoul de administrare. Ar trebui să apară dacă ați instalat corect pluginul și funcționează. Dar în acest caz, sensul paragrafului 5 se pierde, deoarece atacatorul va fi avertizat în prealabil cu privire la protecție. Să eliminăm această etichetă.

Accesați meniul „Plugin-uri”-“Editor”. Selectați pluginul nostru de securitate din lista derulantă din dreapta sus și faceți clic pe „Selectați”. Găsirea într-un dosar login-lockdown/loginlockdown.php această linie (vezi imaginea de mai jos) și eliminați totul dintre ghilimele. Faceți clic pe „Actualizare fișier” și accesați pagina de conectare. Inscripția ar trebui să dispară.

Fiți atenți la avertismentul de pe pagina de editare. Înainte de a face orice modificări, dezactivați pluginul și apoi reactivați-l. Sper că înainte de orice editare a fișierelor, este necesar să se facă copii ale acestora, nu este nevoie să reamintești.

Acum Plugin de securitate WordPress Login LockDown nu va permite unui atacator să intre în panoul de administrare prin ghicirea unei parole. Desigur, acest lucru nu garantează protecție 100% WordPress împotriva hackurilor și a altor probleme. Dar fiecare tip de protecție a blogului va construi un zid în fața inamicului cărămidă cu cărămidă. Cu cât este mai înalt acest perete, cu atât vei dormi mai liniștit noaptea.

Trebuie să vă amintiți bine că trebuie să acordați atenție problemelor de securitate blog nu mai puțin decât scrierea de conținut unic și promovare în motoarele de căutare. În articolele viitoare, voi reveni asupra acestui subiect de mai multe ori. Abonați-vă la actualizările blogului pentru a fi mereu la curent. Ne vedem în curând!

În prima parte, vă voi spune cum să vă protejați blogul de hacking folosind ghicirea parolei. Cel mai important, nu setați o parolă simplă și nu utilizați aceeași parolă pentru alte resurse. De asemenea, pluginul va ajuta la protejarea împotriva ghicirii parolei.

Instalarea și configurarea pluginului Login LockDown

Pluginul blochează accesul la introducerea unui login și a unei parole prin IP pentru o perioadă, dacă au existat destule încercări nereușite. Puteți seta singur numărul de încercări și timpul de blocare.

Pentru a instala, trebuie să descărcați pluginul. Extrageți-l în folderul /plugins și activați-l.

Pentru a configura pluginul, accesați „Opțiuni” -> „va apărea următoarea fereastră:

Încercări maxime de conectare- acesta este numărul maxim de încercări de conectare, cred că trei sunt suficiente.

Retrimitere pentru perioada de timp (minute)- timpul dintre încercări, am 15 minute.

Durata blocării (minute)- indică numărul de minute pentru care formularul de autentificare este blocat în cazul introducerii incorecte a datelor pentru numărul maxim de încercări, am 15 minute.

Blocare nume de utilizator nevalide- dacă să ia în considerare introducerea incorectă de conectare.

Masca erori de conectare- dacă să mascheze erorile de introducere a datelor.

În secțiunea Actual Închis pe dinafară este afișată o listă de IP-uri blocate.

Dacă pluginul este instalat normal, atunci formularul de conectare protejat de Login LockDown va fi afișat în formularul de conectare și introducere a parolei.

Securitatea site-ului web este o prioritate de top atunci când se dezvoltă un proiect web, iar securitatea WordPress nu face excepție. Încercările de acces neautorizat la gestionarea blogului nu sunt un lucru obișnuit, dar au loc în viața unui webmaster...

Pentru a vă proteja site-ul de hacking brut, selectând datele de intrare, puteți restricționa accesul la panoul administrativ. Pentru a face acest lucru, puteți lăsa prioritate numai adreselor IP de încredere sau puteți stabili o limită a numărului de erori de autorizare.

Un instrument popular pentru bloggeri în lupta împotriva selecției este un plugin gratuit - Login LockDown. Acest add-on foarte specializat are ca scop urmărirea încercărilor de autorizare, adică autentificarea în consola WordPress.
O caracteristică a pluginului este flexibilitatea setărilor care permit administratorului să întârzie fiecare încercare de conectare, limitată de numărul specificat, și apoi să blocheze atacatorul (adresa lui IP) pentru o perioadă lungă de timp!

Instalare și activare

Puteți instala suplimentul folosind accesul FTP, înainte de a descărca arhiva cu pluginul - https://wordpress.org/plugins/login-lockdown/
sau accesați secțiunea „Plugin-uri” a panoului de administrare, faceți clic pe elementul „Add new” din partea de sus, apoi introduceți numele în bara de căutare și apăsați tasta „Enter”. Setăm primul rezultat, iar după aceea îl activăm.

Setări plugin

După cum sa menționat anterior, numărul de opțiuni LoginLockDown este mic și reprezintă doar parametri funcționali. Odată activat, pluginul începe să funcționeze cu valorile implicite preferate de majoritatea utilizatorilor.
În panou, extindeți secțiunea „Setări”, unde va fi găsit elementul „Login LockDown”, faceți clic și accesați pagina de setări „ Opțiuni de blocare pentru autentificare»:

1. Încercări maxime de conectare - numărul de încercări de autorizare, după care adresa este blocată. Valoarea implicită este 3 (nu recomandăm să setați mai mult de 5 încercări).
2. Retry Time Period Restriction (minute) – numărul de minute dintre încercările de autentificare, implicit 2 minute (este mai bine să îl scurtați astfel încât utilizatorul să poată repeta autentificarea în curând).
3. Durata blocării (minute) - numărul de minute pentru a bloca o adresă IP, implicit 120 (2 ore), este foarte posibil să o măriți cu nivelul corespunzător de pericol.
4. Blocarea numelor de utilizator nevalide? – opțiunea de a dezactiva funcțiile plugin pentru nume neînregistrate (autentificări). O activăm la discreția noastră, deoarece selectarea unei perechi inexistente de conectare-parolă nu reprezintă un pericol.
5. Masca erori de conectare? – opțiunea de a dezactiva erorile de autorizare. Utilizatorul nu va fi notificat cu privire la un nume de utilizator sau o parolă nevalidă.
6. Afișați linkul de credit? – opțiunea de a afișa un link către site-ul extern al plug-in-ului (reclamă pentru dezvoltatorii Login LockDown). Afișat implicit, pentru a dezactiva, faceți clic pe a treia casetă de selectare.
7. Actualizare setări - butonul pentru a actualiza setările, faceți clic la sfârșit pentru a salva modificările efectuate.
8. Blocat în prezent - o zonă cu o listă de adrese blocate. Este posibil să ștergeți IP-ul pentru persoanele de încredere care nu au obținut acces la panoul de administrare.

În loc de postfață

Astfel, puteți restricționa discret accesul la zona de administrare WordPress, excluzând selecția automată sau manuală. Pluginul Login LockDown este actualizat periodic, ceea ce indică compatibilitatea cu versiunile actuale ale CMS.

WordPress este cel mai popular sistem de management de conținut astăzi. Și este clar de ce: ușurință în utilizare și configurare, multe plugin-uri, gratuite. Dar, în același timp, multă atenție din partea atacatorilor. Site-urile de pe Wordptess sunt foarte adesea ținta atacurilor. Motivele pentru a pirata un site sunt diferite, mai precis, motivul este același - bani, abordările sunt diferite. Una dintre modalitățile de a pirata un site, inclusiv pe WordPress, este forța brută sau în rusă - metoda forței brute (brute force - brute force) - acesta este atunci când încearcă să acceseze site-ul selectând un nume de utilizator și o parolă.

Toți utilizatorii WordPress știu că intrarea în panoul de administrare a site-ului se află la site.com/wp-login.php sau site.com/wp-admin, de unde oricum vei fi transferat la primul. Atacatorii știu și ei despre asta. Prin urmare, dacă sunteți iresponsabil în protejarea panoului de administrare, atunci probabilitatea ca site-ul dvs. să fie piratat crește semnificativ. Cum îi poți împiedica pe cei care nu au nevoie să intre în panoul de administrare?

Prima, și cea mai banală, dar nu mai puțin importantă, este alegerea unei parole puternice și schimbarea login-ului standard.

Al doilea este instalarea de pluginuri speciale pentru a proteja panoul de administrare.

Al treilea este configurarea rcdirects și editarea manuală a fișierelor WordPress.

Și, de asemenea, acum majoritatea găzduirii, la rândul lor, oferă protecție pentru panoul de administrare.

În acest articol, vreau să vorbesc despre pluginul Login Lockdown, care va ajuta la protejarea panoului de administrare al site-ului dvs. WordPress de ghicirea parolei.

Care este principiul pluginului? Când cineva încearcă să intre în panoul dvs. de administrare și introduce incorect date, autentificare sau parolă, de un anumit număr de ori într-o anumită perioadă de timp - Login LockDown blochează adresa IP de la care s-a încercat accesul pentru o anumită perioadă de timp.

Instalare plugin

Puteți instala pluginul prin managerul WordPress încorporat. Pentru a face acest lucru, în panoul de control, accesați Pluginuri->Adăugați nou.

Introduceți numele pluginului în câmpul de căutare.

Selectați pluginul din rezultatele căutării și faceți clic pe instalare.

După instalarea Login LockDown, trebuie să-l activați imediat.

Acum puteți trece la configurarea extensiei.

Mergi la Setări->Login LockDown

Nu există multe setări pentru plugin. Să le parcurgem pe scurt.

• Încercări maxime de conectare- numărul maxim de încercări. Valoarea implicită este 3, ceea ce înseamnă că după trei încercări eșuate de conectare, accesul de la acest IP va fi blocat.
• Retrimitere pentru perioada de timp (minute)— perioada de timp în minute pentru care sunt contorizate încercările de conectare nereușite. Valoarea implicită este 5. Adică, dacă o parolă incorectă este introdusă de 3 ori în cinci minute, va avea loc o blocare.
• Durata blocării (minute)- perioada de timp pentru care un IP suspect este blocat. Implicit 60 min.
• Blocarea numelor de utilizator nevalide?- Ar trebui să fie luată în considerare o autentificare nevalidă? Dezactivat implicit. Dacă funcția este dezactivată, atunci pluginul nu contorizează autentificarea greșită. Adică, teoretic, dacă un atacator știe parola din panoul de administrare, atunci va putea să selecteze autentificarea de câte ori vrea.
• Masca erori de conectare?- Masca erori de conectare? Dezactivat implicit. Dacă funcția este dezactivată, atunci când introduceți date incorecte, apare un mesaj care anunță ce anume a fost introdus incorect - autentificare sau parolă.

Când funcția este activată, mesajul nu va specifica exact unde a fost făcută eroarea.

• Afișați linkul de credit?- Afișați linkul către Login LockDown. Puteți alege între afișarea unui link către site-ul plugin, afișarea unui link, dar cu o etichetă nofollow, sau a nu afișa un link.
• Momentan blocat- o listă de IP-uri blocate și timpul până la deblocare. Aici puteți debloca IP-ul.

Asta este Login LockDown. După ce ai schimbat setările, salvează-le și acum blogul tău va fi puțin mai sigur.