Всем привет! Сегодня поговорим о безопасности своего сайта/блога ВордПресс. Чтобы спать спокойно нужно обязательно обеспечить безопасность сайта на WordPress. Самый распространенный способ для его взлома это - подбор пароля и имя пользователя для входа в вашу админ панель (защита от этого - Login LockDown). Если по каким то причинам, плохие люди узнают ваш логин, тогда подобрать пароль для них не составит большого труда.
Хакеры могут попробовать сотни паролей для входа на ваш сайт WordPress. Поэтому вам необходимо реализовать блокировку входа в админ панель WordPress, чтобы обеспечить безопасность вашего сайта.
Не ждите, пока ваш сайт будет взломан, чтобы вы начали заботиться о методах безопасности. Самое время ограничить количество попыток входа на ваш сайт WP. Давайте дорогие друзья усложним злоумышленникам эту задачу. Как ограничить число попыток входа в WordPress? При помощи бесплатного плагина Login LockDown.
Дополнительный уровень защиты предоставляет плагин Login Lockdown. Он защищает админ панель WordPress от взлома с помощью подбора пароля для входа.
Если с какого-то IP-диапазона осуществляется чрезмерное количество попыток входа, по достижении предела Login Lockdown блокирует все запросы из этого диапазона.
Каждый владелец веб-сайта на WordPress время от времени сталкивается с проблемами, которые, вероятно, могли бы быть решены с помощью удобных внутренних плагинов. И быстро, и далеко ходить не нужно. Вот, что сделало WordPress таким популярным, правда? Плагины удобны и могут решать множество задач, что особенно полезно в том случае, если вы не являетесь разработчиком или вам не хватает профессиональных скиллов.
По умолчанию WordPress позволяет пользователям вводить пароли столько раз, сколько они хотят. Хакеры могут попытаться воспользоваться этим, используя скрипты, которые вводят различные комбинации, пока ваш сайт не взломает.
Чтобы предотвратить это, вы можете ограничить количество неудачных попыток входа в систему для каждого пользователя.
Добавьте дополнительный уровень безопасности на свой сайт WordPress.
Защита WordPress – плагин Login LockDown
Плагин для ВордПресс Login LockDown ограничивает количество попыток входа в систему с заданного диапазона IP-адресов в течение определенного периода времени. Плагин безопасности для надежной защиты вашей панели управления WordPress. На данный момент более 1 030 212 установок.
О плагине Login LockDown
Login LockDown записывает IP-адрес и метку времени каждой неудачной попытки входа в систему. Если в течение короткого периода времени из одного и того же диапазона IP-адресов обнаружено более определенного количества попыток, функция входа в систему будет отключена для всех запросов из этого диапазона. Это помогает предотвратить обнаружение пароля методом перебора.
В настоящее время плагин по умолчанию блокируется на 1 час из IP-блока после 3 неудачных попыток входа в систему в течение 5 минут. Иначе говоря, вы будете заблокированы на один час если за 5 минут неправильно введете пароль 3 раза. Это можно изменить через панель Настройки. Администраторы могут освобождать заблокированные диапазоны IP-адресов вручную с панели.
Установка и настройка plagina Login LockDown
Конечно одним плагином полностью не защитить ваш блог / сайт, нужны ещё дополнительные меры, о чем я буду писать на страницах моего блога. Но это будет позже, а сейчас пожалуйста перейдите для установки плагина в админку. Раздел - Плагины - Добавить новый. В окно поиска введите название Login LockDown:
Искомый плагин будет в списке первый, нажмите "Установить", затем "Активировать плагин":
Следующий шаг это - его настройка. Раздел Настройки - клик на название модуля.
Защита админки WordPress
На открывшейся странице - Параметры блокировки входа в систему - укажите:
- Максимальное количество попыток входа например, 3;
- Ограничение периода времени повтора (минут) например, 5;
- Время блокировки в минутах например, 180;
- Блокировка неверных имен пользователей? - Да;
- Ошибки входа в систему? - Да.
Нажмите "Обновить настройки". Готово. Вот как выглядела форма для входа в админку без плагина:
А теперь будет примерно так:
Друзья, на всякий случай, посмотрите другие плагины с данным функционалом. Если вдруг автор модуля перестанет обновлять его, то есть альтернатива Login LockDown.
Limit Login Attempts Reloaded - Ограничить попытки входа в WordPress повторно
Перезагруженная версия оригинального плагина Limit Login Attempts для защиты входа, созданная командой разработчиков WordPress. Соответствует GDPR. Видимо этот плагин уже обогнал по популярности все остальные с схожим функционалом. Установили уже больше 7 412 822 раз. Есть русский язык. Круто!
Ограничьте количество попыток входа в консоль / админку ВордПресс, которые возможны с помощью обычного входа, а также страниц XMLRPC, Woocommerce и пользовательских страниц входа. WordPress по умолчанию позволяет неограниченное количество попыток входа в панель управления. Это позволяет относительно легко взламывать пароли с помощью перебора.
Limit Login Attempts Reloaded блокирует дальнейшие попытки интернет-адреса после достижения указанного лимита повторных попыток, что делает атаку методом грубой силы затруднительной или невозможной.
Функции плагина:
- Ограничьте количество повторных попыток при входе в систему (на каждый IP-адрес). Это полностью настраивается;
- Информирует пользователя об оставшихся попытках или времени блокировки на странице входа;
- Дополнительное ведение журнала и дополнительное уведомление по электронной почте;
- Можно занести в белый / черный список IP-адреса и имена пользователей;
- Совместимость с Sucuri Website Firewall;
- Защита шлюза XMLRPC;
- Защита страницы входа в Woocommerce ;
- Многосайтовая совместимость с дополнительными настройками MU;
- Соответствует GDPR. Когда эта функция включена, все зарегистрированные IP-адреса становятся обфусцированными (md5-hashed);
- Поддержка настраиваемых источников IP (Cloudflare, Sucuri и т. д.).
Настройки плагина:
Занесите в белый / черный список IP-адреса и имена пользователей. А также, можно смотреть статистику блокировок:
Блокировка входа в WordPress:
И ещё есть один плагин для установки ограничения неудачных попыток входа в систему WordPress.
Login LockDown — Limit Failed Login Attempts
Используя этот плагин, вы сможете ограничить количество повторных попыток при входе в консоль WordPress по IP. Полностью настраиваемый и простой в использовании.
Информирует пользователя об оставшихся попытках или времени блокировки на странице входа.
Этот плагин будет записывать IP-адрес и временную метку каждой неудачной попытки входа в систему. Администраторы могут разблокировать заблокированные диапазоны IP-адресов вручную из панели администратора.
Функции плагина:
- Включение или отключение функциональности плагина;
- Включите, чтобы отключить уведомления по электронной почте;
- Ограничьте количество повторных попыток при входе в систему по IP;
- Ограничьте количество попыток входа в систему с помощью файлов cookie;
- Информирует пользователя об оставшихся попытках или времени блокировки на странице входа;
- Дополнительное ведение журнала и дополнительное уведомление по электронной почте;
- Снять блокировку можно для любого IP.
Настройка плагина Login LockDown — Limit Failed Login Attempts:
- Статус входа: Включите или отключите все неудачные попытки входа в WP.
- Уведомление по электронной почте: Если включено, вы получите электронное письмо, если какой-либо пользователь превысит максимально допустимое количество повторных попыток.
- Установите максимально допустимое количество повторных попыток до блокировки, по умолчанию 3.
- Минуты блокировки: Установите минуты до сброса количества перезапусков, по умолчанию 30.
- Сохраните настройки.
Другие дополнительные способы защитить админку WordPress:
- Использовать на сайте WordPress CAPTCHA: это обезопасит форму входа на сайт от подбора паролей;
- Включить двухэтапную (двухфакторную аутентификацию): при входе в панель администрирования WordPress попросит вас ввести дополнительный код, который вы можете найти на вашем смартфоне.
В заключение
Первый уровень защиты вашего сайта WordPress – это сам пароль. Вы должны всегда выбирать надежный пароль для своего веб-ресурса. На всякий случай читайте, что делать если вы забыли пароль для входа в админпанель. Нет на 100% защищенных сайтов, так как плохие люди всегда находят новые способы обойти защиту. Именно поэтому крайне важно все время сохранять полные резервные копии вашего сайта WordPress.
Я надеюсь, что этот пост помог вам добавить ограничение на количество попыток входа на ваш сайт WordPress. На этом у меня все. Удачи вам. Всего хорошего друзья. Пока, пока!
Интересная задумка, хотя если использовать безопасный пароль знаков на 20 — то перебор пароля даже софтом займет не один день, при этом сам же хостинг будет распознавать большое количество запросов как атаку, и думаю ограничит доступ с этой IP к сайту (хотя используя прокси это обходится) — распространенным способом все же является поиск дырки в самом движке блога…
Привет! Да, знаков 15-20 и я например меняю пароль раза два в месяц, чтобы не рисковать. Хостинг о любых подозрительных действиях присылает письмо, молодцы ребята.Поиск дырки в самом движке блога — самый распространённый способ взлома сайта.
Здравствуйте, не могли бы Вы подсказать, каким хостингом Вы пользуетесь?
Здравствуйте, не могли бы Вы подсказать, каким хостингом пользуетесь? (Не поставил галочку на «уведомлять о новых комментариях по e-mail» вот и написал второй раз)
Привет, Олег! Бегет. В сайдбаре баннер висит, я думаю догадаться не трудно.