WordPress, Создание сайтов

Плагин Login LockDown — защита сайта от взлома

Плагин Login LockDown — защита сайта на WordPress от взлома

Приветствую Вас на своем блоге!
Как взламываются сайты? Самый простой и быстрый способ взлома – это подбор логина и пароля в админке. Большинство владельцев интернет-ресурсов оставляют логин администратора по умолчанию, что значительно облегчает задачу взломщикам – им остается только подобрать пароль. Если вы не сделали это ранее, то я настоятельно рекомендую вам сменить стандартное значение «admin» на уникальный логин. Сменить логин и пароль для доступа в панель управления сайтом можно в разделе админки «Пользователи» или через базу данных вашего блога.

Не  будет лишним упомянуть, что пароль должен быть надежным – состоящим из 8 и более символов. Какой пароль для своей учетной записи лучше всего подобрать вы можете узнать прочитав эту статью. Так вы усложните задачу взломщикам.

Еще одним замечательным средством для защиты панели управления Wordpres, от применения злоумышленниками программ для подбора паролей, является плагин Login LockDown.

Действие плагина Login LockDown.

Этот плагин работает по следующему принципу. Он отслеживает, неудачные попытки входа в панель управления интернет-ресурсом и фиксирует IP-адрес и точное время.

Если за определенное время будет зафиксировано несколько неудачных попыток с данного адреса, то плагин заблокирует данного пользователя на время указанное в настройках.
На экран выведется сообщение об ошибке, и взломщик потеряет все шансы на подбор пароля.

Плагин Login LockDown — защита сайта на WordPress от взлома

Установка Login LockDown на сайт.

Как устанавливать плагины в WordPress, я уже рассказывал в этой статье.
Установка плагина Login LockDown не многим отличается от установки других аналогичных инструментов.
Необходимо зайти в админку сайта, выбрать панель «Плагины» и нажать кнопку «Добавить новый».

После этого откроется стандартное окно добавления инструментов, в котором вы можете найти плагин по ключевым словам или же воспользоваться загрузкой файлов со своего ПК, если вы скачали его ранее.
Далее, необходимо подтвердить установку инструмента и активировать его.

Настройка Login LockDown.

Для того чтобы настроить защиту под свои потребности необходимо перейти в настройки плагина.
Для этого нужно выбрать меню «Параметры» и найти в нем плагин безопасности.

Плагин Login LockDown — защита сайта на WordPress от взлома

Перед вами откроется окно с настройками инструмента.

Плагин Login LockDown — защита сайта на WordPress от взлома

Описание настроек плагина Login LockDown.

  • Max Login Retries – отвечает за максимально возможное количество неудачных попыток до срабатывания блокировки;
  • Retry Time Period Restriction – период времени, за который учитывается ввод неравильного пароля к админке. Тут чем больше время поставить, тем безопасней будет;
  • Lockout Length – время, на которое будет заблокирован подозрительный IP-адрес;
  • Lockout Invalid Usernames – этот пункт задает проверку верного ввода логина пользователя.
    То есть, если его не активировать, то логин можно будет подбирать сколько угодно раз. И вход в аккаунт заблокирован не будет, при условии ввода правильного пароля. Лучше его активировать, так увеличивается надежность блога;
  • Mask Login Errors – маскирует ошибку ввода данных на экран злоумышленника.
    Если его не активировать, то на экран будет выводиться подсказка, что именно вы ввели не правильно, логин или пароль.

Плагин Login LockDown — защита сайта на WordPress от взлома

Лучше  активировать эту функцию.

Плагин Login LockDown — защита сайта на WordPress от взлома

Так злодей не поймет, что он ввел не правильно, пароль или логин;

  • Currently Locked Out – список, заблокированных IP и время, оставшееся до разблокирования доступа.

Плагин Login LockDown — защита сайта на WordPress от взлома

Здесь можно отменить блокировку любого IP адреса.
После внесения всех необходимых изменений нажмите кнопку «Update Settings» для того, чтобы они вступили в силу.
Теперь доступ в панель управления сайта будет находиться под защитой плагина и взломщики не смогут применить программы для подбора паролей.

Если у вас не стоит плагин от спама, то рекомендую его установить, это спасет ваш блог от лишнего мусора в комментариях.
Удачи!

Еще по теме:

Напишите что нибудь:

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Обсуждение: 42 комментария

  • Я использую у себя другой плагин для защиты блога от взлома, но суть у него такая же как и тут. Сейчас уже не помню как он называется, но я писал на блоге.

  • Я тоже использую этот плагин, но говорят, что все равно нужно чаще пароли менять.

    Видела однажды блог, который был взломан, так потом объяснила хозяйка. На главной странице появились статьи длина которых более 7000 знаков, на непонятно каком языке,нет форм комментариев, блог не узнать, не знаю, может это что-то другое, но вот такие странные вещи пришлось видеть один раз.

    • Может там все было из — за того что тег more забыли поставить и никакого взлома.

      • Нет, Руслан, я зашла на блог Елены, а у нее вместо обычных статей, публиковались файлы то ли коды какие-то, то ли не знаю что какими-то знаками. Но не HTML тоже, я не спец, но отличить могу. Длина сообщений шрифтом примерно 8p примерно 8000знаков.

  • Лилия написал:

    Хороший способ защиты. Только забавно будет, если часто меняя пароли, подзабудешь и не сможешь войти в админку своего блога ;). Это конечно, же шутка.
    А у вас, Юрий, этот плагин давно стоит? И выводится ли где-то сообщение о попытках взлома? Спасибо.

    • Юрий Хрипачев написал:

      Плагин стоит давно, блокированный ip пока не видел.

    • Вот я тоже не люблю менять пароли. Не знаю нужно ли это? Говорят, что во первых поменять надо имя пользователя admin, я попыталась, но не смогла, выходит сообщение, что невозможно.

      • Алекс написал:

        Светлана, в обязательном порядке надо менять имя пользователя admin. Заметьте, подбираются пароли, а не сам логин, потому что взломщики небезосновательно предполагают, что у большинства логин — admin.

  • Лилия написал:

    Юрий, у вас при открывании страницы, появляется внизу слева окошечко со ссылками на последние статьи. Это сделано плагином или шаблон такой? Спасибо.

    • Юрий Хрипачев написал:

      Лилия, это шаблон такой.

  • Ramazan написал:

    Советую просто в .htaccess добавить защиту на файл site.com/wp-admin добавив это:

    order deny,allow
    deny from all
    allow from 12.34.36.11

    Айпи только свой укажите.

  • Я такой плагин тоже ставил, а потом сменил на Better WP Security. Там куча возможностей и настроек. Можно, в частности, даже префикс базы данных сменить.

  • Лилия написал:

    Юрий, какие-то другие защитные плагины для блога вы используете? Мне очень интересно узнать какие плагины для защиты нужно ставить в обязательном порядке.

    • Юрий Хрипачев написал:

      Конечно использую, как нибудь опишу эти плагины. В данном комментарии пока не буду этого делать.

      • Лилия написал:

        Я и расчитывала на это, что вы опишите в новой статье про плагины безопасности. Ведь это важный момент в блоггинге и нужен всем. А новичкам самим разобраться в этом сложно. Так что буду ждать этого обзора. Спасибо.

        • gimp2 написал:

          Лилия, плагин Login LockDown, описанный в статье Юрием, стоит на большинстве сайтов. Зачем ещё другие? Не забывайте только обновляться.

      • gimp2 написал:

        Если Вы не против я постараюсь посмотреть, какие плагины Вы используете.

        • Юрий Хрипачев написал:

          У меня такое чувство, что блог хотят взломать…

          • gimp2 написал:

            Юрий, что Вы такое говорите! Даже не взлом, а простое сканирование без согласия владельца на предмет уязвимостей подпадает под статьи УК. Поэтому нужно согласие. Можете сами проверить себя программой wpscan, она Вам всё выведет, все Ваши плагины, а также возможные уязвимости в них и со ссылками на эту уязвимость и как её использовать.

          • gimp2 написал:

            Добавлю, wpscan не так просто установить. Тем более что у Вас админка закрыта, я не знаю, будет ли она в этом случае работать. Ради интереса поставьте программу себе на комп и попробуйте. Потом расскажете.

  • В одного моего знакомого блогера, недавно был взломан блог, после чего в выдаче появилось около тысячи на понятных проиндексированных статей, ведущие на разные сайты.

    Он написал в Яндекс, ему по советовали постоянно обновлять движок Вордпрес или другой, так как в старых версиях находят изяны, с помощью которых и проходит взлом. Но как говорят «В работе все способы важны».

    • Лилия написал:

      А вот обновление всяких программ и приложений тоже обязательно ли? Это влияет на безопасность компьютера? Спасибо.

      • Обновления плагинов и движков, влияет, по поводу программ или приложений на 99% не уверен, но думаю не помешает, так как злоувмишленкии могут найти лазейку и через них!

      • gimp2 написал:

        Программы на ваш сайт никто не позволит вам поставить. Поэтому их и обновлять не надо. Для установки программ существует совсем другое.

    • gimp2 написал:

      Мне про один из плагинов написали так:
      | Name: all-in-one-seo-pack v1.6.15.3
      | Location: имя сайта/wp-content/plugins/all-in-one-seo-pack/
      | Readme: имя сайта/wp-content/plugins/all-in-one-seo-pack/readme.txt
      |
      | * Title: All in One SEO Pack <= 2.0.3 — XSS Vulnerability
      | * Reference: archives.neohapsis.com/archives/bugtraq/2013-10/0006.html
      | * Reference: packetstormsecurity.com/files/123490/
      | * Reference: securityfocus.com/bid/62784
      | * Reference: seclists.org/bugtraq/2013/Oct/8
      | * Reference: cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-5988
      | * Reference: secunia.com/advisories/55133
      | * Reference: osvdb.org/98023
      | * Fixed in: 2.0.3.1
      Я понял так, что установленный плагин версии v1.6.15.3 имеет уязвимость до версии 2.0.3. И только в версии 2.0.3.1 она исправлена. А по ссылкам можно узнать о характере этой уязвимости.

  • Алекс написал:

    «фиксирует IP-адрес» это дилетанты со своего IP заходят. К тому же на одном IP может находится несколько сотен пользователей и блокировка IP заблокирует вход сотням другим. Но другого варианта, к сожалению, не остаётся.

    • Да Алекс, блокировка IP злая шутка, могут пострадать невинные люди, у которых IP адрес совпадает. Помню я на каком то сайте было голосование, то меня не пускало голосовать, писало что с вашего IP уже проголосовано, а мой брат в день по 10 раз голосовал с 3G модема.

  • Ещё сам провайдер может заблокировать сайт, если идёт взлом многих сайтов на сервере.
    У меня один раз было такое, он уведомил о временной блокировке в своём письме.

  • Мимо написал:

    Если у Вас устойчивый пароль ко взлому, а плагина нет, то хакер будет перебирать пароли часами. Это грузит Ваш сайт и ни Вы, ни пользователь не сможете зайти на него. Ещё и хостер выключит его.

  • Мимо написал:

    На сайте howsecureismypassword точка net проверяется, как быстро можно сломать Ваш пароль.

  • gimp2 написал:

    «сменить стандартное значение «admin» на уникальный логин» — этого мало. Нужно ещё ник придумывать. В статьях же написано, кто автор.

    • Юрий Хрипачев написал:

      Уникальный логин — это и есть ник. Автор, автором, а логин(ник), это уже другая история. Я же не ввожу в поле «Login» — Юрий Хрипачев.

      • gimp2 написал:

        Согласен, что не вводите. А что Вы для этого сделали? Не только же новый логин придумали. А admin’а куда дели? У него права какие? Если admin остался, нужно понизить его права. Или я заблуждаюсь?

        • Юрий Хрипачев написал:

          admina нужно вообще удалить, он не нужен. Ник нужно сразу брать другой, тогда admina не будет.

  • Также нужно создать сложный пароль, с использованием букв (Больших и маленьких), а также цифр.

  • gimp2 написал:

    Это понятно, что сложный. Но пользователям нравятся простые, хотя простой пароль можно продублировать дважды или трижды. И будет сложный пароль.

  • gimp2 написал:

    Юрий, Вы смогли wpscan установить или считаетет это излишним?

    • Юрий Хрипачев написал:

      Я не ставил его, пока не вижу необходимости.

      • gimp2 написал:

        Понятно. Но на каждом сайте wpscan находит свои уязвимости.

  • gimp2 написал:

    Посмотрел по поиску на сайте Плагин и обнаружил, что нет статьи про плагин кэширования страниц. Надеюсь, в скором времени появится статья о нём.

  • Вот недавно заходила на один популярный сайт, а его взломали. И уведомление хакеров об этом имелось. А, спрашивается, зачем? Через сутки где-то владелец смог восстановить доступ к блогу, но, думаю, ему было очень неприятно.
    Сама использую этот плагин, но все же не уверена, что это надежная защита…