Настройка безопасности WordPress с плагином Login LockDown

Безопасность сайта является очень важным аспектом в его работе. Чтобы спокойно пользоваться системой и не волноваться о взломе, нужно обеспечить качественную защиту. Наиболее распространенный способ взлома – это подбор паролей и имен пользователя для входа в административную панель WordPress. Если по каким-то причинам злоумышленникам удастся узнать или угадать ваш логин, то подобрать пароль будет делом времени. Login LockDown – обеспечит защиту от подобного типа взломов. Плагин работает с версиями WordPress 3.6 или выше.

Хакеры могут перебрать сотни и тысячи вариантов паролей для входа на сайт. Специальные программы делают это быстро, поэтому нужно реализовать блокировку входа в административную панель при превышении безопасного количества авторизаций. Не ждите, когда сайт будет взломан, чтобы начать принимать меры безопасности. Ограничьте количество попыток входа в панель WordPress и усложните взломщикам задачу. Плагин Login LockDown был разработан именно с этой целью. Бесплатное программное обеспечение поможет предотвратить утерю данных сайта или введение его в непригодность хакерами.

Защита административной панели

Безопасность всегда являлась приоритетной задачей в работе с любым ресурсом или программой. Важно использовать все возможности для формирования качественной защиты. Плагин защищает от взлома путем подбора данных авторизации административную панель сайта. Теперь войти в нее просто угадав логин и пароль не получится. Если с какого-то IP-адреса будет происходить большое количество попыток авторизации, Login LockDown блокирует все запросы из выявленного диапазона.

Все владельцы сайтов так или иначе сталкиваются с проблемами, которые можно было бы легко решить с помощью внутренних плагинов. Именно это сделало WordPress такой популярной системой управления контентом. Плагины открывают множество возможностей и легко справляются с огромным количеством задач. Это полезно для тех, кто не является программистами, а значит профессиональных навыков работы с кодом не имеет. Разобраться в управлении модулями по силам каждому, а развернутые инструкции и документация помогут при возникновении вопросов.

Полезно: как сделать форму регистрации на WordPress

Несколько уровней безопасности

По умолчанию система позволяет вводить логин и пароль неограниченное количество раз, чем могут легко воспользоваться хакеры. С помощью скриптов злоумышленники будут вводить данные в разных комбинациях для взлома сайта. Предотвратить это и сократить количество неудачных попыток входа для каждого пользователя возможно. Просто добавьте еще один уровень безопасности на сайт.

Относитесь серьезно к привилегиям пользователей. Не давайте прав администраторов редакторам контента, чтобы они не изменяли код темы, настройки и не устанавливали ненужные плагины.

Существует несколько правил обеспечения защиты админки WordPress. В первую очередь нужно подобрать сложный пароль и изменить стандартный логин для администратора, чтобы не облегчать злоумышленникам задачу. Например, «admin» в качестве имени будет не лучшим вариантом. При создании пароля:

  • не пользуйтесь словами из словаря, лучше придумывайте что-то более сложное;
  • применяйте буквы нижнего и верхнего регистров, совмещая их в разном порядке;
  • не используйте похожие пароли несколько раз, так как их будет легко добрать;
  • совмещайте буквы, цифры и символы, смешивая их между собой.

Вторым шагом становится специальный модули безопасности, о которых мы с вами поговорим в данной статье. Среди них можно отметить:

  • Login LockDown;
  • Limit Login Attempts Reloaded;
  • Limit Failed Login Attempts.

Третьим шагом следует настроить редиректы и изменить некоторые файлы вручную. Также многие хостинги предлагают дополнительную защиту со своей стороны. Используйте все возможные способы обеспечения безопасности, чтобы оградить сайт от негативного воздействия и сохранить высокую работоспособность ресурса.

Плагин Login LockDown


Для системы WordPress разработан специализированный плагин Login LockDown, который ограничивает количество попыток входа в систему в определенном диапазоне IP-адресов на заданный промежуток времени. Плагин создан для надежной защиты панели управления. На сегодняшний день его установили уже более 1 миллиона раз.

Login LockDown является проектом с открытым исходным кодом, в развитие которого вносят свой вклад множество разработчиков, благодаря чему его качество намного выше других подобных программ.

Программное обеспечение работает следующим образом. При неудачной попытке входа в систему IP-адрес и метка времени сохраняются. Если в короткий промежуток времени такие попытки повторяются неоднократно, то они начинают блокироваться. Это помогает предотвратить взлом сайта методом подбора пароля.

По умолчанию плагин блокирует всего на один час после трех неудачных попыток за пять минут времени. Иначе говоря, если в течение пяти минут вы ошибетесь в пароле три раза, то следующий час не сможете войти в административную панель со своего IP-адреса. Изменить промежутки времени можно через настройки в панели управления. Некоторые диапазоны адресов можно полностью заблокировать вручную, так же как и внести безопасные в список исключений.

Полезно: настройка безопасности движка WordPress

Установка и настройка

Одним плагином полностью не защитить сайт от хакеров, понадобятся дополнительные меры безопасности. Но сегодня речь пойдет только о таких модулях, как Login LockDown, которые станут первым этапом в повышение уровня защиты. Для установки плагина нужно войти в админку, в разделе «Плагины» нажать «Добавить новый», а затем ввести название расширения в окно поиска. Нужный плагин будет располагаться первым в списке. Его необходимо «Установить» и сразу же «Активировать». Перейти к настройкам можно кликнув мышкой на название модуля.

В разделе «Параметры блокировки входа в систему» можно указать следующие настройки:

  • максимальное количество попыток авторизации, например, три или пять;
  • ограничение периода времени для повтора в минутах, например, пять или десять;
  • время блокировки адреса, например, 120 минут;
  • блокировка неверных имен пользователе – включена или выключена;
  • ошибки входа в систему – включено или выключено.

Указав все необходимые настройки, нажмите «Обновить». Теперь можно проверить результат работы. Форма входа в административную панель WordPress изменит свой внешний вид. Внизу появится подпись, что используется плагин безопасности.

Также в модуле доступны такие опции, как Lockout Invalid Usernames и Mask Login Errors. Первая в стандартных настройках отключена, а значит программа не засчитывает попытки ввода неверного логина пользователя. В теории, если злоумышленник знает пароль, то подбирать правильный логин он сможет бесконечное количество раз. Вторая функция маскирует ошибку входа. Если ее отключить, то при вводе неверных данных будет всплывать уведомление, что именно было неправильным – логин или пароль. По умолчанию она не подключена, поэтому стоит внимательно просматривать все возможные изменения. Login LockDown выполнена на английском языке, но все параметры имеют детальное описании, которое не составит труда перевести с помощью программы-переводчика.

Повторное ограничение с Limit Login Attempts Reloaded

Разработчики WordPress постоянно работают над новыми способами обеспечения защиты. Так появилась новая версия оригинального плагина Limit Login Attempts Reloaded, которая соответствует GDPR – общему регламенту по защите данных. Этот модуль уже опередил по популярности все остальные с подобным функционалом. Количество его установок уже превысило 7 миллионов.

Limit Login Attempts Reloaded отличается русской локализацией, а значит работать с ним русскоговорящим пользователям будет еще проще.

Устанавливать ограничение на попытки входа в консоль можно не только с помощью обычного входа. Также не стоит забывать о пользовательских станицах, XMLRPC и WooCommerce. По умолчанию количество авторизаций с любой из них ничем не ограничено, поэтому пароль можно подобрать даже вручную, просто перебирая разные варианты.

Плагин блокирует попытки входа при достижении максимального лимита, что делает такой грубый способ взлома затруднительным или вовсе невозможным. Limit Login Attempts Reloaded обладает широким рядом опций:

  • ограничение попыток авторизации на каждый интернет-адрес;
  • информирование об оставшихся попытках входа на сайт и времени блокировки;
  • дополнительное ведение журнала авторизации и специальные уведомления по e-mail;
  • можно создать белый и черный списки IP-адресов и имен пользователей;
  • плагин совместим с Sucuri Website Firewall, обеспечивающим защиту сайтов от любых видов угроз;
  • защита шлюза стандартного протокола вызова удалённых процедур XML-RPC;
  • безопасный вход со страницы WooCommerce;
  • многосайтовая совместимость и дополнительные параметры MU;
  • соответствие GDPR, все зарегистрированные адреса становятся обфусцированными;
  • Поддержка настраиваемых IP-источников, таких как Sucuri и другие.

Настройки плагина открывают больше возможностей для владельцев сайтов. Так на странице статистики можно посмотреть все блокировки, а также занести пользователей в белый и черный списки. Если вы работаете в режиме сети или мультисайтовости, следует активировать модуль сразу для всех ресурсов, а не только для одного из сайтов.

После определенного количества неудачных попыток авторизации, будет высвечена ошибка «Некорректное имя пользователя или пароль», а также информация о превышении количества попыток входа с просьбой повторить через некоторое время.

Все упомянутые плагины работают исключительно по IP-адресам. Это значит, что если вас пытается взломать большая сеть ботов с разными интернет-адресами, то защита не сработает.

Плагин Limit Login Attempts является бесплатным и распространяется по свободной лицензии, скачать и активировать его может каждый.

Полезно: настройки панели администратора WordPress

Еще один модуль безопасности – Limit Failed Login Attempts

WordPress отличается огромным количество дополнительных модулей на выбор. Для повышения безопасности есть еще один простой в использовании и настройке плагин Limit Failed Login Attempts. Он информирует об оставшихся доступных попытках авторизации и последующем времени блокировки.

Программа сохраняет сведение об IP-адресах и временных метках входа с неверным логином или паролем. Администраторы могут разблокировать отдельные IP-адреса вручную из панели управления, если блокировка произошла по случайности. Плагин обладает следующим функционалом:

  • включение и отключение опций блокировки;
  • включение и отключение уведомлений по электронной почте;
  • ограничение повторных попыток авторизации по адресу IP;
  • ограничение с помощью файлов cookie;
  • информирование пользователей о количестве доступных неудачных попыток и времени блокировки для входа;
  • дополнительная запись данных в журнал логов и уведомление в e-mail сообщениях;
  • снятие блокировки для любого из адресов.

В настройках программы можно найти следующие опции, которые можно изменять вручную:

  • статус входа в WP: включено или отключено;
  • уведомления: при включенных вы получите письмо на почту, если кто-либо из пользователей достигнет максимального количества попыток авторизации;
  • установление чиста попыток входа, которое по умолчанию стоит 3, но его можно увеличить вручную;
  • установление времени блокировки, после которого произойдет сброс количества попыток, стандартное время – полчаса;
  • сохранение настроек.

Таким образом можно самостоятельно определить количество авторизаций и время блокировки, а также отключить или включить защиту и системные уведомления о подозрительной активности. Хакеры или боты не смогут легко обойти безопасность ресурса при наличии активного модуля Limit Failed Login Attempts.

Расширенная версия приложения также оптимизирует производительность, регулирует длительные интервалы блокировки, осуществляет резервное копирование данных. Интеллектуальная блокировка и разблокировка помогает убедиться, что все легитимные адреса будут разрешены. Синхронизация позволяет блокировать доступ сразу к нескольким доменам. С помощью списка надежных и заблокированных пользователей можно самостоятельно регулировать тех, кто сможет или не сможет авторизовываться в системе. Премиум-версия содержит расширенные журналы блокировки, безопасные диапазоны IPV6 и предоставляет возможность разблокировать заблокированного администратора через облако.

Дополнительные способы защиты

Обезопасить административную панель WordPress можно и другими способами. Для этого следует активировать на сайте CAPTCHA, с которой подобрать пароль будет не так просто. Пользователям придется вводить дополнительные символы, распознать которые программе будет затруднительно.

Также можно подключить двухэтапную или двухфакторную аутентификацию. В этом случае при входе в админку у вас будет запрашиваться дополнительный код безопасности, который можно найти в телефоне. Самое распространенное приложение для этого – Google Authenticator.

Панель входа в обоих случаях изменится, в ней появится дополнительное окно ввода данных. Чтобы авторизоваться под администратором, хакерам придется потрудиться, а значит вы успеете заметить неладно и улучишь защиту или обновить пароль.

Заключение

Защита сайта – один из самых важных аспектов при его создании и поддержке. Первым уровнем становится сам пароль, который нужно выбирать надежным. В нем должны присутствовать строчные и прописные буквы, цифры и символы, тогда подобрать его будет сложнее. Вторым уровнем становятся дополнительные модули.

Для WordPress разработано огромное количество плагинов, но не все из них безопасны. Некоторые модули должны обеспечивать защиту, но наоборот, дают больше возможностей для злоумышленников. Устанавливайте только проверенные программы, которые уже зарекомендовали себя среди пользователей.

Нет 100% защиты от хакеров, так как они постоянно находят новые способы обхода защиты. Именно поэтому следует регулярно делать резервные копии ресурса, чтобы в случае возникновения проблем, можно было легко восстановить утерянную информацию.