Плагин lockdown. Защита WordPress – плагин Login LockDown. Установка и настройка плагина безопасности Login LockDown

💖 Нравится? Поделись с друзьями ссылкой
0

(Последнее обновление: 02.12.2019)

Всем привет! Сегодня поговорим о безопасности своего сайта/блога ВордПресс . Чтобы спать спокойно нужно обязательно обеспечить безопасность . Самый распространенный способ для его взлома это - подбор пароля и имя пользователя для входа в вашу админпанель (защита от этого - ). Если по каким то причинам, плохие люди узнают ваш логин, тогда подобрать пароль для них не составит большого труда.

Админка WordPress: защита от взлома

Не ждите, пока ваш сайт будет взломан, чтобы вы начали заботиться о методах безопасности. Самое время ограничить количество попыток входа на ваш сайт WP. Давайте дорогие друзья усложним злоумышленникам эту задачу. Как ограничить число попыток входа в WordPress? При помощи бесплатного плагина Login LockDown.

Говорит Майкл Хейманс ():

Безопасность – это приоритетное направление в работе над любым сайтом, поэтому мы используем все возможности для ее обеспечения. Дополнительный уровень защиты предоставляет плагин Login Lockdown. Он защищает админку WordPress от взлома с помощью подбора пароля для входа. Если с какого-то IP-диапазона осуществляется чрезмерное количество попыток входа, по достижении предела Login Lockdown блокирует все запросы из этого диапазона.

Каждый владелец веб-сайта на WordPress время от времени сталкивается с проблемами, которые, вероятно, могли бы быть решены с помощью удобных внутренних плагинов. И быстро, и далеко ходить не нужно. Вот, что сделало WordPress таким популярным, правда? Плагины удобны и могут решать множество задач, что особенно полезно в том случае, если вы не являетесь разработчиком или вам не хватает профессиональных скиллов.

Защита WordPress – плагин Login LockDown

Дополнительный уровень защиты предоставляет плагин Login Lockdown

Плагин для ВордПресс Login LockDown ограничивает количество попыток входа в систему с заданного диапазона IP-адресов в течение определенного периода времени. Он для надежной защиты вашей панели управления WordPress.

О плагине Login LockDown

Login LockDown записывает IP-адрес и метку времени каждой неудачной попытки входа в систему. Если в течение короткого периода времени из одного и того же диапазона IP-адресов обнаружено более определенного количества попыток, функция входа в систему будет отключена для всех запросов из этого диапазона. Это помогает предотвратить обнаружение пароля методом перебора.

В настоящее время плагин по умолчанию блокируется на 1 час из IP-блока после 3 неудачных попыток входа в систему в течение 5 минут. Иначе говоря, вы будете заблокированы на один час если за 5 минут неправильно введете пароль 3 раза. Это можно изменить через панель Настройки. Администраторы могут освобождать заблокированные диапазоны IP-адресов вручную с панели.

Установка и настройка plagina

Конечно одним плагином полностью не защитить ваш блог, нужны ещё дополнительные меры, о чем я буду писать на страницах моего блога. Но это будет позже, а сейчас пожалуйста перейдите для установки плагина в админку. Раздел - Плагины - Добавить новый. В окно поиска введите название Login LockDown:

Поиск плагина

Искомый плагин будет в списке первый, нажмите "Установить", затем "Активировать плагин":

Установка плагина стандартным способом

Следующий шаг это - его настройка. Раздел Настройки - клик на название модуля.

Защита админки WordPress

На открывшейся странице -Параметры блокировки входа в систему - укажите:

  • Максимальное количество попыток входа например, 3;
  • Ограничение периода времени повтора (минут) например, 5;
  • Время блокировки в минутах например, 180;
  • Блокировка неверных имен пользователей? - Да;
  • Ошибки входа в систему? - Да.

Страница настроек плагина

Нажмите "Обновить настройки". Готово. Вот как выглядела форма для входа в админку без плагина:

Вход в админпанель WordPress

А теперь будет примерно так:

Вход форма с плагином

В заключение

Первый уровень защиты вашего сайта WordPress – это сам пароль. Вы должны всегда выбирать надежный пароль для своего веб-ресурса. На всякий случай читайте, что делать если вы . Нет на 100% защищенных сайтов, так как плохие люди всегда находят новые способы обойти защиту. Именно поэтому крайне важно все время сохранять полные резервные копии вашего сайта WordPress.

Я надеюсь, что этот пост помог вам добавить ограничение на количество попыток входа на ваш сайт WordPress. На этом у меня все. Удачи вам. Всего хорошего друзья. Пока, пока!

(function(w, d, n, s, t) { w[n] = w[n] || ; w[n].push(function() { Ya.Context.AdvManager.render({ blockId: "R-A-292864-4", renderTo: "yandex_rtb_R-A-292864-4", async: true }); }); t = d.getElementsByTagName("script"); s = d.createElement("script"); s.type = "text/javascript"; s.src = "//an.yandex.ru/system/context.js"; s.async = true; t.parentNode.insertBefore(s, t); })(this, this.document, "yandexContextAsyncCallbacks");

Login LockDown records the IP address and timestamp of every failed login attempt. If more than a
certain number of attempts are detected within a short period of time from the same
IP range, then the login function is disabled for all requests from that range.
This helps to prevent brute force password discovery. Currently the plugin defaults
to a 1 hour lock out of an IP block after 3 failed login attempts within 5 minutes. This can be modified
via the Options panel. Administrators can release locked out IP ranges manually from the panel.

Installation

  1. Extract the zip file into your plugins directory into its own folder.
  2. Activate the plugin in the Plugin options.
  3. Customize the settings from the Options panel, if desired.

Reviews

I like this plugin and use it on a number of websites I am a webmaster for. In case it helps, here are some thoughts on how/why I have configured the plugin. I leave the first 3 entries as default (3,5,60). They seem ideal to me. I set Lockout Invalid Usernames? to YES. If they don"t know the Username, why are they trying to login? I am careful, so I won"t lock myself out. I set Mask Login Errors? to YES. Denies useful intelligence to people who are trying to login when they shouldn"t. Why help them? I set Show Credit Link? to NO. I love helping people - and as it happens it"s my professional work - however telling people about the plugin so they can protect their blogs also tells people who are trying to login when they shouldn"t what security I am using. This is a more minor point, however it also falls under the "need to know policy" - they don"t.

I generally don"t have issues with this plugin and I assume it"s working well to protect my site from hackers. The only issue I have is that time to time it locks me out although I KNOW for a fact that I haven"t attempted to login unsuccessfully several times.

Приветствую Вас на своем !
Как взламываются сайты? Самый простой и быстрый способ взлома – это подбор логина и пароля в админке. Большинство владельцев интернет-ресурсов оставляют логин администратора по умолчанию, что значительно облегчает задачу взломщикам – им остается только подобрать пароль. Если вы не сделали это ранее, то я настоятельно рекомендую вам сменить стандартное значение «admin» на уникальный логин. Сменить логин и пароль для доступа в панель управления сайтом можно в разделе админки «Пользователи» или через базу данных вашего блога.

Не будет лишним упомянуть, что пароль должен быть надежным – состоящим из 8 и более символов. Какой пароль для своей учетной записи лучше всего подобрать вы можете узнать прочитав эту . Так вы усложните задачу взломщикам.

Еще одним замечательным средством для защиты панели управления Wordpres, от применения злоумышленниками программ для подбора паролей, является плагин Login LockDown .

Действие плагина Login LockDown.

Этот плагин работает по следующему принципу. Он отслеживает, неудачные попытки входа в панель управления интернет-ресурсом и фиксирует IP-адрес и точное время.

Если за определенное время будет зафиксировано несколько неудачных попыток с данного адреса, то плагин заблокирует данного пользователя на время указанное в настройках.
На экран выведется сообщение об ошибке, и взломщик потеряет все шансы на подбор пароля.

Установка Login LockDown на сайт.

Как устанавливать плагины в WordPress, я уже рассказывал в этой .
Установка плагина Login LockDown не многим отличается от установки других аналогичных инструментов.
Необходимо зайти в админку сайта, выбрать панель «Плагины» и нажать кнопку «Добавить новый».

После этого откроется стандартное окно добавления инструментов, в котором вы можете найти плагин по ключевым словам или же воспользоваться загрузкой файлов со своего ПК, если вы скачали его ранее.
Далее, необходимо подтвердить установку инструмента и активировать его.

Настройка Login LockDown.

Для того чтобы настроить защиту под свои потребности необходимо перейти в настройки плагина.
Для этого нужно выбрать меню «Параметры» и найти в нем плагин безопасности.

Перед вами откроется окно с настройками инструмента.

Описание настроек плагина Login LockDown.

  • Max Login Retries – отвечает за максимально возможное количество неудачных попыток до срабатывания блокировки;
  • Retry Time Period Restriction – период времени, за который учитывается ввод неравильного пароля к админке. Тут чем больше время поставить, тем безопасней будет;
  • Lockout Length – время, на которое будет заблокирован подозрительный IP-адрес;
  • Lockout Invalid Usernames – этот пункт задает проверку верного ввода логина пользователя.
    То есть, если его не активировать, то логин можно будет подбирать сколько угодно раз. И вход в аккаунт заблокирован не будет, при условии ввода правильного пароля. Лучше его активировать, так увеличивается надежность блога;
  • Mask Login Errors – маскирует ошибку ввода данных на экран злоумышленника.
    Если его не активировать, то на экран будет выводиться подсказка, что именно вы ввели не правильно, логин или пароль.

Лучше активировать эту функцию.

Так злодей не поймет, что он ввел не правильно, пароль или логин;

  • Currently Locked Out – список, заблокированных IP и время, оставшееся до разблокирования доступа.

Здесь можно отменить блокировку любого IP адреса.
После внесения всех необходимых изменений нажмите кнопку «Update Settings» для того, чтобы они вступили в силу.
Теперь доступ в панель управления сайта будет находиться под защитой плагина и взломщики не смогут применить программы для подбора паролей.

Безопасность сайта, является приоритетным пунктом разработки веб-проекта, и защита WordPress не станет исключением. Попытки несанкционированного доступа к управлению блогом дело, хоть и не повсеместное, но имеет место быть в жизни вебмастера…

Чтобы оградить свой веб-сайт от грубого взлома, путём подбора входных данных, можно ограничить доступ к административной панели. Для этого можно , оставив приоритет только для доверенных IP-адресов, либо установить лимит на количество ошибок авторизации.

Популярным инструментом блогеров в борьбе с подбором, является бесплатный плагин — Login LockDown. Это узкоспециализированное дополнение, направлено на отслеживание попыток авторизации, то есть входа в консоль WordPress.
Особенностью плагина можно назвать гибкость настроек, позволяющих администратору отсрочить каждую попытку входа, лимитированную указанным числом, после чего заблокировать злоумышленника (его IP-адрес) на длительный срок!

Установка и активация

Проинсталлировать дополнение можно по средствам FTP доступа, перед этим скачав архив с плагином — https://wordpress.org/plugins/login-lockdown/
или перейдите в раздел админки «Плагины», щёлкните сверху пункт «Добавить новый», после чего введите название в строку поиска и нажмите клавишу «Enter». Первый результат устанавливаем, а после и активируем.

Настройки плагина

Как ранее замечено, количество опций LoginLockDown невелико, и представляет собой лишь функциональные параметры. После активации плагин начинает действовать со значениями по умолчанию, предпочтительными для большинства пользователей.
В панели разверните раздел «Настройки», где обнаружится пункт «Login LockDown», кликаем и переходим на страницу настроек «Login LockDown Options »:

  1. Max Login Retries – количество попыток авторизации, после которых адрес блокируется. По умолчанию указано 3 (не рекомендуем устанавливать более 5 попыток).
  2. Retry Time Period Restriction (minutes) – число минут между попытками авторизоваться, по умолчанию 2 минуты (лучше сократить, чтобы пользователь смог в скором времени повторить вход).
  3. Lockout Length (minutes) – число минут блокировки IP-адреса, по умолчанию 120 (2 часа), вполне можно увеличить при должном уровне опасности.
  4. Lockout Invalid Usernames? – опция для отключения функций плагина для незарегистрированных имён (логинов). Включаем по своему усмотрению, так как подбор несуществующей пары логин-пароль не несёт опасности.
  5. Mask Login Errors? – опция отключения ошибок авторизации. Пользователю не будут отображаться уведомления о неверном имени пользователи или пароле.
  6. Show Credit Link? – опция отображения ссылки на оф.сайт плагина (реклама разработчиков Login LockDown). Отображается по умолчанию, для отключения кликните третий четбокс.
  7. Update settings – кнопка обновить настройки, нажимаем в конце для сохранения внесённых изменений.
  8. Currently Locked Out – область со списком заблокированных адресов. Имеется возможность очистить IP для доверенных лиц, не получивших доступ к админке.

Вместо послесловия

Таким образом, можно ненавязчиво ограничить доступ к админке WordPress, исключая автоматический или ручной подбор. Плагин Login LockDown периодически обновляется, что указывает на совместимость с актуальными версиями CMS.

27.02.2017 Ромчик

Доброго времени суток. В данной статье мы рассмотрим один из вопросов защиты сайта на WordPress, точнее защиту админки WordPress. А если быть точнее, то остановимся на рассмотрении плагина, который позволяет ограничить количество попыток входа в админку WordPress. Мы установим и настроим плагин для WordPress Login LockDown.

Первое необходимо скачать и установить плагин Login LockDown с официального сайта . Установка данного плагина не вызывает сложностей, поэтому и останавливаться на ней не будем.

А вот настройку рассмотрим подробнее.

Возможности плагина – Login LockDown

Плагин позволяет заблокировать ip-адрес на некоторое время, если в течении определенного времени было несколько неудачных попыток авторизации. Для чего это нужно? Это обычная защита от брутфорса (подбора логина и пароля). Вот пример из жизни мой блог, скрин из файла access.log

Как видите, пользователь с ip адресом 124.104.31.203 пытается что-то делать на странице авторизации. А пытался он подобрать логин и пароль. После нескольких попыток его ip адрес был заблокирован.

Настройка плагина – Login LockDown

Переходим Настройки -> Login LockDown и попадаем на страницу настроек плагина.

В первом поле указываем максимальное количество неверных попыток.

Во втором поле указываем в течении какого периода учитываются попытки (указываем в минутах)

В третьем поле указываем период в минутах на какой будем блокировать пользователя.

После всех настроек, жмем «Update Settings»

Все на этом настройки плагина Login LockDown, который служит для защиты WordPress завершены.

Но, если вы обратили внимание, то есть еще одна вкладка «Activity», в которой отображаются заблокированные ip адреса.

Заключение

Мы с вами настроили плагин Login LockDown, который позволяет защитить сайт на WordPress от брутфорс атак.

Чтобы не пропустить выхода новых статей подписываемя.



Рассказать друзьям
Twitter
Что такое...
Следующая статья
Читайте также
Устанавливаем или обновляем, исправляем ошибки
Устанавливаем или обновляем, исправляем ошибки
2024-09-11 00:04:27
Закачать программу для пиара вконтакте Приложение вк пиар
Закачать программу для пиара вконтакте Приложение вк пиар
2024-09-10 00:04:54
Trebuchet что это за программа?
Trebuchet что это за программа?
2024-08-21 00:04:02
Скачать программу для распаковки архивов rar
Скачать программу для распаковки архивов rar
2024-08-18 00:03:35