Доброго времени суток, уважаемые читатели блога int-net-partner.ru, сегодня я для подготовил статью, в которой вы узнаете, как защитить свой блог при помощи плагина Login LockDown, который входит в группу базовых плагинов для вордпресс.
Также, чтобы усложнить попытки злоумышленников взломать блог или сайт путём перебора паролей (кстати, такой способ взлома ещё называют брутфорс атакой) вам необходимо создать надёжный длинный пароль (около 20 символов) для входа в админку блога.
Для того, чтобы изменить пароль в левой части административной панели наводим курсор мыши на вкладку «Пользователи» —->> «Ваш профиль». Дважды вводим новый пароль, сохраняем его, нажав на кнопку «Обновить профиль».
Злоумышленнику гораздо сложнее будет взломать сайт брутфорс атакой, если у будет сложный длинный пароль.
Но что делать, если попытки взломать сайт не прекращаются и как ещё обезопасить админку блога или сайта от взлома?
Принцип работы плагина
Принцип работы заключается в следующем: Login LockDown фиксирует точное время попытки взлома, а также IP-адрес, с которого злоумышленник сделал попытку входа в админку блога.
Если за определённый промежуток времени будет сделано установленное количество неудачных попыток входа(вы сами устанавливаете в плагине) в административную панель блога, плагин выдаст следующее сообщение:
“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.
Кроме того, вам будет предоставлен список IP — адресов, с которых совершались неудачные попытки взлома, вы также сможете их разблокировать в настройках.
Настройка и установка Login LockDown
Итак, скачиваете Login LockDown вот здесь.
А теперь переходим непосредственно к настройкам:
Для этого необходимо в левой части админки блога нажмите на «Параметры» —>>»Login LockDown».
На скриншоте приведён пример стандартных настроек, я же расскажу, что означает каждый пункт настроек, а вы на своё усмотрение можете изменить их.
- Max Login Retries — максимальное количество попыток для входа в административную панель блога или сайта. У меня стоит 3, больше лучше не ставить.
- Retry Time Period Restriction (minutes) — период времени для повторной попытки. 5 минут вполне хватит.
- Lockout Length (minutes) — время ( в минутах) на которое блокируется доступ к административной панели блога после окончания попыток для входа. Можно установить больше 60 минут, главное, чтобы вы не ошиблись с вводом пароля
- Lockout Invalid Usernames — если отметите этот пункт, то плагин будет считать неправильный ввод логина за ошибку. Я поставил галочку.
- Mask Login Errors — маскирует неправильный ввод данных. При неправильном вводе пароля злоумышленник не будет знать этого.
- Currently Locked Out — отображается список заблокированных IP-адресов, а также оставшееся время до их разблокирования.
А теперь давайте разберем, что произойдёт при неправильном вводе пароля, если у стоят настройки по умолчанию. Если пароль будет вводиться более трёх раз (интервал ввода 5 минут), то доступ в административную панель данному IP-адресу будет заблокирован на 60 минут.
Как убрать предупреждение о защите Login LockDown под формой входа в админку блога?
Конечно, разработчик потрудился, создал плагин и его труд хоть как-то должен быть вознаграждён, но оставив эту надпись, мы тем самым предупредим злоумышленника о защите блога плагином Login LockDown, а этого быть не должно.
Для этого необходимо в левой части административной панели перейти на «Плагины —>>Редактор», затем найти плагин Login LockDown и нажать кнопку «Выбрать».
Находим в файле login-lockdown/loginlockdown.php строчку, указанную в скриншоте ниже и удаляем всё, что находится между кавычками. После этого надпись исчезнет.
Перед редактированием не забудьте отключить плагин, а также сделайте копию этого файла, на всякий случай.
А на этом у меня всё, надеюсь эта статья была полезна для вас. В любом случае, теперь вы знаете ещё один способ как защитить свой блог.
P.S.
Как вам статья? Рекомендую получать свежие статьи блога на e-mail, чтобы не пропустить много новой интересной информации!
Рекомендую прочесть следующие полезные статьи:
1. Плагины оптимизации изображений для wordpress блога
С уважением, Александр Сергиенко
У меня он уже был установлен, а вот за инструкцию по удалению надписи спасибо.
Как раз, начитавшись об опасностях взлома блогов, завтра же сменю все пароли на них (их у меня 3) и установлю плагины.
Спасибо за ценную информацию.
Вы,как обычно, на высоте:-) Спасибо за информацию- обязательно себе установлю этот плагин.
Плагин этот у меня стоит давно, но вот надпись о защите удалить не додумался. Спасибо за подсказку, Александр!
Самое главное — это защита блога, иначе вся многотрудная работа пойдёт коту под хвост. И установка данного плагина совсем не помешает.
Защита превыше всего!
У меня подобный плагин стоит на каждом блоге вот только не знала, что надпись со сылкой нужно удалить.
Интересный плагин.
Надо будет как-нибудь установить. Но пока вроде и без него все норм.
Огромное спасибо за статью,а то несколько раз уже взламывали,пришлось заново ставить блог и теперь придется ещё и всё заполнять заново.
Пожалуйста! Всегда рад помочь.
Сегодня устанавливала этот плагин и заметила, что в новой версии появилась новая функция: теперь не нужно удалять строчки в коде, чтобы скрыть этот плагин при входе, ее можно замаскировать в настройках.
Наконец-то
Спасибо за информацию. Установила плагин. Жаль только, что плагин не отправляет нам на почту информацию о попытках взлома.
Был установлен Limit Login Attempts, но сейчас WordPress.оrg предупреждает, что плагин не обновляется и может не поддерживаться новыми версиями вордпреса.
На каждом своем сайте пользуюсь этим плагином, а вот надпись недогадалась убирать.
А я вот для защиты поставил WP Cerber. Он в разы лучше чем Login LockDown. И уведомления на почту отправляет и надписей не выводит как эта старая поделка.
Спасибо, проверим, не знал о таком.
Плагин поставил, все работает. На счет надписи. Надпись убирается в настройках. Не надо залазить в код.
Если путь в админке стоит не wp-admin, а другой — плагин будет работать?
Да, будет.
Установил. теперь не могу сам попасть. делал оптимизацию .после этого и началось. как то надо попасть в админ и удалить его?
Восстановить пароль можно либо удалить его через ftp.
У меня стоит плагин от перебора паролей,не могу сказать какой, потому как постоянно светится надпись при каждой моей попытке входа Вы билы заблокированы за частые попытки входа. И так все время, раз в сутки я могу пробиться к себе и все. Как попаду к себе, попробую установить еще и этот плагин. Спасибо!