Плагін lockdown. Захист WordPress – плагін Login LockDown. Встановлення та налаштування плагіна безпеки Login LockDown

💖 Подобається?Поділися з друзями посиланням
0

(останнє оновлення: 02.12.2019)

Всім привіт! Сьогодні поговоримо про безпеку свого сайту/блогу ВордПрес. Щоб спати спокійно потрібно обов'язково забезпечити безпеку. Найпоширеніший спосіб для його злому це - підбір пароля та ім'я користувача для входу до вашої адмінпанелі (захист від цього - ). Якщо з якихось причин, погані люди дізнаються ваш логін, тоді підібрати пароль для них не складе великих труднощів.

Адмінка WordPress: захист від злому

Не чекайте, поки ваш сайт буде зламаний, щоб ви почали дбати про методи безпеки. Саме час обмежити кількість спроб входу на ваш сайт WP. Давайте дорогі друзі ускладнимо зловмисникам це завдання. Як обмежити кількість спроб входу до WordPress? За допомогою безкоштовного плагіна Login LockDown.

Говорить Майкл Хейманс ():

Безпека – це пріоритетний напрямок роботи над будь-яким сайтом, тому ми використовуємо всі можливості для її забезпечення. Додатковий рівень захисту надає плагін Login Lockdown. Він захищає адмінку WordPress від злому за допомогою підбору пароля для входу. Якщо з якогось IP-діапазону здійснюється надмірна кількість спроб входу, після досягнення межі Login Lockdown блокує всі запити з цього діапазону.

Кожен власник веб-сайту на WordPress іноді стикається з проблемами, які, ймовірно, могли б бути вирішені за допомогою зручних внутрішніх плагінів. І швидко, і далеко не треба ходити. Ось що зробило WordPress таким популярним, правда? Плагіни зручні і можуть вирішувати безліч завдань, що особливо корисно в тому випадку, якщо ви не розробник або вам не вистачає професійних скіллів.

Захист WordPress – плагін Login LockDown

Додатковий рівень захисту надає плагін Login Lockdown

Плагін для ВордПрес Login LockDownобмежує кількість спроб входу до системи із заданого діапазону IP-адрес протягом певного періоду часу. Він для надійного захисту вашої панелі керування WordPress.

Про плагін Login LockDown

Login LockDown записує IP-адресу та мітку часу кожної невдалої спроби входу в систему. Якщо протягом короткого періоду часу з одного і того ж діапазону IP-адрес виявлено більш певної кількості спроб, функцію входу в систему буде вимкнено для всіх запитів з цього діапазону. Це допомагає запобігти виявленню пароля методом перебору.

В даний час плагін за замовчуванням блокується на 1 годину з IP-блоку після 3 невдалих спробвходу до системи протягом 5 хвилин. Інакше кажучи, ви будете заблоковані на одну годину, якщо за 5 хвилин неправильно введете пароль 3 рази. Це можна змінити за допомогою панелі Налаштування. Адміністратори можуть звільняти заблоковані діапазони IP-адрес вручну з панелі.

Встановлення та налаштування plagina

Звичайно одним плагіном повністю не захистити ваш блог, потрібні ще додаткові заходи, про що я писатиму на сторінках мого блогу. Але це буде пізніше, а зараз, будь ласка, перейдіть для встановлення плагіна в адмінку. Розділ - Плагіни - Додати новий. У вікні пошуку введіть назву Login LockDown:

Пошук плагіна

Шуканий плагін буде в списку перший, натисніть "Встановити", потім "Активувати плагін":

Установка плагіна стандартним способом

Наступний крок це його налаштування. Розділ Налаштування – клік на назву модуля.

Захист адмінки WordPress

На сторінці, що відкрилася -Параметри блокування входу в систему - вкажіть:

  • Максимальна кількість спроб входу, наприклад, 3;
  • Обмеження періоду часу повтору (хвилин), наприклад, 5;
  • Час блокування в хвилинах, наприклад, 180;
  • Блокування неправильних імен користувачів? - Так;
  • Помилки входу до системи? - Так.

Сторінка налаштувань плагіна

Натисніть "Оновити налаштування". Готово. Ось як виглядала форма для входу в адмінку без плагіна:

Вхід до адмінпанелі WordPress

А тепер буде приблизно так:

Вхід форма з плагіном

На закінчення

Перший рівень захисту вашого сайту WordPress – це пароль. Ви повинні завжди вибирати надійний парольдля веб-ресурсу. Про всяк випадок читайте, що робити якщо ви . Нема на 100% захищених сайтів, оскільки погані люди завжди знаходять нові способи обійти захист. Саме тому дуже важливо весь час зберігати повні резервні копіївашого сайту WordPress.

Я сподіваюся, що цей пост допоміг вам додати обмеження кількості спроб входу на ваш сайт WordPress. На цьому маю все. Удачі вам. Усього хорошого друзі. Бувай!

(function(w, d, n, s, t) ( w[n] = w[n] || ; w[n].push(function() ( Ya.Context.AdvManager.render(( blockId: "R-A -292864-4", renderTo: "yandex_rtb_R-A-292864-4", async: true )); )); t = d.getElementsByTagName("script"); s = d.createElement("script"); .type = "text/javascript"; s.src = "//an.yandex.ru/system/context.js"; s.async = true; t.parentNode.insertBefore(s, t); , this.document, "yandexContextAsyncCallbacks");

Login LockDown Records IP address and timestamp of every failed login attempt. If more than a
certain number of attempts are detected within short period of time from the same
IP range, the login function is disabled for all requests from that range.
Це вказує на те, що brute force password discovery. Currently the plugin defaults
до 1 години від блоку IP блоку після 3 можливих повідомлень про 5 хвилин. This can be modified
via the Options panel. Administrators може керувати locked out IP ranges manually from the panel.

Installation

  1. Використовуйте zip файл у ваших plugins directory у його власний додаток.
  2. Activate plugin в Plugin options.
  3. Customize the settings from the Options panel, if desired.

Reviews

Я як цей інструмент і використовуйте його на номері веб-сайтів I am a webmaster for. У випадку, якщо вона є, там є деякі думки про те, як і будь-який configured the plugin. I leave the first 3 entries as default (3,5,60). Вони seem ideal to me. I set Lockout Invalid Usernames? на YES. Якщо вони не знають Username, який є для того, щоб реєструватися? I set Mask Login Errors? на YES. Denies useful intelligence to people whe are trying to login when they shouldn"t. Why help them? I set Show Credit Link? to NO. Plugin so they can protect their blogs also tells people who are trying to login when they shouldn"t what security I am using. .

Я, звичайно, не має намірів з цим інструментом і я розумію, що він працює добре для захисту моїй мережі від хлопців. Тільки є, що я маю те, що час до часу його блокуванням я маю з усього, що я хотів, щоб зробити те, що я хотів, щоб підтвердити, що logically unsuccessful several times.

Вітаю Вас на своєму!
Як зламуються сайти? Найпростіший і швидкий спосібзлому - це підбір логіну та пароля в адмінці. Більшість власників інтернет-ресурсів залишають логін адміністратора за умовчанням, що значно полегшує завдання хакерам – їм залишається лише підібрати пароль. Якщо ви не зробили це раніше, я настійно рекомендую вам змінити стандартне значення «admin» на унікальний логін. Змінити логін та пароль для доступу до панелі керування сайтом можна в розділі адмінки «Користувачі» або через базу даних вашого блогу.

Не зайвим згадати, що пароль має бути надійним – що складається з 8 і більше символів. Який пароль для своєї облікового записунайкраще підібрати ви можете дізнатися прочитавши цю. Так ви ускладните завдання хакерам.

Ще одним чудовим засобом для захисту панелі управління WordPress, від застосування зловмисниками програм для підбору паролів, є плагін Login LockDown.

Дія плагіна Login LockDown.

Цей плагін працює за таким принципом. Він відстежує, невдалі спроби входу в панель управління інтернет-ресурсом і фіксує IP-адресу та точний час.

Якщо за певний час буде зафіксовано кілька невдалих спроб з цієї адреси, то плагін заблокує даного користувачана якийсь час вказане в налаштуваннях.
На екран виведеться повідомлення про помилку, і зломщик втратить всі шанси на вибір пароля.

Встановлення Login LockDown на сайт.

Як встановлювати плагіни в WordPress, я вже розповідав у цій статті.
Установка плагіна Login LockDown небагатьом відрізняється від інсталяції інших аналогічних інструментів.
Необхідно зайти в адмінку сайту, вибрати панель «Плагіни» та натиснути кнопку «Додати новий».

Після цього відкриється стандартне вікно додавання інструментів, в якому ви можете знайти плагін по ключовим словамабо ж скористатися завантаженням файлів зі свого ПК, якщо ви завантажили його раніше.
Далі, необхідно підтвердити встановлення інструменту та активувати його.

Налаштування Login LockDown.

Для того щоб налаштувати захист під свої потреби, необхідно перейти в налаштування плагіна.
Для цього потрібно вибрати меню «Параметри» та знайти в ньому плагін безпеки.

Перед вами відкриється вікно із налаштуваннями інструменту.

Опис налаштувань плагіна Login LockDown.

  • Max Login Retries – відповідає за максимальну кількість невдалих спроб до спрацювання блокування;
  • Retry Time Period Restriction – період часу, за який враховується введення пароля до адмінки. Тут що більше часу поставити, то безпечніше буде;
  • Lockout Length – час, на який буде заблокована підозріла IP-адреса;
  • Lockout Invalid Usernames – цей пункт визначає перевірку правильного введення логіна користувача.
    Тобто, якщо його не активувати, то логін можна буде підбирати скільки завгодно разів. І вхід в обліковий запис заблокований не буде, за умови введення правильного пароля. Краще активувати його, так збільшується надійність блогу;
  • Mask Login Errors – маскує помилку введення даних на екран зловмисника.
    Якщо його не активувати, то на екран виводитиметься підказка, що саме ви ввели неправильно, логін чи пароль.

Найкраще активувати цю функцію.

Так лиходій не зрозуміє, що він ввів неправильно, пароль чи логін;

  • Currently Locked Out – список, заблокованих IP та час, що залишився до розблокування доступу.

Тут можна скасувати блокування будь-якої IP-адреси.
Після внесення всіх необхідних змін натисніть кнопку «Update Settings», щоб вони набрали чинності.
Тепер доступ до панелі управління сайту буде під захистом плагіна і зломщики не зможуть застосувати програми для підбору паролів.

Безпека сайту є пріоритетним пунктом розробки веб-проекту, і захист WordPress не стане винятком. Спроби несанкціонованого доступу до управління блогом справа, хоч і не повсюдна, але має бути в житті вебмайстра.

Щоб захистити свій веб-сайт від грубого злому шляхом підбору вхідних даних, можна обмежити доступ до адміністративної панелі. Для цього можна залишити пріоритет тільки для довірених IP-адрес, або встановити ліміт на кількість помилок авторизації.

Популярним інструментом блогерів у боротьбі з підбором є безкоштовний плагін — Login LockDown. Це вузькоспеціалізоване доповнення спрямоване на відстеження спроб авторизації, тобто входу в консоль WordPress.
Особливістю плагіна можна назвати гнучкість налаштувань, що дозволяють адміністратору відстрочити кожну спробу входу, лімітовану вказаним числом, після чого заблокувати зловмисника (його IP-адресу) на тривалий термін!

Встановлення та активація

Проінсталювати доповнення можна за коштами FTP доступу, перед цим завантаживши архів з плагіном - https://wordpress.org/plugins/login-lockdown/
або перейдіть до розділу адмінки «Плагіни», клацніть зверху пункт «Додати новий», після чого введіть назву в рядок пошуку та натисніть клавішу «Enter». Перший результат встановлюємо, а потім активуємо.

Налаштування плагіна

Як раніше відмічено, кількість опцій LoginLockDown невелика, і є лише функціональними параметрами. Після активації плагін починає діяти зі стандартними значеннями, переважними для більшості користувачів.
У панелі розгорніть розділ «Налаштування», де виявиться пункт «Login LockDown», клацаємо та переходимо на сторінку налаштувань « Login LockDown Options»:

  1. Max Login Retries – кількість спроб авторизації, після яких адреса блокується. За замовчуванням вказано 3 (не рекомендується встановлювати більше 5 спроб).
  2. Retry Time Period Restriction (minutes) – кількість хвилин між спробами авторизуватися, за замовчуванням 2 хвилини (краще скоротити, щоб користувач зміг незабаром повторити вхід).
  3. Lockout Length (minutes) – кількість хвилин блокування IP-адреси, за умовчанням 120 (2 години), можна збільшити при належному рівні небезпеки.
  4. Lockout Invalid Usernames? – опція для відключення функцій плагіна для незареєстрованих назв (логінів). Включаємо на власний розсуд, тому що підбір неіснуючої пари логін-пароль не несе небезпеки.
  5. Mask Login Errors? - Опція відключення помилок авторизації. Користувачу не відображатимуться повідомлення про неправильне ім'я користувача або пароля.
  6. Show Credit Link? - Опція відображення посилання на оф.сайт плагіна (реклама розробників Login LockDown). Відображається за замовчуванням, щоб вимкнути третій четбокс.
  7. Update settings – кнопка оновити налаштування, натискаємо в кінці для збереження внесених змін.
  8. Currently Locked Out – область зі списком заблокованих адрес. Є можливість очистити IP для довірених осіб, які не отримали доступу до адмінки.

Замість післямови

Таким чином, можна ненав'язливо обмежити доступ до адмінки WordPress, крім автоматичного або ручного підбору. Плагін Login LockDown періодично оновлюється, що вказує на сумісність із актуальними версіями CMS.

27.02.2017 Ромчик

Доброго вам дня. У цій статті ми розглянемо одне з питань захисту сайту WordPress, точніше захист адмінки WordPress. А якщо бути точнішим, то зупинимося на розгляді плагіна, який дозволяє обмежити кількість спроб входу до адмінки WordPress. Ми встановимо та налаштуємо плагін для WordPress Login LockDown.

Перше необхідно завантажити та встановити плагін Login LockDown з офіційного сайту. Установка даного плагіна не викликає складнощів, тому і зупинятися на ній не будемо.

А ось налаштування розглянемо докладніше.

Можливості плагіна –Login LockDown

Плагін дозволяє заблокувати IP-адресу на деякий час, якщо протягом певного часу було кілька невдалих спроб авторизації. Для чого це потрібно? Це звичайний захист від брутфорсу (підбору логіну та паролю). Ось приклад із життя мій блог, скрін із файлу access.log

Як бачите, користувач з IP адресою 124.104.31.203 намагається щось робити на сторінці авторизації. А намагався він підібрати логін та пароль. Після кількох спроб його ip адреса була заблокована.

Налаштування плагіна – Login LockDown

Переходимо Налаштування -> Login LockDown та потрапляємо на сторінку налаштувань плагіна.

У першому полі вказуємо максимальну кількість неправильних спроб.

У другому полі вказуємо протягом якого періоду враховуються спроби (вказуємо в хвилинах)

У третьому полі вказуємо період у хвилинах на який блокуватимемо користувача.

Після всіх налаштувань, тиснемо "Update Settings"

Все це налаштування плагіна Login LockDown, який служить для захисту WordPress завершені.

Але якщо ви звернули увагу, то є ще одна вкладка «Activity», в якій відображаються заблоковані ip адреси.

Висновок

Ми з вами налаштували плагін Login LockDown, що дозволяє захистити сайт на WordPress від брутфорс атак.

Щоб не пропустити виходу нових статей, підписується.



Розповісти друзям
Twitter
Всім привіт,...
Наступна стаття
Читайте також
Програми для телевізорів lg smart tv
Програми для телевізорів lg smart tv
2024-02-07 00:06:17
Посібник із повернення завантажувальної флешки у звичайний стан Відновити поганий файл із флешки
Посібник із повернення завантажувальної флешки у звичайний стан Відновити поганий файл із флешки
2024-02-05 00:06:25
Запуск від імені адміністратора будь-якої програми Запуск 1с від імені адміністратора
Запуск від імені адміністратора будь-якої програми Запуск 1с від імені адміністратора
2024-02-04 00:07:23
Невідома помилка мережі під час входу до Інстаграм: що робити?
Невідома помилка мережі під час входу до Інстаграм: що робити?
2024-02-04 00:07:23