vtičnik za zaklepanje prijave. Varnostni vtičnik za blokiranje prijave v WordPress – zaščita pred vdorom

Dober dan, dragi bralci! Danes se bomo povečali varnost v wordpressu. WordPress je že dobro zaščiten, a nam dodatna varnost ne bo škodila.

Najprej zapremo dostop do nepotrebnih datotek. Vnesite naslov brskalnika, npr. vaš_blog/wp-content in če vidite bel zaslon, je vse v redu:

Če imate seznam datotek, morate narediti naslednje (tudi če je bel zaslon, je bolje narediti naslednje):

Varnost v WordPressu z vtičnikom Login LockDown

Tudi vaš blog lahko vdrete tako, da uganete geslo za vaš blog. Če nastavite zelo lahko geslo, lahko hekerji zlahka "prodrejo" v vaš blog s posebnimi skripti.

Konfiguriranje varnostnega vtičnika za zaklepanje prijave

Če želite priti do nastavitev vtičnika, morate iti na Skrbnik WordPress –> Nastavitve –> Zaklepanje prijave:


1. Največje število ponovnih poskusov prijave– največje število poskusov gesla.

2. Omejitev časovnega obdobja ponovnega poskusa (minute)– število minut, za katere se šteje največje število poskusov gesla.

3. Trajanje blokade (minute)čas blokiranja.

Se pravi, če številke ostanejo enake kot na zgornji sliki, potem to pomeni naslednje: če v 5 minutah geslo vnesete napačno 3-krat zapored, je skrbniško območje WordPress blokirano za 60 minut.

Nastavitve vtičnika Login LockDown sem pustil privzeto, ničesar se nisem dotaknil, saj mi popolnoma ustrezajo.

Morda je danes vse v zvezi z varnostjo v WordPressu (Wordpress). Se vidimo v naslednjih urah!

P.s. Ne pozabite, sveže uporabne lekcije so objavljene vsak delovnik, zato se obvezno naročite na RSS!

Pozdravljeni, dragi bralci spletnega dnevnika! Tema današnjega članka: zaščitite svoj blog WordPress pred vdorom z izbiro gesla za vstop v skrbniško ploščo. Ta metoda se imenuje. Ta težava je zelo pomembna, saj primeri nepooblaščenega dostopa do svetinje bloga, in sicer nadzorne plošče WordPress, žal niso redki.

Na splošno je varnostna tema WordPress zelo obsežna in ni omejena le na tiste, o katerih sem že pisal prej. Če napadalci pridobijo dostop do skrbniške plošče spletnega dnevnika, lahko pride do veliko bolj žalostnih posledic (sploh si ne želim predstavljati). Naša naloga je narediti vse, da do tega ne pride. In danes bom govoril le o enem od načinov za krepitev zaščite bloga. Spoznajte varnostni vtičnik WordPress Zaklepanje prijave.

Zaščita skrbnika WordPress pred vdorom z vtičnikom za zaklepanje prijave

Najlažji način za vdor v spletno mesto je, da izberete uporabniško ime in geslo za vstop v nadzorno ploščo. Moram reči, da mnogi blogerji sami olajšajo hekerju za 50% in pustijo privzeto prijavo. In potem ostane samo uganiti geslo.

Ste spremenili svoje uporabniško ime ali imate še vedno ime admin? Če ne, potem to storite takoj. Pri tem vam lahko pomaga moj članek ""

Bodite prepričani, da takoj po namestitvi motorja spremenite geslo v bolj varno (izdelamo približno 20 znakov z velikimi in malimi črkami, številkami in posebnimi znaki). To lahko storite neposredno iz skrbniške plošče, tako da odprete meni »Uporabniki« - »Vaš profil«. Dvakrat vnesite novo geslo in shranite spremembe s klikom na " Posodobite profil“. Občasno spremenite svoje geslo in ga ne uporabljajte na drugih spletnih mestih.

S tako preprostimi dejanji bomo krekerjem že zakomplicirali nalogo. Ampak, recimo, da so se izkazali za trmaste in ne puščajo poskusov, pri čemer uporabljajo posebne programe za ugibanje gesla. Tu na pomoč priskoči varnostni vtičnik WordPress Login LockDown.

Kako deluje vtičnik za zaklepanje prijave

Vtičnik zajame točen čas in naslov IP, s katerega je bil opravljen neuspešen poskus prijave v skrbnika spletnega dnevnika. Ko se v določenem časovnem obdobju izvede določeno število neuspešnih poskusov, vtičnik blokira dostop do spletnega mesta za določen čas. Prikaže se sporočilo:

»Napaka: Oprostite, toda ta obseg IP je bil blokiran zaradi preveč neuspelih poskusov prijave. Prosim poskusite kasneje."

Poleg tega boste imeli seznam vseh blokiranih naslovov IP in možnost, da jih odblokirate v nastavitvah vtičnika. Razmislimo jih podrobneje.

Namestitev in konfiguracija varnostnega vtičnika Login LockDown

Namestite in aktivirajte vtičnik. Namestitev tega vtičnika sem podrobno opisal kot primer v članku ““. Zato brez odlašanja pojdimo na nastavitve.

Pojdite v meni " Možnosti" - "Zaklepanje prijave".

Ilustracija prikazuje privzete nastavitve. Lahko jih spremenite po svojih željah. Spodaj bom opisal, kaj pomeni vsaka od točk in dal svoje komentarje:

• 1. Največje število ponovnih poskusov prijave- največje število poskusov vstopa v skrbniško ploščo spletnega dnevnika. Mislim, da ni smiselno dajati več kot tri.
• 2. Omejitev časovnega obdobja ponovnega poskusa (minute)– časovno obdobje v minutah za ponovni poskus. Pet minut je dovolj, da celo tečete do kanadske meje, kaj šele da vnesete geslo.
• 3. Trajanje blokade (minute)- čas v minutah, za katerega je blokiran dostop do skrbniške plošče WordPress. Pustite lahko 60 minut ali nastavite več.
• 4. Zaklepanje neveljavnih uporabniških imen– upoštevati napačen vnos za prijavo? Ta element označimo in vtičnik bo poleg gesla upošteval tudi napačno napisano ime. Dodatna zaščita bloga ni nikoli odveč.
• 5. Napake pri prijavi pri maski– prikrivanje napak pri vnosu napačnih podatkov. Opažamo, in potem kreker ne bo vedel, da so njegova dejanja pod nadzorom (nekaj ni opazilo nobene razlike).
• 6. Trenutno zaklenjeno- tukaj si lahko ogledate seznam trenutno blokiranih naslovov IP in čas do odblokiranja. Več o tem spodaj.

Ko je varnostni vtičnik Login LockDown konfiguriran, kliknite gumb »Posodobi nastavitve«, da spremembe začnejo veljati.

Zaradi jasnosti bom razvozlal, kaj se zgodi, ko poskušate vdreti v blog, če so nastavitve na primer privzeto, kot je na zgornji sliki. Če je geslo vneseno napačno več kot 3-krat z intervalom 5 minut, je dostop do skrbniške plošče blokiran za 60 minut.

Zdaj se vrnite na seznam naslovov IP. Ne vem, kdaj bi to morda bilo potrebno, vendar imate možnost odblokirati naslov IP, ki je upadel. Če želite to narediti, označite ta element in kliknite »Spusti izbrano«. To je verjetno smiselno, če niste edini z dostopom do bloga. Na primer, več avtorjev ali samostojni delavec mora nekaj prilagoditi.

Še ena podrobnost. Če opazite, lahko na prvem posnetku zaslona vidite, da je pod obrazcem za prijavo v skrbniški plošči prikazano opozorilo o zaščiti vtičnika Login LockDown. Pojaviti se mora, če ste vtičnik pravilno namestili in deluje. Toda v tem primeru se pomen 5. odstavka izgubi, saj bo napadalec vnaprej opozorjen na zaščito. Odstranimo to oznako.

Pojdite v meni "Vtičniki"-"Urejevalnik". Na spustnem seznamu v zgornjem desnem kotu izberite naš varnostni vtičnik in kliknite »Izberi«. Iskanje v datoteki login-lockdown/loginlockdown.php to vrstico (glej spodnjo sliko) in odstrani vse med narekovaji. Kliknite »Posodobi datoteko« in pojdite na stran za prijavo. Napis bi moral izginiti.

Bodite pozorni na opozorilo na strani za urejanje. Preden naredite kakršne koli spremembe, deaktivirajte vtičnik in ga nato znova omogočite. Upam, da jih je treba pred kakršnim koli urejanjem datotek narediti kopije, ni treba spominjati.

zdaj Varnostni vtičnik za zaklepanje prijave v WordPress ne dovoli napadalcu, da pride v skrbniško ploščo z ugibanjem gesla. Seveda to ne zagotavlja 100-odstotne zaščite WordPressa pred vdori in drugimi težavami. Toda vsaka vrsta zaščite bloga bo zgradila zid pred sovražnikom. Višja kot je ta stena, bolj mirno boste spali ponoči.

Dobro se morate spomniti, da morate biti pozorni na vprašanja varnosti bloga nič manj kot pisanje edinstvene vsebine in promocije v iskalnikih. V prihodnjih člankih se bom k tej temi vrnil večkrat. Naročite se na posodobitve spletnega dnevnika, da boste vedno obveščeni. Se vidiva kmalu!

V prvem delu vam bom povedal, kako zaščititi svoj blog pred vdorom z ugibanjem gesla. Najpomembneje je, da ne nastavite preprostega gesla in ne uporabljajte istega gesla na drugih virih. Vtičnik bo pomagal tudi pri zaščiti pred ugibanjem gesla.

Namestitev in konfiguracija vtičnika Login LockDown

Vtičnik za nekaj časa blokira dostop do vnosa prijave in gesla prek IP-ja, če je bilo kar nekaj neuspešnih poskusov. Število poskusov in čas blokiranja lahko nastavite sami.

Za namestitev morate prenesti vtičnik. Izvlecite ga v mapo /plugins in ga aktivirajte.

Če želite konfigurirati vtičnik, pojdite na "Možnosti" -> "prikaže se naslednje okno:

Največje število ponovnih poskusov prijave- to je največje število poskusov prijave, mislim, da so trije dovolj.

Omejitev časovnega obdobja ponovnega poskusa (minute)- čas med poskusi, imam 15 minut.

Trajanje blokade (minute)- označuje število minut, za katere je prijavni obrazec blokiran v primeru napačnega vnosa podatkov za maksimalno število poskusov, imam 15 minut.

Zaklepanje neveljavnih uporabniških imen- ali je treba upoštevati napačen vnos za prijavo.

Napake pri prijavi pri maski- ali prikriti napake pri vnosu podatkov.

V razdelku Trenutni Zaklenjen ven prikaže se seznam blokiranih IP-jev.

Če je vtičnik nameščen normalno, bo v obrazcu za vnos prijave in gesla prikazan prijavni obrazec, zaščiten z zaklepanjem prijave.

Varnost spletnega mesta je glavna prednostna naloga pri razvoju spletnega projekta in varnost WordPress ni izjema. Poskusi nepooblaščenega dostopa do upravljanja spletnega dnevnika niso običajna stvar, vendar se zgodijo v življenju spletnega skrbnika ...

Če želite zaščititi svoje spletno mesto pred nasilnim vdorom, lahko z izbiro vhodnih podatkov omejite dostop do upravne plošče. Če želite to narediti, lahko pustite prednost samo za zaupanja vredne naslove IP ali nastavite omejitev števila napak pri avtorizaciji.

Priljubljeno orodje za blogerje v boju proti selekciji je brezplačen vtičnik – Login LockDown. Ta visoko specializiran dodatek je namenjen sledenju poskusom avtorizacije, torej prijavi v konzolo WordPress.
Značilnost vtičnika je prilagodljivost nastavitev, ki administratorju omogočajo, da odloži vsak poskus prijave, omejen z določeno številko, in nato za dolgo časa blokira napadalca (njegov IP naslov)!

Namestitev in aktiviranje

Dodatek lahko namestite z dostopom FTP, preden prenesete arhiv z vtičnikom - https://wordpress.org/plugins/login-lockdown/
ali pojdite na razdelek »Vtičniki« na skrbniški plošči, kliknite na element »Dodaj novo« na vrhu, nato vnesite ime v iskalno vrstico in pritisnite tipko »Enter«. Nastavimo prvi rezultat, nato pa ga aktiviramo.

Nastavitve vtičnika

Kot smo že omenili, je število možnosti LoginLockDown majhno in predstavlja le funkcionalne parametre. Ko je vtičnik aktiviran, začne delovati s privzetimi vrednostmi, ki jih raje večina uporabnikov.
Na plošči razširite razdelek »Nastavitve«, kjer boste našli element »Zaklepanje prijave«, kliknite in pojdite na stran z nastavitvami » Možnosti zaklepanja prijave»:

1. Največje število ponovitev prijave - število poskusov avtorizacije, po katerih je naslov blokiran. Privzeto je 3 (ne priporočamo, da nastavite več kot 5 poskusov).
2. Omejitev časovnega obdobja ponovitve (minute) – število minut med poskusi prijave, privzeto 2 minuti (bolje je skrajšati, da lahko uporabnik kmalu ponovi prijavo).
3. Dolžina blokade (minute) - število minut za blokiranje naslova IP, privzeto 120 (2 uri), ga je povsem mogoče povečati z ustrezno stopnjo nevarnosti.
4. Zaklepanje Neveljavna uporabniška imena? – možnost onemogočanja funkcij vtičnikov za neregistrirana imena (prijave). Vklopimo ga po lastni presoji, saj izbira neobstoječega para prijava-geslo ne predstavlja nevarnosti.
5. Napake pri prijavi pri maski? – možnost onemogočanja napak pri avtorizaciji. Uporabnik ne bo obveščen o neveljavnem uporabniškem imenu ali geslu.
6. Pokaži kreditno povezavo? – možnost prikaza povezave do spletnega mesta vtičnika (oglas razvijalcev Login LockDown). Privzeto prikazano, če želite onemogočiti, kliknite tretje potrditveno polje.
7. Posodobi nastavitve - gumb za posodobitev nastavitev, kliknite na koncu, da shranite narejene spremembe.
8. Trenutno zaklenjeno – območje s seznamom blokiranih naslovov. IP je mogoče počistiti za zaupanja vredne osebe, ki niso pridobile dostopa do skrbniške plošče.

Namesto pogovora

Tako lahko nevsiljivo omejite dostop do skrbniškega območja WordPress, razen samodejne ali ročne izbire. Vtičnik Login LockDown se redno posodablja, kar kaže na združljivost s trenutnimi različicami CMS.

WordPress je danes najbolj priljubljen sistem za upravljanje vsebin. In jasno je zakaj: enostavna uporaba in konfiguracija, veliko vtičnikov, brezplačno. Toda hkrati veliko pozornosti napadalcev. Spletna mesta na Wordptessu so pogosto tarča napadov. Razlogi za vdiranje spletnega mesta so različni, natančneje razlog je isti - denar, pristopi so različni. Eden od načinov vdora v spletno mesto, vključno z WordPressom, je brute force ali v ruščini - metoda brute force (brute force - brute force) - to je, ko poskušajo dostopati do spletnega mesta z izbiro uporabniškega imena in gesla.

Vsi uporabniki WordPress-a vedo, da se vhod v skrbniško ploščo spletnega mesta nahaja na site.com/wp-login.php ali site.com/wp-admin, s katere boste tako ali tako prešli na prvo. Za to vedo tudi napadalci. Če torej neodgovorno ščitite skrbniško ploščo, se verjetnost, da bo vaše spletno mesto vdrla, znatno poveča. Kako lahko preprečite tistim, ki jim ni treba vstopiti v skrbniško ploščo?

Prva in najbolj banalna, a nič manj pomembna je izbira močnega gesla in sprememba standardne prijave.

Drugi je namestitev posebnih vtičnikov za zaščito skrbniške plošče.

Tretji je nastavitev rcdirects in ročno urejanje datotek WordPress.

In tudi zdaj večina gostovanja ponuja zaščito za skrbniško ploščo.

V tem članku želim govoriti o vtičniku Login Lockdown, ki bo pomagal zaščititi skrbniško ploščo vašega spletnega mesta WordPress pred ugibanjem gesla.

Kakšno je načelo vtičnika? Ko nekdo poskuša priti v vašo skrbniško ploščo in napačno vnese podatke, prijavo ali geslo, določeno število krat v določenem časovnem obdobju - Login LockDown blokira IP naslov, s katerega je bil poskusen dostop za določen čas.

Namestitev vtičnika

Vtičnik lahko namestite prek vgrajenega upravitelja WordPress. Če želite to narediti, na nadzorni plošči pojdite na Vtičniki->Dodaj novo.

V iskalno polje vnesite ime vtičnika.

Med rezultati iskanja izberite vtičnik in kliknite Namesti.

Po namestitvi Login LockDown ga morate takoj aktivirati.

Zdaj lahko nadaljujete z nastavitvijo razširitve.

Pojdi do Nastavitve->Zaklepanje prijave

Za vtičnik ni veliko nastavitev. Pojdimo jih na kratko.

• Največje število ponovnih poskusov prijave- največje število poskusov. Privzeta vrednost je 3, kar pomeni, da bo po treh neuspelih poskusih prijave dostop s tega IP-ja blokiran.
• Omejitev časovnega obdobja ponovnega poskusa (minute)— časovno obdobje v minutah, za katerega se štejejo neuspešni poskusi prijave. Privzeto je 5. To pomeni, da če v petih minutah 3-krat vnesete napačno geslo, pride do blokade.
• Trajanje blokade (minute)- časovno obdobje, v katerem je sumljiv IP blokiran. Privzeto 60 min.
• Zaklepanje Neveljavna uporabniška imena?- Ali je treba šteti neveljavno prijavo? Privzeto onemogočeno. Če je funkcija onemogočena, vtičnik ne šteje napačne prijave. Se pravi, teoretično, če napadalec pozna geslo iz skrbniške plošče, bo lahko izbral prijavo tolikokrat, kot želi.
• Napake pri prijavi pri maski?- Prikrije napake pri prijavi? Privzeto onemogočeno. Če je funkcija onemogočena, se ob vnosu napačnih podatkov prikaže sporočilo, ki obvešča, kaj točno je bilo vneseno napačno - prijava ali geslo.

Ko je funkcija omogočena, sporočilo ne bo natančno določalo, kje je bila storjena napaka.

• Pokaži kreditno povezavo?- Pokaži povezavo do zaklepanja prijave. Izbirate lahko med prikazom povezave do spletnega mesta vtičnika, prikazom povezave, vendar z oznako nofollow, ali ne prikazom povezave.
• Trenutno zaklenjeno- seznam blokiranih IP-jev in čas do deblokiranja. Tukaj lahko odblokirate IP.

To je zaklepanje prijave. Ko spremenite nastavitve, jih shranite in zdaj bo vaš blog nekoliko bolj varen.