Lockdown-Plugin. WordPress-Schutz – Login LockDown-Plugin. Installieren und Konfigurieren des Login LockDown-Sicherheits-Plugins

💖 Gefällt es dir? Teilen Sie den Link mit Ihren Freunden
0

(Letztes Update: 02.12.2019)

Hallo zusammen! Heute reden wir über die Sicherheit Ihrer WordPress-Website/Ihres WordPress-Blogs. Um ruhig schlafen zu können, müssen Sie für Sicherheit sorgen. Der häufigste Weg, es zu hacken, besteht darin, ein Passwort und einen Benutzernamen auszuwählen, um sich in Ihrem Admin-Panel anzumelden (Schutz dagegen). Wenn aus irgendeinem Grund schlechte Leute Ihr Login erfahren, wird es nicht schwierig sein, ein Passwort für sie zu wählen.

WordPress-Administrator: Hacking-Schutz

Warten Sie nicht, bis Ihre Website gehackt wird, bevor Sie sich um Sicherheitspraktiken kümmern. Jetzt ist es an der Zeit, die Anzahl der Anmeldeversuche auf Ihrer WP-Site zu begrenzen. Lasst uns, liebe Freunde, den Angreifern diese Aufgabe erschweren. Wie kann ich Anmeldeversuche in WordPress begrenzen? Verwendung des kostenlosen Login LockDown-Plugins.

Sagt Michael Heymans ():

Sicherheit hat bei der Arbeit an jeder Website Priorität, daher nutzen wir jede Gelegenheit, um sie zu gewährleisten. Eine zusätzliche Schutzebene bietet das Login Lockdown-Plugin. Es schützt den WordPress-Administrator vor Hackerangriffen, indem es das Anmeldekennwort errät. Wenn von einem IP-Bereich aus zu viele Anmeldeversuche unternommen werden und das Limit erreicht ist, blockiert die Anmeldesperre alle Anfragen aus diesem Bereich.

Jeder Besitzer einer WordPress-Website stößt von Zeit zu Zeit auf Probleme, die wahrscheinlich mit einigen praktischen Backend-Plugins gelöst werden könnten. Sie müssen nicht schnell oder weit gehen. Das hat WordPress so beliebt gemacht, oder? Plugins sind praktisch und können viele Probleme lösen, was besonders nützlich ist, wenn Sie kein Entwickler sind oder keine Fachkenntnisse haben.

WordPress-Sicherheit – Login-LockDown-Plugin

Eine zusätzliche Schutzebene bietet das Login Lockdown-Plugin

Plugin für WordPress Login LockDown Begrenzt die Anzahl der Anmeldeversuche von einem bestimmten IP-Adressbereich innerhalb eines bestimmten Zeitraums. Es dient dem zuverlässigen Schutz Ihres WordPress-Kontrollfelds.

Über das Login LockDown-Plugin

Login LockDown zeichnet die IP-Adresse und den Zeitstempel jedes fehlgeschlagenen Anmeldeversuchs auf. Wenn innerhalb kurzer Zeit mehr als eine bestimmte Anzahl von Versuchen aus demselben IP-Adressbereich erkannt werden, wird die Anmeldefunktion für alle Anfragen aus diesem Bereich deaktiviert. Dadurch wird verhindert, dass das Passwort durch Brute-Force-Angriffe entdeckt wird.

Derzeit ist das Plugin standardmäßig für 1 Stunde von der IP-Blockierung nach 3 blockiert erfolglose Versuche Melden Sie sich innerhalb von 5 Minuten an. Mit anderen Worten: Sie werden für eine Stunde gesperrt, wenn Sie innerhalb von 5 Minuten dreimal das Passwort falsch eingeben. Dies kann über das Einstellungsfeld geändert werden. Administratoren können blockierte IP-Bereiche manuell über das Panel freigeben.

Plugin installieren und konfigurieren

Natürlich kann ein Plugin Ihren Blog nicht vollständig schützen; es sind zusätzliche Maßnahmen erforderlich, über die ich auf den Seiten meines Blogs schreiben werde. Dies wird jedoch später passieren, aber gehen Sie jetzt bitte zum Admin-Bereich, um das Plugin zu installieren. Abschnitt – Plugins – Neu hinzufügen. Geben Sie den Namen Login LockDown in das Suchfeld ein:

Suchen Sie nach einem Plugin

Das gesuchte Plugin wird als erstes in der Liste angezeigt. Klicken Sie auf „Installieren“ und dann auf „Plugin aktivieren“:

Installieren des Plugins mit der Standardmethode

Der nächste Schritt besteht darin, es zu konfigurieren. Abschnitt Einstellungen – klicken Sie auf den Namen des Moduls.

WordPress-Administratorschutz

Geben Sie auf der Seite, die sich öffnet – Anmeldeblockierungsoptionen – Folgendes an:

  • Die maximale Anzahl der Anmeldeversuche beträgt beispielsweise 3;
  • Begrenzen Sie den Wiederholungszeitraum (Minuten), zum Beispiel 5;
  • Sperrzeit in Minuten, zum Beispiel 180;
  • Ungültige Benutzernamen blockieren? - Ja;
  • Anmeldefehler? - Ja.

Seite mit Plugin-Einstellungen

Klicken Sie auf „Einstellungen aktualisieren“. Bereit. So sah das Admin-Anmeldeformular ohne das Plugin aus:

Melden Sie sich im WordPress-Administrationsbereich an

Und jetzt wird es ungefähr so ​​sein:

Anmeldeformular mit Plugin

Abschließend

Die erste Sicherheitsebene für Ihre WordPress-Site ist das Passwort selbst. Sie müssen immer wählen Sicheres Passwort für Ihre Webressource. Lesen Sie für alle Fälle, was zu tun ist, wenn Sie... Keine Website ist zu 100 % sicher, da böse Menschen immer neue Wege finden, die Sicherheit zu umgehen. Deshalb ist es äußerst wichtig, die Sättigung aufrechtzuerhalten Backups Ihre WordPress-Site.

Ich hoffe, dieser Beitrag hat Ihnen dabei geholfen, Ihrer WordPress-Site ein Limit für Anmeldeversuche hinzuzufügen. Das ist alles für mich. Viel Erfolg. Alle besten Freunde. Tschüss!

(function(w, d, n, s, t) ( w[n] = w[n] || ; w[n].push(function() ( Ya.Context.AdvManager.render(( blockId: "R-A -292864-4", renderTo: "yandex_rtb_R-A-292864-4", async: true )); )); t = d.getElementsByTagName("script"); s = d.createElement("script"); s .type = "text/javascript"; s.src = "//an.yandex.ru/system/context.js"; s.async = true; t.parentNode.insertBefore(s, t); ))(this , this.document, "yandexContextAsyncCallbacks");

Login LockDown zeichnet die IP-Adresse und den Zeitstempel jedes fehlgeschlagenen Anmeldeversuchs auf. Wenn mehr als ein
Innerhalb eines kurzen Zeitraums wird eine bestimmte Anzahl von Versuchen erkannt
IP-Bereich, dann ist die Anmeldefunktion für alle Anfragen aus diesem Bereich deaktiviert.
Dies trägt dazu bei, die Erkennung von Passwörtern durch Brute-Force-Angriffe zu verhindern. Derzeit ist das Plugin standardmäßig voreingestellt
zu einer einstündigen Sperrung einer IP-Sperre nach 3 fehlgeschlagenen Anmeldeversuchen innerhalb von 5 Minuten. Dies kann geändert werden
über das Optionsfeld. Administratoren können gesperrte IP-Bereiche manuell über das Panel freigeben.

Installation

  1. Extrahieren Sie die ZIP-Datei in Ihr Plugins-Verzeichnis in einen eigenen Ordner.
  2. Aktivieren Sie das Plugin in den Plugin-Optionen.
  3. Passen Sie die Einstellungen bei Bedarf im Optionsfeld an.

Rezensionen

Ich mag dieses Plugin und verwende es auf einer Reihe von Websites, für die ich Webmaster bin. Falls es hilft, finden Sie hier einige Gedanken dazu, wie/warum ich das Plugin konfiguriert habe. Ich belasse die ersten 3 Einträge als Standard (3,5,60). Sie scheinen mir ideal zu sein. Ich habe die Sperrung ungültiger Benutzernamen eingestellt? zu JA. Wenn sie den Benutzernamen nicht kennen, warum versuchen sie sich dann anzumelden? Ich bin vorsichtig, damit ich mich nicht aussperre. Ich habe „Anmeldefehler maskieren?“ festgelegt. zu JA. Verweigert Personen, die versuchen, sich anzumelden, obwohl sie es nicht sollten, nützliche Informationen. Warum ihnen helfen? Ich habe Show Credit Link? auf NEIN gesetzt Plugin, damit sie ihre Blogs schützen können, teilen auch Personen, die versuchen, sich einzuloggen, wenn sie es nicht sollten, mit, welche Sicherheit ich verwende. Dies ist ein eher untergeordneter Punkt, fällt jedoch auch unter die „Need-to-know-Richtlinie“ – das tun sie nicht .

Ich habe im Allgemeinen keine Probleme mit diesem Plugin und gehe davon aus, dass es gut funktioniert, um meine Website vor Hackern zu schützen. Das einzige Problem, das ich habe, ist, dass es mich von Zeit zu Zeit aussperrt, obwohl ich genau weiß, dass ich nicht mehrmals erfolglos versucht habe, mich anzumelden.

Ich begrüße Sie bei mir!
Wie werden Websites gehackt? Das einfachste und schneller Weg Hacking ist die Auswahl von Login und Passwort im Admin-Panel. Die meisten Besitzer von Internetressourcen belassen den Administrator-Login standardmäßig, was Hackern die Aufgabe erheblich erleichtert – sie müssen lediglich das Passwort erraten. Wenn Sie dies noch nicht getan haben, empfehle ich Ihnen dringend, den Standardwert „admin“ in einen eindeutigen Login zu ändern. Sie können den Benutzernamen und das Passwort ändern, um im Admin-Bereich „Benutzer“ oder über die Datenbank Ihres Blogs auf das Site-Kontrollfeld zuzugreifen.

Es wäre nicht überflüssig zu erwähnen, dass das Passwort sicher sein muss – bestehend aus 8 oder mehr Zeichen. Wie lautet das Passwort für Ihr Konto Sie können die beste Wahl herausfinden, indem Sie dies lesen. Dadurch wird es für Einbrecher schwieriger.

Ein weiteres großartiges Tool zum Schutz des WordPress-Kontrollfelds vor der Verwendung von Programmen zum Erraten von Passwörtern durch Angreifer ist Login-LockDown-Plugin.

Login-LockDown-Plugin-Aktion.

Dieses Plugin funktioniert nach folgendem Prinzip. Es verfolgt erfolglose Anmeldeversuche im Control Panel einer Internetressource und zeichnet die IP-Adresse und die genaue Uhrzeit auf.

Wenn innerhalb einer bestimmten Zeit mehrere erfolglose Versuche registriert werden angegebene Adresse, dann blockiert das Plugin diesen Benutzer für die in den Einstellungen angegebene Zeit.
Auf dem Bildschirm wird eine Fehlermeldung angezeigt und der Angreifer verliert jede Chance, das Passwort zu erraten.

Installieren von Login LockDown auf der Website.

Ich habe in diesem Artikel bereits darüber gesprochen, wie man Plugins in WordPress installiert.
Die Installation des Login LockDown-Plugins unterscheidet sich nicht wesentlich von der Installation anderer ähnlicher Tools.
Sie müssen zum Site-Administrationsbereich gehen, den Bereich „Plugins“ auswählen und auf die Schaltfläche „Neu hinzufügen“ klicken.

Danach öffnet sich ein Standardfenster zum Hinzufügen von Tools, in dem Sie das Plugin finden Schlüsselwörter Oder laden Sie Dateien von Ihrem PC herunter, wenn Sie diese zuvor heruntergeladen haben.
Als nächstes müssen Sie die Installation des Tools bestätigen und aktivieren.

Einrichten der Anmeldesperre.

Um den Schutz Ihren Bedürfnissen entsprechend zu konfigurieren, müssen Sie zu den Plugin-Einstellungen gehen.
Wählen Sie dazu das Menü „Optionen“ und suchen Sie darin das Sicherheits-Plugin.

Vor Ihnen öffnet sich ein Fenster mit Werkzeugeinstellungen.

Beschreibung der Einstellungen des Login LockDown-Plugins.

  • Max. Login-Wiederholungsversuche – verantwortlich für die maximal mögliche Anzahl erfolgloser Versuche, bevor die Blockierung ausgelöst wird;
  • Beschränkung des Wiederholungszeitraums – der Zeitraum, für den die Eingabe eines falschen Passworts in das Admin-Panel berücksichtigt wird. Hier gilt: Je mehr Zeit Sie einstellen, desto sicherer wird es;
  • Sperrdauer – Zeit, für die die verdächtige IP-Adresse blockiert wird;
  • Ungültige Benutzernamen sperren – Dieses Element prüft, ob die Benutzeranmeldung korrekt eingegeben wurde.
    Das heißt, wenn Sie es nicht aktivieren, kann der Login beliebig oft ausgewählt werden. Und die Anmeldung bei Ihrem Konto wird nicht blockiert, sofern Sie das richtige Passwort eingeben. Es ist besser, es zu aktivieren, das erhöht die Zuverlässigkeit des Blogs;
  • Anmeldefehler maskieren – maskiert einen Dateneingabefehler auf dem Bildschirm des Angreifers.
    Wenn Sie es nicht aktivieren, wird auf dem Bildschirm ein Hinweis angezeigt, dass Sie Ihren Benutzernamen oder Ihr Passwort falsch eingegeben haben.

Es ist besser, diese Funktion zu aktivieren.

Auf diese Weise erkennt der Bösewicht nicht, dass er das Passwort oder die Anmeldung falsch eingegeben hat;

  • Derzeit gesperrt – Liste der gesperrten IPs und verbleibende Zeit bis zur Freigabe des Zugriffs.

Hier können Sie jede IP-Adresse entsperren.
Nachdem Sie alle erforderlichen Änderungen vorgenommen haben, klicken Sie auf die Schaltfläche „Einstellungen aktualisieren“, damit diese wirksam werden.
Jetzt wird der Zugriff auf das Control Panel der Site durch das Plugin geschützt und Hacker können keine Programme verwenden, um Passwörter zu erraten.

Die Sicherheit der Website hat bei der Entwicklung eines Webprojekts Priorität, und die Sicherheit von WordPress bildet da keine Ausnahme. Versuche des unbefugten Zugriffs auf die Blog-Verwaltung kommen im Leben eines Webmasters vor, auch wenn sie nicht allgegenwärtig sind ...

Um Ihre Website vor eklatanten Hackerangriffen zu schützen, können Sie durch Auswahl der Eingabedaten den Zugriff auf den Verwaltungsbereich einschränken. Dazu können Sie die Priorität nur für vertrauenswürdige IP-Adressen belassen oder die Anzahl der Autorisierungsfehler begrenzen.

Ein beliebtes Tool für Blogger im Kampf gegen Rekrutierung ist das kostenlose Plugin – Login LockDown. Dieses hochspezialisierte Add-on zielt darauf ab, Autorisierungsversuche, also die Anmeldung an der WordPress-Konsole, zu verfolgen.
Eine Besonderheit des Plugins ist die Flexibilität seiner Einstellungen, die es dem Administrator ermöglicht, jeden Anmeldeversuch zu verzögern, auf eine bestimmte Anzahl zu beschränken und dann den Angreifer (seine IP-Adresse) für lange Zeit zu blockieren!

Installation und Aktivierung

Sie können das Add-on im Rahmen Ihrer Möglichkeiten installieren FTP-Zugang, bevor Sie das Archiv mit dem Plugin herunterladen - https://wordpress.org/plugins/login-lockdown/
Oder gehen Sie zum Abschnitt „Plugins“ im Admin-Bereich, klicken Sie oben auf „Neu hinzufügen“, geben Sie dann den Namen in die Suchleiste ein und drücken Sie die Eingabetaste. Wir installieren das erste Ergebnis und aktivieren es dann.

Plugin-Einstellungen

Wie bereits erwähnt, ist die Anzahl der LoginLockDown-Optionen gering und stellt nur funktionale Parameter dar. Nach der Aktivierung arbeitet das Plugin mit Standardwerten, die von den meisten Benutzern bevorzugt werden.
Erweitern Sie im Panel den Abschnitt „Einstellungen“, in dem Sie den Eintrag „Login LockDown“ finden, klicken Sie darauf und gehen Sie zur Einstellungsseite „ Login-Sperroptionen»:

  1. Max. Anmeldewiederholungen – die Anzahl der Autorisierungsversuche, nach denen die Adresse blockiert wird. Der Standardwert ist 3 (wir empfehlen nicht, mehr als 5 Versuche festzulegen).
  2. Beschränkung des Wiederholungszeitraums (Minuten) – die Anzahl der Minuten zwischen Anmeldeversuchen, standardmäßig 2 Minuten (es ist besser, sie zu reduzieren, damit sich der Benutzer bald erneut anmelden kann).
  3. Sperrdauer (Minuten) – die Anzahl der Minuten, die eine IP-Adresse blockiert wird, standardmäßig 120 (2 Stunden), es ist durchaus möglich, sie bei entsprechendem Gefahrenniveau zu erhöhen.
  4. Ungültige Benutzernamen sperren? – Option zum Deaktivieren von Plugin-Funktionen für nicht registrierte Namen (Logins). Wir aktivieren es nach eigenem Ermessen, da die Auswahl eines nicht vorhandenen Login-Passwort-Paares keine Gefahr darstellt.
  5. Anmeldefehler maskieren? – Option zum Deaktivieren von Autorisierungsfehlern. Der Benutzer wird nicht benachrichtigt, wenn der Benutzername oder das Passwort falsch ist.
  6. Credit-Link anzeigen? – Option zum Anzeigen eines Links zur offiziellen Website des Plugins (Werbung für Login LockDown-Entwickler). Wird standardmäßig angezeigt. Zum Deaktivieren klicken Sie auf das dritte Kontrollkästchen.
  7. Einstellungen aktualisieren – Schaltfläche zum Aktualisieren der Einstellungen, klicken Sie am Ende, um die vorgenommenen Änderungen zu speichern.
  8. Derzeit gesperrt – Bereich mit einer Liste der gesperrten Adressen. Es ist möglich, die IP für vertrauenswürdige Personen zu löschen, die keinen Zugriff auf das Admin-Panel erhalten haben.

Anstelle eines Nachworts

Auf diese Weise können Sie den Zugriff auf den WordPress-Administrationsbereich unauffällig einschränken und eine automatische oder manuelle Auswahl ausschließen. Das Login LockDown-Plugin wird regelmäßig aktualisiert, was die Kompatibilität mit aktuellen Versionen des CMS anzeigt.

27.02.2017 Romchik

Guten Tag. In diesem Artikel befassen wir uns mit einem der Probleme beim Schutz einer Website auf WordPress, genauer gesagt beim Schutz des WordPress-Administrationsbereichs. Um genauer zu sein, schauen wir uns ein Plugin an, mit dem Sie die Anzahl der Anmeldeversuche im WordPress-Administrationsbereich begrenzen können. Wir installieren und konfigurieren das WordPress Login LockDown-Plugin.

Zuerst müssen Sie das Login LockDown-Plugin von der offiziellen Website herunterladen und installieren. Die Installation dieses Plugins ist nicht schwierig, daher werden wir nicht weiter darauf eingehen.

Schauen wir uns die Einstellung genauer an.

Plugin-Funktionen –Anmeldung Sperrung

Das Plugin ermöglicht es Ihnen, eine IP-Adresse für eine Weile zu sperren, wenn es über einen bestimmten Zeitraum hinweg mehrere erfolglose Anmeldeversuche gab. Wofür ist das? Dies ist ein normaler Schutz gegen Brute Force (Erraten von Benutzernamen und Passwörtern). Hier ist ein Beispiel aus dem Leben, mein Blog, Screenshot aus der Datei access.log

Wie Sie sehen, versucht ein Benutzer mit der IP-Adresse 124.104.31.203, etwas auf der Anmeldeseite zu tun. Und er versuchte, den Benutzernamen und das Passwort zu erraten. Nach mehreren Versuchen wurde seine IP-Adresse gesperrt.

Plugin-Setup – Login LockDown

Gehen Sie zu Einstellungen -> Anmeldesperre und gelangen Sie zur Seite mit den Plugin-Einstellungen.

Im ersten Feld geben wir die maximale Anzahl an Fehlversuchen an.

Im zweiten Feld geben wir an, in welchem ​​Zeitraum Versuche berücksichtigt werden (Angabe in Minuten)

Im dritten Feld geben wir den Zeitraum in Minuten an, für den wir den Benutzer sperren.

Klicken Sie nach allen Einstellungen auf „Einstellungen aktualisieren“.

Die Einstellungen für das Login LockDown-Plugin, das zum Schutz von WordPress dient, sind abgeschlossen.

Aber falls Sie es bemerkt haben, gibt es eine weitere Registerkarte „Aktivität“, auf der blockierte IP-Adressen angezeigt werden.

Abschluss

Wir haben das Login LockDown-Plugin konfiguriert, mit dem Sie Ihre WordPress-Website vor Brute-Force-Angriffen schützen können.

Abonnieren Sie, um die Veröffentlichung neuer Artikel nicht zu verpassen.



Freunden erzählen
Twitter
Gerät mit...
Nächster Artikel
Lesen Sie auch
Bürosoftware für ein Tourismusunternehmen. Automatisierungsprogramm für eine Selbstreise eines Reisebüros
Bürosoftware für ein Tourismusunternehmen. Automatisierungsprogramm für eine Selbstreise eines Reisebüros
2023-10-23 00:05:22
VKontakte: Eine schnelle Passwortwiederherstellung ist nicht verfügbar
VKontakte: Eine schnelle Passwortwiederherstellung ist nicht verfügbar
2023-10-22 00:02:31
Autoclicker für Maus und Tastatur Der Download von Autoclicker ist sehr schnell
Autoclicker für Maus und Tastatur Der Download von Autoclicker ist sehr schnell
2023-10-22 00:02:31
Klassenkameraden arbeiten nicht!
Klassenkameraden arbeiten nicht!
2023-10-22 00:02:31