Login LockDown - плагин Wordpress для защиты от подбора пароля. Плагин Login LockDown для WordPress Описание работы Login LockDown
Здравствуйте, уважаемые читатели блога сайт ! Тема сегодняшней статьи: защита блога WordPress от взлома путем подбора пароля для входа в админку. Такой метод называют . Эта проблема очень актуальна, так как случаи несанкционированного доступа в святая святых блога, а именно в панель управления Вордпресс, к сожалению, совсем не редки.
Вообще тема безопасности Вордпресс очень обширна и не ограничивается только и , о которых я уже писал ранее. Гораздо более печальные последствия (даже представлять не хочется) могут наступить, если злоумышленники получат доступ в админку блога. Наша задача, сделать все возможное, чтобы этого не допустить. И сегодня я расскажу только об одном из способов усиления защиты блога. Встречайте, плагин безопасности WordPress Login LockDown .
Защита админки WordPress от взлома с помощью плагина Login LockDown
Самый простой способ взломать сайт, это подобрать логин и пароль для входа в панель управления. Надо сказать, что многие блоггеры сами облегчают работу взломщику на 50%, оставляя логин по умолчанию. И тогда ему остается только подобрать пароль.
А Вы поменяли логин пользователя или у Вас до сих пор стоит имя admin? Если нет, то сделайте это незамедлительно. Моя статья “ “, возможно, Вам в этом поможет.
Обязательно, сразу после установки движка, поменяйте пароль на более надежный (делаем около 20 символов, используя буквы верхнего и нижнего регистра, числа и спецсимволы). Это можно сделать прямо из админки, перейдя в меню “Пользователи ” – “Ваш профиль “. Дважды вводим новый пароль и сохраняем изменения, нажав кнопку “Обновить профиль “. Периодически меняйте пароль и не используйте его на других сайтах.
Такими нехитрыми действиями мы уже усложним взломщикам задачу. Но, допустим, они оказались упрямы и не оставляют попыток, используя специальные программы для подбора пароля. И тут нам на помощь приходит плагин защиты для WordPress Login LockDown.
Принцип действия плагина Login LockDown
Плагин фиксирует точное время и IP-адрес, с которого была сделана неудачная попытка входа в админку блога. Когда за определенный период времени будет совершено некоторое количество неудачных попыток, плагин блокирует доступ к сайту на заданное время. Выводится сообщение:
“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.
Кроме того, Вы будете иметь список всех заблокированных IP-адресов и возможность их разблокировать в настройках плагина. Рассмотрим их подробнее.
Установка и настройка плагина безопасности Login LockDown
Установите и активируйте плагин. Подробно установку этого плагина я описал, в качестве примера, в статье “ “. Поэтому без лишних слов сразу перейдем к настройкам.
Переходим в меню “Параметры ” – “Login LockDown “.
На рисунке показаны настройки по умолчанию. Вы можете изменить их на свое усмотрение. Ниже я опишу, что означает каждый из пунктов и дам свои комментарии:
- 1. Max Login Retries – максимальное количество попыток для входа в админ панель блога. Думаю, больше трех ставить не имеет смысла.
- 2. Retry Time Period Restriction (minutes) – период времени в минутах для повторной попытки. Пять минут хватит даже для того, чтобы добежать до канадской границы, не то чтобы ввести пароль.
- 3. Lockout Length (minutes) – время в минутах, на которое блокируется доступ к админке Вордпресс. Можно оставить 60 минут, а можно установить и побольше.
- 4. Lockout Invalid Usernames – учитывать ли неправильный ввод логина? Отмечаем этот пункт и плагин, кроме пароля, будет учитывать и неправильно написанное имя. Лишняя защита блога лишней никогда не бывает.
- 5. Mask Login Errors – маскировка ошибок ввода неправильных данных. Отмечаем, и тогда взломщик не будет знать, что его действия под контролем (что-то никакой разницы не заметил) .
- 6. Currently Locked Out – здесь отображается список, заблокированных в данное время IP-адресов и время до разблокировки. Об этом чуть ниже.
После сделанных настроек плагина безопасности Login LockDown, нажимаем кнопку “Update Settings “, чтобы изменения вступили в силу.
Для ясности, расшифрую, что произойдет при попытке взлома блога, если настройки стоят, например, по умолчанию, как на рисунке выше. Если пароль будет введен неправильно более 3 раз с интервалом 5 минут, то доступ для входа в панель администратора блокируется на 60 минут.
Теперь вернусь к списку IP-адресов. Не знаю, когда это может понадобиться, но у Вас есть возможность разблокировать IP-адрес, попавший в немилость. Для этого отметьте этот пункт и нажмите “Release Selected “. Наверное, это имеет смысл, если доступ к блогу есть не только у Вас. Например, несколько авторов или фрилансер должен что-то подправить.
Еще одна деталь. Если Вы заметили, то на первом скриншоте видно, что под формой входа в панель администратора выводится предупреждение о защите плагином Login LockDown. Оно должно появиться, если Вы правильно установили плагин и он работает. Но в этом случае теряется смысл пункта 5, ведь злоумышленник будет предупрежден о защите заранее. Давайте уберем эту надпись.
Идем в меню “Плагины ” – “Редактор “. Выбираем из выпадающего списка справа вверху наш плагин безопасности и нажимаем “Выбрать “. Находим в файле login-lockdown/loginlockdown.php эту строку (смотрите картинку ниже) и удаляем все, что указано между кавычками. Нажимаем “Обновить файл ” и переходим на страницу входа. Надпись должна исчезнуть.
Обратите внимание на предупреждение, на странице редактирования. Перед внесением изменений деактивируйте плагин, а потом снова включите. Надеюсь, то, что перед любым редактированием файлов, надо делать их копии, напоминать не надо.
Теперь плагин безопасности WordPress Login LockDown не позволит злоумышленнику попасть в админку путем подбора пароля. Конечно, это не гарантирует 100% защиты WordPress от взлома и других неприятностей. Но каждый вид защиты блога будет по кирпичику строить стену перед неприятелем. Чем эта стена выше, тем спокойнее Вы будете спать по ночам.
Необходимо хорошо запомнить, что уделять внимание вопросам безопасности блога надо не меньше, чем написанию уникального контента и продвижению в поисковых системах. В следующих статьях я еще не раз вернусь к этой теме. Подписывайтесь на обновления блога , чтобы всегда быть в курсе. До скорых встреч!
Доброго времени суток, уважаемые читатели блога сайт, сегодня я для подготовил статью, в которой вы узнаете, как защитить свой блог при помощи плагина Login LockDown, который входит в группу .
Помогает защитить блог или сайт на CMS WordPress от попытки взлома, путём подбора пароля для входа в административную панель блога. Для wordpress он просто необходим!
Также, чтобы усложнить попытки злоумышленников взломать блог или сайт путём перебора паролей (кстати, такой способ взлома ещё называют брутфорс атакой) вам необходимо создать надёжный длинный пароль (около 20 символов) для входа в админку блога.
Для того, чтобы изменить пароль в левой части административной панели наводим курсор мыши на вкладку « Пользователи» ---->> «Ваш профиль» . Дважды вводим новый пароль, сохраняем его, нажав на кнопку «Обновить профиль» .
Злоумышленнику гораздо сложнее будет взломать сайт брутфорс атакой, если у будет сложный длинный пароль.
Но что делать, если попытки взломать сайт не прекращаются и как ещё обезопасить админку блога или сайта от взлома?
Принцип работы плагина
Принцип работы заключается в следующем: Login LockDown фиксирует точное время попытки взлома, а также IP-адрес, с которого злоумышленник сделал попытку входа в админку блога.
Если за определённый промежуток времени будет сделано установленное количество неудачных попыток входа(вы сами устанавливаете в плагине) в административную панель блога, плагин выдаст следующее сообщение:
“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.
Кроме того, вам будет предоставлен список IP — адресов, с которых совершались неудачные попытки взлома, вы также сможете их разблокировать в настройках.
Настройка и установка Login LockDown
Итак, скачиваете Login LockDown вот здесь .
А теперь переходим непосредственно к настройкам:
Для этого необходимо в левой части нажмите на «Параметры» --->>"Login LockDown" .
На скриншоте приведён пример стандартных настроек, я же расскажу, что означает каждый пункт настроек, а вы на своё усмотрение можете изменить их.
Не забудьте нажать на «Update Settings» , чтобы изменённые данные сохранились.
А теперь давайте разберем, что произойдёт при неправильном вводе пароля, если у стоят настройки по умолчанию. Если пароль будет вводиться более трёх раз (интервал ввода 5 минут), то доступ в административную панель данному IP-адресу будет заблокирован на 60 минут.
Как убрать предупреждение о защите Login LockDown под формой входа в админку блога?
Конечно, разработчик потрудился, создал плагин и его труд хоть как-то должен быть вознаграждён, но оставив эту надпись, мы тем самым предупредим злоумышленника о защите блога плагином Login LockDown, а этого быть не должно.
Для этого необходимо в левой части административной панели перейти на «Плагины --->>Редактор» , затем найти плагин Login LockDown и нажать кнопку «Выбрать».
Находим в файлеlogin-lockdown/loginlockdown.php строчку, указанную в скриншоте ниже и удаляем всё, что находится между кавычками. После этого надпись исчезнет.
Перед редактированием не забудьте отключить плагин, а также сделайте копию этого файла, на всякий случай.
А на этом у меня всё, надеюсь эта статья была полезна для вас. В любом случае, теперь вы знаете ещё один способ как защитить свой блог.
P.S.
С уважением,Александр Сергиенко
Сегодня WordPress самая популярная система управления контентом. И понятно почему: удобство использования и настройки, множество плагинов, бесплатность. Но вместе с этим и большое внимание со стороны злоумышленников. Сайты на Wordptess очень часто становятся мишенью для атак. Причины взлома сайта бывают разные, точнее причина одна — деньги, подходы разные. Одним из способов взлома сайта, в том числе и на WordPress, является брутфорс или по-русски — метод грубой силы (brute force — грубая сила) — это когда пытаются получить доступ к сайту, путем подбора логина и пароля.
Все пользователи WordPress знают, что вход в админ панель сайта находится по адресу site.com/wp-login.php или site.com/wp-admin, с которой вас все равно перебросит на первую. Об это знают и злоумышленники. По этому, если безответственно отнестись к защите админки, то вероятность взлома вашего сайта возрастает в разы. Каким образом можно помешать попасть в админку тем, кому не нужно?
Первое, и самое банальное, но от этого не менее важное — выбор сильного пароля и смена стандартного логина.
Второе — установка специальных плагинов для защиты админки.
Третье — настройка ркдиректов и редактирование файлов WordPress вручную.
И так же, сейчас большинство хостингов со своей стороны предлагает защиту админки.
В этой статье я хочу рассказать про плагин Login Lockdown, который поможет защитить административную панель вашего сайта на WordPress от подбора пароля.
В чем заключается принцип работы плагина? Когда кто-то пытается попасть в вашу админку и неправильно вводит данные, логин или пароль, определенное количество раз за определенный промежуток времени — Login LockDown блокирует IP адрес с которого происходила попытка доступа на определенное количество времени.
Установка плагина
Установить плагин можно через встроенный менеджер WordPress. Для этого в панели управления нужно перейти в Плагины->Добавить новый .
В поле поиска ввести название плагина.
В результатах поиска выбрать плагин и нажать установить.
После установки Login LockDown нужно сразу же его активировать.
Теперь можно переходить к настройке расширения.
Переходим в Настройки->Login LockDown
Настроек у плагина не так много. Коротко пройдемся по ним.
- Max Login Retries — максимальное количество попыток. По умолчанию 3, что означает, что после трех неудачных попыток авторизоваться доступ с этого IP будет заблокирован.
- Retry Time Period Restriction (minutes) — период времени в минутах, за который засчитываются неудачные попытки входа. По умолчанию 5. То есть, если в течении пяти минут будет 3 раза введен неправильный пароль, произойдет блокировка.
- Lockout Length (minutes) — период времени на который блокируется подозрительный IP. По умолчанию 60 мин.
- Lockout Invalid Usernames? — Засчитывать ли неверный логин? По умолчанию отключено. Если функция отключена, то плагин не засчитывает ввод неверного логина. То есть, теоретически, если злоумышленнику известен пароль от админ панели, то он сможет подбирать логин сколько угодно раз.
- Mask Login Errors? — Маскировать ошибки входа? По умолчанию отключено. Если функция отключена, то при вводе неправильных данных появляеться сообщение уведомляющая что именно введено неверно — логин или пароль.
При включенной функции в сообщении не будет уточнено где именно допущена ошибка.
- Show Credit Link? — Показывать ссылку на Login LockDown. На выбор: показывать ссылку на сайт плагина, показывать ссылку но с тегом nofollow или не показывать ссылку.
- Currently Locked Out — список заблокированных IP и время до разблокировки. Здесь же можно разблокировать IP.
Вот что из себя представляет Login LockDown. После изменения настроек сохраните их и теперь ваш блог будет еще немного защищенней.
Предыдущая записьСледующая запись
Одним из первых пунктов по настройке безопасности вашего WordPress сайта должна быть защита авторизации административной панели. В этом нам поможет популярный плагин Login LockDown, который поможет обезопасить вас от перебора паролей и логина вредоносными ботами.
Для того чтобы приступить к работе с Login LockDown вам нужно сначала . После установки в пункт меню Настройки/Login LockDown и приступаем к работе с плагином. Но для начала разберемся в функционале.
Навигация по статье:
Описание работы Login LockDown.
Login LockDown запоминает IP-адрес и ставит метки каждой неудачной попытке входа в систему. Если количество попыток авторизации больше, чем определенное число, указанное в настройках, обнаружены в течение короткого периода времени с того же диапазона IP, то функция Login отключается для всех запросов из этого диапазона. Это помогает предотвратить переборы паролей вредоносными программами и людьми. В настоящее время плагин устанавливает по умолчанию блокировку IP на 1 час после 3 неудачных попыток входа в течение 5 минут. Это можно изменить с панели настройки плагина. Также вы можете освободить заблокированный IP-диапазон вручную.
Перейдя в меню настройки плагина Login LockDown нам станут доступны следующие формы корректировки.
В первом поле формы нам нужно указать максимальное количество неудачных попыток входа, после которого будет включена блокировка IP, данное поле должно иметь не нулевое значение, в противном случае блокировка не сработает.
В следующем пункте нам нужно указать допустимую периодичность ввода неправильных данных. По умолчанию время стоит в одну минуту, то-есть соблюдая временную зону между попытками в одну минуту можно обойти блокировку.
Следующим пунктом настройки Login LockDown является включение блокировки при вводе неправильного логина. При активном Yes блокировка не будет включена.
WordPress уведомляет пользователя о неправильном вводе тех или иных параметров, что может ускорить взлом, по этому рекомендуется отключить эти подсказки. Установив параметр в «Yes».
По умолчанию плагин Login LockDown показывает пользователям ссылку на плагин, для того чтобы остальные могли так же обезопасить свои сайты, рекомендую отключить эту функцию, установив параметр так как показано на картинке.
После ввода всех настроек Login LockDown нажимаем кнопку сохранить изменения. На этом настройка плагина окончена.
Для того что бы убрать блокировку IP в ручном режиме нужно воспользоваться специальной формой, которая расположена в самом низу настроек.
Если такие IP-адреса были заблокированы, тогда вам будет нужно исключить их из списка.
Используя этот простой плагин вы сможете значительно уменьшить риски взлома вашего сайта через авторизацию WordPress, а это один из самых популярных методов взлома.
27.02.2017 Ромчик
Доброго времени суток. В данной статье мы рассмотрим один из вопросов защиты сайта на WordPress, точнее защиту админки WordPress. А если быть точнее, то остановимся на рассмотрении плагина, который позволяет ограничить количество попыток входа в админку WordPress. Мы установим и настроим плагин для WordPress Login LockDown.
Первое необходимо скачать и установить плагин Login LockDown с официального сайта . Установка данного плагина не вызывает сложностей, поэтому и останавливаться на ней не будем.
А вот настройку рассмотрим подробнее.
Возможности плагина – Login LockDown
Плагин позволяет заблокировать ip-адрес на некоторое время, если в течении определенного времени было несколько неудачных попыток авторизации. Для чего это нужно? Это обычная защита от брутфорса (подбора логина и пароля). Вот пример из жизни мой блог, скрин из файла access.log
Как видите, пользователь с ip адресом 124.104.31.203 пытается что-то делать на странице авторизации. А пытался он подобрать логин и пароль. После нескольких попыток его ip адрес был заблокирован.
Настройка плагина – Login LockDown
Переходим Настройки -> Login LockDown и попадаем на страницу настроек плагина.
В первом поле указываем максимальное количество неверных попыток.
Во втором поле указываем в течении какого периода учитываются попытки (указываем в минутах)
В третьем поле указываем период в минутах на какой будем блокировать пользователя.
После всех настроек, жмем «Update Settings»
Все на этом настройки плагина Login LockDown, который служит для защиты WordPress завершены.
Но, если вы обратили внимание, то есть еще одна вкладка «Activity», в которой отображаются заблокированные ip адреса.
Заключение
Мы с вами настроили плагин Login LockDown, который позволяет защитить сайт на WordPress от брутфорс атак.
Чтобы не пропустить выхода новых статей подписываемя.