Плагин безопасности WordPress Login LockDown – защита от взлома

Здравствуйте, уважаемые читатели блога blogibiznes.ru! Тема сегодняшней статьи: защита блога WordPress от взлома путем подбора пароля для входа в админку. Такой метод называют брутфорс атакой. Эта проблема очень актуальна, так как случаи несанкционированного доступа в святая святых блога, а именно в панель управления Вордпресс, к сожалению, совсем не редки.

Вообще тема безопасности Вордпресс очень обширна и не ограничивается только борьбой со спамом и воровством контента, о которых я уже писал ранее. Гораздо более печальные последствия (даже представлять не хочется) могут наступить, если злоумышленники получат доступ в админку блога. Наша задача, сделать все возможное, чтобы этого не допустить. И сегодня я расскажу только об одном из способов усиления защиты блога. Встречайте, плагин безопасности WordPress Login LockDown.

Защита админки WordPress от взлома с помощью плагина Login LockDown

Самый простой способ взломать сайт, это подобрать логин и пароль для входа в панель управления. Надо сказать, что многие блоггеры сами облегчают работу взломщику на 50%, оставляя логин по умолчанию. И тогда ему остается только подобрать пароль.

А Вы поменяли логин пользователя или у Вас до сих пор стоит имя admin? Если нет, то сделайте это незамедлительно. Моя статья “Как изменить логин пользователя admin в WordPress“, возможно, Вам в этом поможет.

Обязательно, сразу после установки движка, поменяйте пароль на более надежный (делаем около 20 символов, используя буквы верхнего и нижнего регистра, числа и спецсимволы). Это можно сделать прямо из админки, перейдя в меню “Пользователи” – “Ваш профиль“. Дважды вводим новый пароль и сохраняем изменения, нажав кнопку “Обновить профиль“. Периодически меняйте пароль и не используйте его на других сайтах.

Такими нехитрыми действиями мы уже усложним взломщикам задачу. Но, допустим, они оказались упрямы и не оставляют попыток, используя специальные программы для подбора пароля. И тут нам на помощь приходит плагин защиты для WordPress Login LockDown.

Принцип действия плагина Login LockDown

Плагин фиксирует точное время и IP-адрес, с которого была сделана неудачная попытка входа в админку блога. Когда за определенный период времени будет совершено некоторое количество неудачных попыток, плагин блокирует доступ к сайту на заданное время. Выводится сообщение:

“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.

Кроме того, Вы будете иметь список всех заблокированных IP-адресов и возможность их разблокировать в настройках плагина. Рассмотрим их подробнее.

Установка и настройка плагина безопасности Login LockDown

Установите и активируйте плагин. Подробно установку этого плагина я описал, в качестве примера, в статье “Как установить плагин WordPress“. Поэтому без лишних слов сразу перейдем к настройкам.

Переходим в меню “Параметры” – “Login LockDown“.

На рисунке показаны настройки по умолчанию. Вы можете изменить их на свое усмотрение. Ниже я опишу, что означает каждый из пунктов и дам свои комментарии:

  • 1. Max Login Retries – максимальное количество попыток для входа в админ панель блога. Думаю, больше трех ставить не имеет смысла.
  • 2. Retry Time Period Restriction (minutes) – период времени в минутах для повторной попытки. Пять минут хватит даже для того, чтобы добежать до канадской границы, не то чтобы ввести пароль.
  • 3. Lockout Length (minutes) – время в минутах, на которое блокируется доступ к админке Вордпресс. Можно оставить 60 минут, а можно установить и побольше.
  • 4. Lockout Invalid Usernames – учитывать ли неправильный ввод логина? Отмечаем этот пункт и плагин, кроме пароля, будет учитывать и неправильно написанное имя. Лишняя защита блога лишней никогда не бывает.
  • 5. Mask Login Errors – маскировка ошибок ввода неправильных данных. Отмечаем, и тогда взломщик не будет знать, что его действия под контролем (что-то никакой разницы не заметил) .
  • 6. Currently Locked Out – здесь отображается список, заблокированных в данное время IP-адресов и время до разблокировки. Об этом чуть ниже.

После сделанных настроек плагина безопасности Login LockDown, нажимаем кнопку “Update Settings“, чтобы изменения вступили в силу.

Для ясности, расшифрую, что произойдет при попытке взлома блога, если настройки стоят, например, по умолчанию, как на рисунке выше. Если пароль будет введен неправильно более 3 раз с интервалом 5 минут, то доступ для входа в панель администратора блокируется на 60 минут.

Теперь вернусь к списку IP-адресов. Не знаю, когда это может понадобиться, но у Вас есть возможность разблокировать IP-адрес, попавший в немилость. Для этого отметьте этот пункт и нажмите “Release Selected“. Наверное, это имеет смысл, если доступ к блогу есть не только у Вас. Например, несколько авторов или фрилансер должен что-то подправить.

Еще одна деталь. Если Вы заметили, то на первом скриншоте видно, что под формой входа в панель администратора выводится предупреждение о защите плагином Login LockDown. Оно должно появиться, если Вы правильно установили плагин и он работает. Но в этом случае теряется смысл пункта 5, ведь злоумышленник будет предупрежден о защите заранее. Давайте уберем эту надпись.

Идем в меню “Плагины” – “Редактор“. Выбираем из выпадающего списка справа вверху наш плагин безопасности и нажимаем “Выбрать“. Находим в файле login-lockdown/loginlockdown.php эту строку (смотрите картинку ниже) и удаляем все, что указано между кавычками. Нажимаем “Обновить файл” и переходим на страницу входа. Надпись должна исчезнуть.

Обратите внимание на предупреждение, на странице редактирования. Перед внесением изменений деактивируйте плагин, а потом снова включите. Надеюсь, то, что перед любым редактированием файлов, надо делать их копии, напоминать не надо.

Теперь плагин безопасности WordPress Login LockDown не позволит злоумышленнику попасть в админку путем подбора пароля. Конечно, это не гарантирует 100% защиты WordPress от взлома и других неприятностей. Но каждый вид защиты блога будет по кирпичику строить стену перед неприятелем. Чем эта стена выше, тем спокойнее Вы будете спать по ночам.

Необходимо хорошо запомнить, что уделять внимание вопросам безопасности блога надо не меньше, чем написанию уникального контента и продвижению в поисковых системах. В следующих статьях я еще не раз вернусь к этой теме. Подписывайтесь на обновления блога blogibiznes.ru, чтобы всегда быть в курсе. До скорых встреч!


Понравилась статья? Нажимай на кнопки:
Твитнуть
Как Николай Мрочковский мне “вирус” подкинул

Хостинг от Макхост

Ответов 54 на “Плагин безопасности WordPress Login LockDown – защита от взлома”

  1. Да, полезный плагин. Интересно, а работу сайта он сильно замедляет?
    Конечно нужно логин сразу менять. К сожалению многие этого не делают.

    • Сам не проверял, но читал, что практически никакой нагрузки он не создает. В любом случае, безопасностью пренебрегать не стоит. Лучше какой-нибудь плагин-украшение заменить кодом, а этот оставить.

  2. Полезный плагин, надо поставить.

  3. Все поменяла, спасибо за помощь. А по поводу плагина я вот что подумала, только, если скажу глупость, не осуждайте и не смейтесь. Так вот, если есть такие умельцы, которым по зубам любые пароли, то и плагин этот они раскусят запросто, перед тем, как взломать админку.

  4. Я этот плагин использую на обоих сайтах с самого начала их создания, мне нравится. Иногда сама ввожу пароль неправильно, так тут же “угрожающая” надпись высвечивается :). На нагрузку движка он практически не влияет, очень удобен в использовании.

  5. Если используете сложные пароли, этот плагин будет лишь дополнительной нагрузкой на сервер. Подобрать пароль из 12 символов со сменой регистра – нереально.

  6. Спасибо Олег! Плагин установлен! И работает хорошо! Вот бы и админ изменить ещё(

  7. Александр Ризун Ответить 08 Июнь, 2012 в 13:41

    Важная информация, и нужно будет обязательно ей воспользоваться. Спасибо за подробную инструкцию по повышению безопасности блога.

  8. Этот плагин уже давно установил, но вот подумываю избавиться от него. Действительно проще придумать сложный пароль и не каких проблем, кому надо взломать сайт плагин не помеха.

  9. Я думаю лучше избавляться от признаков CMS, изменив на другой вход, либо убрать.

  10. Спасибо Вам! Занимаюсь WordPress не так давно, поэтому мне полезный любой урок!

  11. У меня такой плагин стоит. Cайт не замедляет, и как-то все-таки надежнее с ним. Поставила его после того, как несколько раз вирусы взламывали пароли. Теперь пользуюсь этим плагином, да и пароли длинные, сложные и меняю их чуть ли не два раза в месяц :)

  12. Заметил, что не раз уже заходил на ваш сайт, все надо в закладки заносить, очень подробно пишите, и что не менее важно – полезно. А то как для меня, все это сложновато…спасибо…

  13. Спасибо, Олег, как всегда снова очень полезная статья, поставила и себе этот плагин, правда, не с первой попытки сделала всё до конца. Установить – установила, потом отвлеклась, а вот удалила надпись о защите только сегодня.

  14. Олег! У меня сейчас критическая ситуация …может и взлом. Не знаю. Не могу зайти на свой сайт http://gotovim-doma-vkusno.ru/. Пишет:” !!! WARNING !!! Due to suspicious activities, you are temporarily banned from this site”. Не подскажите, в чем дело?

    • Я зашел нормально. Такое предупреждение скорее от Вашего интернет-провайдера, что будет временное отключение из-за подозрительной деятельности. Попробуйте зайти позже.

  15. Плагин очень хороший, но он не работает с такими плагинами, как uLogin и Loginza.
    Так как после авторизации через соц.сеть, не открывает консоль и сообщает, что нет прав доступа. Интересно, без нарушения безопасности, можно ли это обойти?

    • Здесь я не подскажу. У меня не стоят, указанные выше плагины. Как вариант, просто использовать надежный пароль и почаще его менять.

  16. Спасибо!, воспользуюсь, сайтом любуюсь, а про защиту забыл. :(

  17. Плагин стоял, а вот про удаление кода не слышала. Сейчас удалила.
    Спасибо!

  18. А посоветуйте плагин, который не банит IP.
    А то как-то не очень хочеться забанить всю Вологодскую область или еще какую-нить тьмутаракань, которая выходит с одного и того же прокси, только из-за того, что там был один нехороший ай-ай-ай, который пытался взломать Ваш сайт.

    • А Вы что даете доступ к админке целой области, не давая пароля? Зачем, чтобы кто-то пытался зайти в админ панель?
      Вроде Login Security Solution не блокирует IP.

  19. Еще вопрос. Этот плагин защищает от горизонтальных атак?

  20. Спасибо большое!

  21. Спасибо вам, Олег!
    Как-то совсем забыла о безопасности сайта…
    Подскажите, еще какие-то плагины для того, чтобы полностью обезопасить свой сайт нужны?

    • Мария, плагинов много есть разных, но лучшая защита – это полное резервное копирование после каждой публикации. Можно еще установить WP Security Scan и проверить блог на уязвимости. Рекомендуется скрывать версию WordPress, поменять логин для входа в админку (если у Вас до сих пор admin) и сделать надежный пароль около 20-30 символов. Пароль переодически менять. От дилетантов защитит, а профи любую защиту сломают при желании.

  22. Дмитрий Полезный Ответить 23 Март, 2013 в 0:52

    Выбирал из множества плагинов, ограничивающих вход в админ-панель. Прочитал эту статью и … вуаля – “Login LockDown”.

  23. Прикольный плагин, раньше как-то не задумывался над проблемой защиты блога от разных мелких хакеров. Надо будет поставить.

    • Только сегодня хотел зайти в админку одного сайта, а мне сообщение от хостера (Спринтхосте), что замечена подозрительная активность по этому адресу с множественным подбором пароля, зайдите по другой ссылке. Так что постоянно кто-то ломится в закрытую дверь.

  24. Не могу найти строчку, где нужно удалить текст между кавычками(( А если так оставить?

    • Можно и так, но будет ссылка. Найти очень легко. Откройте файл в редакторе и нажмите Ctrl+G. Введите в строку поиска первые 2-3 слова из выделенного фрагмента и нажмите Enter. Должно подсветить.

  25. Добрый день, Олег. Не могу зайти в админку своего сайта _http://ochered-spb.ru/
    Сначала выдает сообщение: Вход в административную панель сайта
    Нами было зафиксировано большое количество обращений к административной панели Вашего сайта.
    Обращения производятся роботами, подбирающими пароль администратора.
    Для доступа в административную панель Вашего сайта, пожалуйста, перейдите по ссылке ниже.
    Вход в административную панель сайта.
    После ввода логина и пароля пишет 405 Not Allowed

    Что делать? Подскажите пожалуйста.

    • У меня бывает такое сообщение на Спринхосте, но после перехода по ссылке нормально открывается админка. Попробуйте обратиться в тех.поддержку хостинга.

  26. Нормальный необходимый плагин, поставил не жалею. Ссылку на входе на страницу плагина убрал и нашел бысто. Спасибо админу.

  27. Ребята подскажите что делать. Этот плагин давно установила и забыла про него. Сегодня была проблема с паролем, несколько раз неправильно ввела и IP заблокировался. А на какое время я уже и не помню сколько ставила. Уже часа 3 прошло, но толка нет. Есть какие-то варианты, что бы все таки восстановить доступ? Может ли помочь удаление плагина через FTP?

    • У Вас статичный IP? Можно подождать, можно и папку с плагином удалить (хотя я не пробовал). Только лучше не удалять, а скопировать на комп, чтобы потом вернуть, если что. Хотя наверно проблема уже решена.

  28. Плагин обновили, теперь смысла копаться в коде нет. Там есть аккуратная галочка в настройках плагина.
    За статью, спасибо:)

  29. Плагин ведь должен автоматически создать 2 таблицы – wp_login_fails и wp_lockdowns. Но у меня не создал, поэтому плагин не выполняет свою функцию. Что делать? Могу создать вручную таблицы – но не знаю, какие там поля. Помогите. Заранее спасибо.

    • В таблицах сам ничего не смыслю. Раньше плагин работал, а сейчас я просто меняю адрес админки, плюс надежный пароль и можно с этой стороны не беспокоиться.

  30. Доброе время суток) Олег, под меня какойто нехороший человек подбирает пароль, на хосте мне написали, что можно прописать в htacess:
    order deny,allow
    deny from all
    Allow from 100.100.100.100
    и типа в админку можно войти только с моего айпи. Символы 100.100.100.100 заменить своим айпи. Это толковая тема?

    Это норм? Я просто не понимаю в этом и не совсем понял куда эту штуку вставлять надо. Странно у меня вроде стоит плагин который ограничивает количество попыток входа, а тот мудак всю ночь блог штурмовал.

    • Должно сработать, прописывай в самом низу, как было в примере. У меня тоже были такие атаки, хотя стоял плагин. Может он уже толком не работает.
      Если у тебя динамический IP, то надо будет перед входом в админку каждый раз редактировать htacess.

      • У меня вроде не динамический – не меняющийся) Обидно, как задумаешься – столько сил вкладываешь, чтобы в будущем что-то получить, а кто-то сайт хочет просто украсть…
        Спасиб)

        • Врядли украсть хотят, просто внедрить какой-то вирус или ссылок наставить. Такие атаки давно не редкость и им подвержены все сайты в той или иной степени. Надежный пароль в большинстве случаев спасает от брутфорса, но нагрузка на хостинг из-за множества запросов может значительно повышаться. И это сильно напрягает.

  31. Кстати – плагин Логин Лок Давн определил этого засранца) Но все равно по логам обращений было много.

  32. Антон Дьяченко Ответить 14 Окт, 2014 в 23:05

    Здравствуйте!
    В новой версии плагина уже можно убирать ссылку в опциях плагина.
    Спасибо за статью.

  33. Когда-то я пробовал этот плагин. Но это плагин для детского сада разве что. Я давлю гадов через WP Cerber. Это вещь!

Добавить комментарий