• Login LockDown je plugin pro Wordpress, který chrání před uhádnutím hesla. Login LockDown Plugin pro WordPress Popis práce Login LockDown

    Dobrý den, milí čtenáři tohoto blogu! Téma dnešního článku: ochrana vašeho blogu WordPress před hackováním výběrem hesla pro vstup do administračního panelu. Tato metoda se nazývá . Tento problém je velmi relevantní, protože případy neoprávněného přístupu ke svatyni blogu, konkrétně k ovládacímu panelu WordPress, bohužel nejsou vůbec vzácné.

    Obecně je téma zabezpečení WordPressu velmi rozsáhlé a neomezuje se pouze na ty, o kterých jsem již psal dříve. Mnohem nešťastnější důsledky (ani si to nechci představovat) mohou nastat, pokud útočníci získají přístup k panelu správce blogu. Naším úkolem je udělat vše pro to, aby se to nestalo. A dnes budu mluvit pouze o jednom ze způsobů, jak posílit ochranu blogu. Seznamte se s bezpečnostním pluginem WordPress Uzamčení přihlášení.

    Ochrana správce WordPress před hackováním pomocí pluginu Login LockDown

    Nejjednodušší způsob, jak hacknout stránky, je vyzvednutí uživatelského jména a hesla pro vstup do ovládacího panelu. Musím říct, že mnoho bloggerů to samo o sobě hackerovi ulehčuje o 50 % a ponechává výchozí přihlášení. A pak už zbývá jen uhodnout heslo.

    Změnili jste své uživatelské jméno nebo stále máte jméno admin? Pokud ne, udělejte to okamžitě. V tom vám může pomoci můj článek „“.

    Ujistěte se, že ihned po instalaci enginu změňte heslo na bezpečnější (děláme cca 20 znaků pomocí velkých a malých písmen, číslic a speciálních znaků). To lze provést přímo z panelu administrátora v nabídce „Uživatelé“ - „Váš profil“. Dvakrát zadejte nové heslo a uložte změny kliknutím na „ Aktualizovat profil“. Heslo pravidelně měňte a nepoužívejte ho na jiných stránkách.

    S takovými jednoduchými akcemi již úkol pro crackery zkomplikujeme. Ale řekněme, že se ukázali být tvrdohlaví a neopouštějí pokusy pomocí speciálních programů pro hádání hesla. Zde přichází na pomoc bezpečnostní plugin WordPress Login LockDown.

    Jak funguje plugin LockDown

    Plugin zaznamená přesný čas a IP adresu, ze které byl proveden neúspěšný pokus o přihlášení k adminovi blogu. Pokud dojde k určitému počtu neúspěšných pokusů v určitém časovém období, plugin zablokuje přístup na stránku na určitou dobu. Zobrazí se zpráva:

    "Chyba: Omlouváme se, ale tento rozsah IP byl zablokován z důvodu příliš mnoha neúspěšných pokusů o přihlášení. Prosím zkuste to znovu později."

    Navíc budete mít seznam všech blokovaných IP adres a možnost je odblokovat v nastavení pluginu. Zvažme je podrobněji.

    Instalace a konfigurace bezpečnostního pluginu Login LockDown

    Nainstalujte a aktivujte plugin. Instalaci tohoto pluginu jsem podrobně popsal jako příklad v článku „“. Proto bez dalších řečí přejděme k nastavení.

    Přejděte do nabídky „ Možnosti“ - „ Uzamčení přihlášení“.

    Obrázek ukazuje výchozí nastavení. Můžete je měnit podle svého. Níže popíšu, co každý z bodů znamená, a uvedu své komentáře:

    • 1. Maximální počet opakování přihlášení- maximální počet pokusů o vstup do panelu administrace blogu. Myslím, že nemá smysl dávat více než tři.
    • 2. Omezení časového období opakování (minuty)– časový interval v minutách pro opakování. Pět minut stačí na to, abyste i běželi ke kanadským hranicím, natož abyste zadali heslo.
    • 3. Délka uzamčení (minuty)- doba v minutách, po kterou je zablokován přístup k administračnímu panelu WordPress. Můžete nechat 60 minut, nebo můžete nastavit více.
    • 4. Uzamčení Neplatná uživatelská jména– zohlednit nesprávné zadání přihlašovacích údajů? Tuto položku označíme a plugin kromě hesla zohlední i špatně napsané jméno. Dodatečná ochrana blogu není nikdy zbytečná.
    • 5. Chyby přihlášení masky– maskování chyb při zadávání nesprávných údajů. Zaznamenáme, a pak cracker nebude vědět, že jeho akce jsou pod kontrolou (něco nezaznamenalo žádný rozdíl).
    • 6. Momentálně uzamčeno- zde vidíte seznam aktuálně blokovaných IP adres a čas do odblokování. Více o tom níže.

    Po nakonfigurování bezpečnostního pluginu Login LockDown klikněte na tlačítko „Aktualizovat nastavení“, aby se změny projevily.

    Pro názornost rozluštím, co se stane, když se pokusíte hacknout blog, pokud je nastavení například ve výchozím nastavení, jako na obrázku výše. Pokud je heslo zadáno nesprávně více než 3x v intervalu 5 minut, je přístup do administračního panelu zablokován na 60 minut.

    Nyní zpět k seznamu IP adres. Nevím, kdy by to mohlo být potřeba, ale máte možnost odblokovat IP adresu, která upadla v nemilost. Chcete-li to provést, zaškrtněte tuto položku a klikněte na „Uvolnit vybrané“. To pravděpodobně dává smysl, pokud nejste jediný, kdo má přístup k blogu. Například několik autorů nebo nezávislý pracovník potřebuje něco upravit.

    Ještě jeden detail. Pokud si všimnete, na prvním snímku obrazovky můžete vidět, že se pod přihlašovacím formulářem v admin panelu zobrazuje upozornění na ochranu pluginem Login LockDown. Mělo by se objevit, pokud jste plugin nainstalovali správně a funguje. Ale v tomto případě se smysl odstavce 5 ztrácí, protože útočník bude na ochranu předem upozorněn. Pojďme tento štítek odstranit.

    Přejděte do nabídky " Pluginy " - " Editor ". Vyberte náš bezpečnostní plugin z rozevíracího seznamu vpravo nahoře a klikněte na „Vybrat“. Hledání v souboru login-lockdown/loginlockdown.php tento řádek (viz obrázek níže) a odstraňte vše mezi uvozovkami. Klikněte na "Aktualizovat soubor" a přejděte na přihlašovací stránku. Nápis by měl zmizet.

    Věnujte pozornost upozornění na stránce úprav. Před provedením jakýchkoli změn plugin deaktivujte a poté jej znovu povolte. Doufám, že před jakoukoliv úpravou souborů je potřeba udělat si jejich kopie, netřeba připomínat.

    Nyní Bezpečnostní plugin WordPress Login LockDown nedovolí útočníkovi dostat se do administrátorského panelu uhodnutím hesla. To samozřejmě nezaručuje 100% ochranu WordPress před hacky a jinými problémy. Ale každý typ ochrany blogu postaví před nepřítelem zeď cihlu po cihle. Čím vyšší je tato stěna, tím klidněji budete v noci spát.

    Musíte si dobře pamatovat, že je třeba věnovat pozornost bezpečnostním problémům blogu ne méně než psaní jedinečného obsahu a propagace ve vyhledávačích. V dalších článcích se k tomuto tématu ještě nejednou vrátím. Přihlaste se k odběru aktualizací blogu, abyste byli vždy v obraze. Brzy se uvidíme!

    Dobrý den, milí čtenáři blogového webu, dnes jsem pro vás připravil článek, ve kterém se dozvíte, jak chránit svůj blog pomocí pluginu Login LockDown, který je součástí .

    Pomáhá chránit blog nebo web na WordPress CMS před pokusy o hackování uhodnutím hesla pro vstup do panelu administrace blogu. Pro wordpress je to prostě nutné!

    Také, abyste zkomplikovali pokusy útočníků hacknout blog nebo web hesly hrubou silou (mimochodem, tato metoda hackování se také nazývá útok hrubou silou), musíte vytvořit silné dlouhé heslo (asi 20 znaků) pro vstup do panelu administrace blogu.

    Chcete-li změnit heslo v levé části administrativního panelu, najeďte myší na kartu « Uživatelé" ---->> "Váš profil" . Dvakrát zadejte nové heslo, uložte jej kliknutím na tlačítko "Aktualizovat profil" .

    Pro útočníka bude mnohem obtížnější hacknout web útokem hrubou silou, pokud má složité dlouhé heslo.

    Co ale dělat, když pokusy o hacknutí webu neustanou a jak jinak zabezpečit admin panel blogu nebo webu před hackováním?

    Jak plugin funguje

    Princip fungování je následující: Login LockDown zachycuje přesný čas pokusu o hackování a také IP adresu, ze které se útočník pokusil dostat do panelu administrace blogu.

    Pokud po určitou dobu dojde k nastavenému počtu neúspěšných pokusů o přihlášení (nastavené v pluginu) do panelu administrátora blogu, plugin zobrazí následující zprávu:

    "Chyba: Omlouváme se, ale tento rozsah IP byl zablokován z důvodu příliš mnoha neúspěšných pokusů o přihlášení. Prosím zkuste to znovu později."

    Kromě toho vám bude poskytnut seznam IP adres, ze kterých byly neúspěšné pokusy o hackování, můžete je také odblokovat v nastavení.

    Nastavení a instalace funkce Login LockDown

    Takže si stáhněte Login LockDown tady.

    A nyní pojďme přímo k nastavení:

    Chcete-li to provést, klikněte na levé straně na "Nastavení" --->> "Uzamčení přihlášení" .

    Snímek obrazovky ukazuje příklad standardního nastavení, ale řeknu vám, co jednotlivé položky nastavení znamenají, a můžete je změnit podle svého uvážení.

    Nezapomeňte kliknout na Aktualizovat nastavení» pro uložení změněných dat.

    Nyní se podíváme na to, co se stane, pokud zadáte heslo nesprávně, pokud máte výchozí nastavení. Pokud je heslo zadáno více než třikrát (interval zadávání je 5 minut), bude přístup do administrativního panelu pro tuto IP adresu zablokován na 60 minut.

    Jak odstranit upozornění na ochranu přihlášení LockDown pod přihlašovacím formulářem správce blogu?

    Vývojář samozřejmě tvrdě pracoval, vytvořil plugin a jeho práce by měla být nějak odměněna, ale ponecháním tohoto nápisu tím útočníka varujeme před ochranou blogu pomocí pluginu Login LockDown, a to by nemělo být.

    Chcete-li to provést, přejděte na levé straně administrativního panelu na "Pluginy --->>Editor" , pak najděte plugin Login LockDown a klikněte na tlačítko "Vybrat".

    Hledání v souboru login-lockdown/loginlockdown.php řádek zobrazený na snímku obrazovky níže a odstraňte vše mezi uvozovkami. Poté nápis zmizí.

    Před úpravou nezapomeňte plugin deaktivovat a pro jistotu si také vytvořte kopii tohoto souboru.

    A to je pro mě vše, doufám, že tento článek byl pro vás užitečný. V každém případě nyní znáte další způsob, jak chránit svůj blog.

    P.S.

    S pozdravem Alexander Sergienko

    WordPress je dnes nejpopulárnější redakční systém. A je jasné proč: snadné použití a konfigurace, mnoho pluginů, zdarma. Ale zároveň hodně pozornosti útočníků. Stránky na Wordptess jsou velmi často cílem útoků. Důvody pro hacknutí stránky jsou různé, přesněji řečeno, důvod je stejný - peníze, přístupy jsou různé. Jedním ze způsobů, jak hacknout stránky, a to i na WordPressu, je hrubá síla nebo v ruštině - metoda hrubé síly (brute force - brute force) - to je, když se pokusí získat přístup na stránku výběrem uživatelského jména a hesla.

    Všichni uživatelé WordPressu vědí, že vstup do panelu pro správu webu se nachází na adrese site.com/wp-login.php nebo site.com/wp-admin, ze kterého budete stále převedeni na první. Své o tom vědí i útočníci. Pokud jste tedy nezodpovědní při ochraně administrátorského panelu, pak se výrazně zvyšuje pravděpodobnost napadení vašeho webu. Jak můžete zabránit těm, kteří se nepotřebují dostat do panelu administrátora?

    Prvním, nejbanálnějším, ale neméně důležitým, je volba silného hesla a změna standardního přihlášení.

    Druhým je instalace speciálních pluginů pro ochranu admin panelu.

    Třetím je nastavení rcdirects a ruční úprava souborů WordPress.

    A také nyní většina hostingů nabízí ochranu pro administrátorský panel.

    V tomto článku chci mluvit o pluginu Uzamčení přihlášení, který pomůže ochránit panel administrátora vašeho webu WordPress před uhodnutím hesla.

    Jaký je princip pluginu? Když se někdo pokusí dostat do vašeho administrátorského panelu a nesprávně zadá údaje, přihlašovací jméno nebo heslo, několikrát za určité časové období - Login LockDown zablokuje IP adresu, ze které byl po určitou dobu pokus o přístup.

    Instalace pluginu

    Plugin můžete nainstalovat prostřednictvím vestavěného správce WordPress. Chcete-li to provést, přejděte na ovládacím panelu na Pluginy->Přidat nový.

    Do vyhledávacího pole zadejte název pluginu.

    Vyberte plugin z výsledků vyhledávání a klikněte na nainstalovat.

    Po instalaci Login LockDown jej musíte okamžitě aktivovat.

    Nyní můžete přejít k nastavení rozšíření.

    Jít do Nastavení->Login LockDown

    Pro plugin není mnoho nastavení. Pojďme si je krátce projít.

    • Maximální počet opakování přihlášení- maximální počet pokusů. Výchozí hodnota je 3, což znamená, že po třech neúspěšných pokusech o přihlášení bude přístup z této IP adresy zablokován.
    • Omezení časového období opakování (minuty)— doba v minutách, po kterou se počítají neúspěšné pokusy o přihlášení. Výchozí hodnota je 5. To znamená, že pokud je během pěti minut třikrát zadáno nesprávné heslo, dojde k zablokování.
    • Délka uzamčení (minuty)- doba, po kterou je podezřelá IP blokována. Výchozí 60 min.
    • Uzamknout neplatná uživatelská jména?- Mělo by se počítat neplatné přihlášení? Ve výchozím nastavení zakázáno. Pokud je funkce zakázána, plugin nepočítá chybné přihlášení. To znamená, že teoreticky, pokud útočník zná heslo z panelu administrátora, bude si moci vybrat přihlášení tolikrát, kolikrát bude chtít.
    • Chyby přihlášení masky?- Maskovat chyby přihlášení? Ve výchozím nastavení zakázáno. Pokud je funkce deaktivována, pak se při zadání nesprávných údajů zobrazí zpráva s upozorněním, co přesně bylo zadáno špatně - přihlašovací jméno nebo heslo.

    Když je funkce povolena, zpráva nebude přesně specifikovat, kde k chybě došlo.

    • Zobrazit odkaz na kredit?- Zobrazit odkaz na uzamčení přihlášení. Můžete si vybrat mezi zobrazením odkazu na stránku pluginu, zobrazením odkazu, ale se značkou nofollow, nebo nezobrazením odkazu.
    • Momentálně uzamčeno- seznam blokovaných IP adres a čas do odblokování. Zde můžete odblokovat IP.

    To je funkce Login LockDown. Po změně nastavení je uložte a váš blog bude nyní o něco bezpečnější.

    Předchozí příspěvek
    Další příspěvek

    Jednou z prvních věcí, kterou musíte udělat při nastavování zabezpečení vašeho webu WordPress, by mělo být zabezpečení přihlášení do panelu administrátora. Pomůže nám s tím oblíbený plugin Login LockDown, který vás pomůže ochránit před heslem hrubou silou a přihlašováním zákeřnými roboty.

    Abyste mohli začít s přihlášením LockDown, musíte nejprve . Po instalaci v položce menu Settings / Login LockDown a začněte pracovat s pluginem. Nejprve se však podívejme na funkčnost.

    Navigace v článku:

    Popis toho, jak funguje LockDown přihlášení.

    Login LockDown si pamatuje IP adresu a označí každý neúspěšný pokus o přihlášení. Pokud je počet pokusů o autorizaci větší než určitý počet zadaný v nastavení, zjištěný během krátké doby ze stejného rozsahu IP, pak je funkce přihlášení deaktivována pro všechny požadavky z tohoto rozsahu. To pomáhá zabránit malwaru a lidem v hádání hesel. Plugin aktuálně nastavuje výchozí blokování IP na 1 hodinu po 3 neúspěšných pokusech o přihlášení během 5 minut. To lze změnit na panelu nastavení pluginu. Blokovaný rozsah IP můžete také uvolnit ručně.

    Když přejdete do nabídky nastavení pluginu Login LockDown, zpřístupní se nám následující formuláře úprav.

    V prvním poli formuláře musíme zadat maximální počet neúspěšných pokusů o přihlášení, po kterých bude blokování IP povoleno, toto pole musí mít nenulovou hodnotu, jinak blokování nebude fungovat.

    V dalším odstavci musíme upřesnit přijatelnou frekvenci zadávání nesprávných údajů. Ve výchozím nastavení je čas jedna minuta, to znamená, že při dodržení časového pásma mezi pokusy o jednu minutu můžete zámek obejít.

    Další položkou v konfiguraci Login LockDown je povolení blokování při nesprávném zadání přihlašovacího jména. Pokud je aktivní Ano, blokování nebude povoleno.

    WordPress upozorňuje uživatele na nesprávné zadání určitých parametrů, což může urychlit hacking, proto se doporučuje tyto rady zakázat. Nastavením parametru na „Ano“.

    Plugin Login LockDown ve výchozím nastavení zobrazuje uživatelům odkaz na plugin, aby si své stránky mohli zabezpečit i ostatní, doporučuji tuto funkci deaktivovat nastavením parametru dle obrázku.

    Po zadání všech nastavení uzamčení přihlášení klikněte na tlačítko uložit změny. Tím je nastavení pluginu dokončeno.

    Chcete-li ručně odstranit blokování IP, musíte použít speciální formulář, který se nachází úplně dole v nastavení.

    Pokud byly takové adresy IP zablokovány, budete je muset ze seznamu vyloučit.

    Pomocí tohoto jednoduchého pluginu můžete výrazně snížit riziko napadení vašeho webu prostřednictvím přihlášení do WordPressu, což je jedna z nejoblíbenějších metod hackování.

    27.02.2017 Romčik

    Dobrý den. V tomto článku se budeme zabývat jedním z problémů ochrany webu WordPress, přesněji ochrany panelu správce WordPress. A abychom byli přesnější, zaměřme se na úvahu o pluginu, který vám umožní omezit počet pokusů o přihlášení do administračního panelu WordPress. Nainstalujeme a nakonfigurujeme plugin Login LockDown pro WordPress.

    Nejprve si musíte stáhnout a nainstalovat plugin Login LockDown z oficiálních stránek. Instalace tohoto pluginu není obtížná, takže se u toho nebudeme zdržovat.

    Podívejme se blíže na nastavení.

    Funkce pluginu -Přihlásit se izolování

    Plugin umožňuje na chvíli zablokovat ip-adresu, pokud během určité doby došlo k několika neúspěšným pokusům o autorizaci. K čemu to je? Jedná se o obvyklou ochranu před hrubou silou (přihlášení a výběr hesla). Zde je příklad ze života mého blogu, obrazovka ze souboru access.log

    Jak vidíte, uživatel s IP adresou 124.104.31.203 se pokouší něco udělat na autorizační stránce. A pokusil se vyzvednout uživatelské jméno a heslo. Po několika pokusech byla jeho IP adresa zablokována.

    Nastavení pluginu – Uzamčení přihlášení

    Přejděte do Nastavení -> Uzamčení přihlášení a přejděte na stránku nastavení pluginu.

    V prvním poli zadejte maximální počet nesprávných pokusů.

    Ve druhém poli uveďte, během jakého období se berou v úvahu pokusy (uveďte v minutách)

    Do třetího pole zadejte dobu v minutách, na kterou uživatele zablokujeme.

    Po všech nastaveních klikněte na „Aktualizovat nastavení“

    Vše na tomto nastavení pluginu Login LockDown, který slouží k ochraně WordPressu, je hotovo.

    Pokud jste však věnovali pozornost, existuje další karta „Aktivita“, která zobrazuje blokované adresy IP.

    Závěr

    Nastavili jsme plugin Login LockDown, který vám umožní chránit váš web WordPress před útoky hrubou silou.

    Abychom nezmeškali vydání nových článků, odebíráme.

    Přečtěte si více: