Podešavanje i opis zaključavanja prijave dodatka. Konfiguracija i opis zaključavanja prijave dodatka Instalacija i konfiguracija dodatka za zaključavanje prijave

Želim vam dobrodošlicu u moj!
Kako se hakiraju web stranice? Najlakši i najbrži način za hakiranje je odabir korisničkog imena i lozinke u admin panelu. Većina vlasnika internetskih resursa ostavlja zadanu administratorsku prijavu, što uvelike pojednostavljuje zadatak hakera - oni samo moraju pogoditi lozinku. Ako to ranije niste uradili, toplo preporučujem da promijenite zadanu vrijednost "admin" u jedinstvenu prijavu. Možete promijeniti svoju prijavu i lozinku da biste pristupili kontrolnoj tabli stranice u odjeljku "Korisnici" na administrativnom panelu ili putem baze podataka vašeg bloga.

Neće biti suvišno napomenuti da lozinka mora biti jaka - sastavljena od 8 ili više znakova. Koja je najbolja lozinka za vaš nalog, možete saznati čitajući ovo. Tako komplikujete zadatak hakera.

Još jedan odličan alat za zaštitu Wordpres kontrolne ploče od upotrebe programa za pogađanje lozinke od strane uljeza je dodatak za zaključavanje prijave.

Radnja dodatka Zaključavanje prijave.

Ovaj dodatak radi na sljedeći način. Prati neuspješne pokušaje prijavljivanja na kontrolnu ploču internetskog resursa i bilježi IP adresu i tačno vrijeme.

Ako se u određenom vremenu zabilježi nekoliko neuspješnih pokušaja s ove adrese, dodatak će blokirati ovog korisnika na vrijeme navedeno u postavkama.
Na ekranu će se prikazati poruka o grešci, a kreker će izgubiti sve šanse da pogodi lozinku.

Instaliranje Login LockDown na web mjestu.

Kako instalirati dodatke u WordPress, već sam opisao u ovome.
Instaliranje dodatka Login LockDown ne razlikuje se mnogo od instaliranja drugih sličnih alata.
Morate otići na administrativni panel stranice, odabrati panel "Plugins" i kliknuti na dugme "Add New".

Nakon toga otvorit će se standardni prozor za dodavanje alata u kojem možete pronaći dodatak po ključnim riječima ili koristiti preuzimanje datoteka sa svog računala ako ste ga ranije preuzeli.
Zatim morate potvrditi instalaciju alata i aktivirati ga.

Konfiguriranje zaključavanja prijave.

Da biste prilagodili zaštitu svojim potrebama, morate otići na postavke dodatka.
Da biste to učinili, odaberite izbornik "Opcije" i pronađite sigurnosni dodatak u njemu.

Pred vama će se otvoriti prozor sa postavkama alata.

Opis postavki dodatka za zaključavanje prijave.

Max Login Retries - odgovoran za najveći mogući broj neuspješnih pokušaja prije nego što se zaključavanje aktivira;
Retry Time Period Restriction - vremenski period za koji se uzima u obzir unos pogrešne lozinke u admin panel. Ovdje, što više vremena uložite, to će biti sigurnije;
Lockout Length - vrijeme za koje će sumnjiva IP adresa biti blokirana;
Lockout Nevažeća korisnička imena – ova stavka provjerava da li je korisnikovo prijavljivanje ispravno uneseno.
Odnosno, ako ga ne aktivirate, tada se prijava može odabrati koliko god puta želite. I prijava na nalog neće biti blokirana, pod uslovom da je unesena ispravna lozinka. Bolje ga je aktivirati, to povećava pouzdanost bloga;
Maskirajte greške prilikom prijave - maskira grešku u unosu podataka na ekranu napadača.
Ako nije aktiviran, na ekranu će se prikazati nagoveštaj šta ste tačno uneli pogrešno, login ili lozinka.

Bolje je omogućiti ovu funkciju.

Dakle, negativac neće shvatiti da je unio pogrešnu lozinku ili login;

Trenutno zaključan - lista blokiranih IP adresa i preostalo vrijeme do deblokiranja pristupa.

Ovdje možete deblokirati bilo koju IP adresu.
Nakon što izvršite sve potrebne promjene, kliknite na dugme "Ažuriraj postavke" da bi one stupile na snagu.
Sada će pristup kontrolnoj tabli stranice biti zaštićen dodatkom i hakeri neće moći koristiti programe za pogađanje lozinki.

WordPress je najpopularniji sistem za upravljanje sadržajem danas. I jasno je zašto: jednostavnost upotrebe i konfiguracije, mnogo dodataka, besplatni. Ali u isto vrijeme, dosta pažnje od strane napadača. Web lokacije na Wordptess-u su često meta napada. Razlozi hakovanja sajta su različiti, tačnije razlog je isti - novac, pristupi su različiti. Jedan od načina hakovanja web stranice, uključujući i WordPress, je brute force ili na ruskom - metoda brute sile (brute force - brute force) - to je kada pokušavaju pristupiti stranici odabirom korisničkog imena i lozinke.

Svi korisnici WordPress-a znaju da se ulaz u admin panel stranice nalazi na site.com/wp-login.php ili site.com/wp-admin, sa kojeg ćete ionako biti prebačeni na prvi. Za to znaju i napadači. Stoga, ako ste neodgovorni u zaštiti admin panela, vjerovatnoća da će vaša stranica biti hakovana značajno se povećava. Kako možete spriječiti one koji ne moraju ući u admin panel?

Prvi, i najbanalniji, ali ne manje važan, je odabir jake lozinke i promjena standardne prijave.

Drugi je instalacija posebnih dodataka za zaštitu admin panela.

Treći je postavljanje rcdirects i ručno uređivanje WordPress datoteka.

Takođe, sada većina hostinga, sa svoje strane, nudi zaštitu za admin panel.

U ovom članku želim govoriti o dodatku za zaključavanje prijave, koji će pomoći u zaštiti administratorske ploče vaše WordPress stranice od nagađanja lozinke.

Koji je princip plugina? Kada neko pokuša da uđe u vaš admin panel i pogrešno unese podatke, login ili lozinku, određeni broj puta u određenom vremenskom periodu - Login LockDown blokira IP adresu sa koje je pokušan pristup na određeno vreme.

Instalacija dodatka

Dodatak možete instalirati preko ugrađenog WordPress menadžera. Da biste to učinili, na kontrolnoj tabli idite na Dodaci->Dodaj novo.

Unesite naziv dodatka u polje za pretragu.

Odaberite dodatak iz rezultata pretraživanja i kliknite na instaliraj.

Nakon što instalirate Login LockDown, morate ga odmah aktivirati.

Sada možete prijeći na postavljanje ekstenzije.

Idi Postavke->Zaključavanje prijave

Nema mnogo postavki za dodatak. Prođimo ih ukratko.

Maksimalni broj pokušaja prijave- maksimalan broj pokušaja. Podrazumevano je 3, što znači da će nakon tri neuspješna pokušaja prijave pristup sa ove IP adrese biti blokiran.
Ograničenje vremenskog perioda ponovnog pokušaja (minuta)— vremenski period u minutama za koji se računaju neuspješni pokušaji prijave. Podrazumevano je 5. To jest, ako se netačna lozinka unese 3 puta u roku od pet minuta, doći će do blokade.
Trajanje blokade (minuta)- vremenski period za koji je sumnjiva IP adresa blokirana. Standardno 60 min.
Zaključati Nevažeća korisnička imena?- Treba li računati nevažeću prijavu? Podrazumevano onemogućeno. Ako je funkcija onemogućena, dodatak ne računa pogrešnu prijavu. Odnosno, teoretski, ako napadač zna lozinku s admin panela, tada će moći odabrati prijavu koliko god puta želi.
Mask Login Greške?- Maskirati greške prilikom prijavljivanja? Podrazumevano onemogućeno. Ako je funkcija onemogućena, tada se prilikom unosa pogrešnih podataka pojavljuje poruka koja obavještava šta je tačno uneseno pogrešno - prijava ili lozinka.

Kada je funkcija omogućena, poruka neće točno odrediti gdje je greška napravljena.

Prikaži kreditnu vezu?- Prikaži vezu za zaključavanje prijave. Možete birati između prikazivanja veze na web-stranicu dodatka, prikazivanja veze, ali s oznakom nofollow, ili ne prikazivanja veze.
Trenutno zaključan- lista blokiranih IP adresa i vrijeme do deblokiranja. Ovdje možete deblokirati IP.

To je ono što je Login LockDown. Nakon promjene postavki, sačuvajte ih i sada će vaš blog biti malo sigurniji.

Prethodni post
Sljedeća objava

Pozdrav, dragi čitaoci blog stranice! Tema današnjeg članka: štiti vaš WordPress blog od hakovanja odabirom lozinke za ulazak u admin panel. Ova metoda se zove . Ovaj problem je veoma relevantan, jer slučajevi neovlašćenog pristupa svetinji nad svetinjama bloga, odnosno WordPress kontrolnoj tabli, nažalost, nisu retki.

Općenito, tema o sigurnosti WordPress-a je vrlo opsežna i nije ograničena samo na one o kojima sam već pisao ranije. Mnogo nesretnije posljedice (ne želim ni da zamišljam) mogu se dogoditi ako napadači dobiju pristup administratorskoj ploči bloga. Naš zadatak je da učinimo sve da do toga ne dođe. A danas ću govoriti samo o jednom od načina za jačanje zaštite bloga. Upoznajte WordPress sigurnosni dodatak Login LockDown.

Zaštita WordPress administratora od hakovanja pomoću dodatka za zaključavanje prijave

Najlakši način da hakujete web lokaciju je da odaberete korisničko ime i lozinku za ulazak u kontrolni panel. Moram reći da mnogi blogeri sami čine 50% lakšim za hakera, ostavljajući zadanu prijavu. A onda ostaje samo da pogodite lozinku.

Jeste li promijenili svoje korisničko ime ili još uvijek imate ime admin? Ako ne, uradite to odmah. Moj članak ““ bi vam mogao pomoći u tome.

Obavezno odmah nakon instaliranja motora promijenite lozinku u sigurniju (pravimo oko 20 znakova pomoću velikih i malih slova, brojeva i posebnih znakova). Ovo se može uraditi direktno iz admin panela tako što ćete otići u meni „Korisnici“ - „Vaš profil“. Unesite novu lozinku dva puta i sačuvajte promjene klikom na “ Ažuriraj profil“. Povremeno mijenjajte lozinku i nemojte je koristiti na drugim stranicama.

Takvim jednostavnim radnjama već ćemo zakomplicirati zadatak krekerima. Ali, recimo da su se pokazali tvrdoglavi i ne ostavljaju pokušaje, koristeći posebne programe za pogađanje lozinke. Ovdje u pomoć dolazi sigurnosni dodatak za zaključavanje prijave za WordPress.

Kako funkcionira dodatak za zaključavanje prijave

Dodatak bilježi tačno vrijeme i IP adresu s koje je učinjen neuspješan pokušaj prijave na administratora bloga. Kada se u određenom vremenskom periodu napravi određeni broj neuspješnih pokušaja, dodatak blokira pristup stranici na određeno vrijeme. Prikazuje se poruka:

“Greška: Žao nam je, ali ovaj raspon IP adresa je blokiran zbog previše neuspjelih pokušaja prijave. Molimo pokušajte ponovo kasnije.”

Osim toga, imat ćete listu svih blokiranih IP adresa i mogućnost da ih deblokirate u postavkama dodatka. Razmotrimo ih detaljnije.

Instaliranje i konfiguriranje sigurnosnog dodatka Login LockDown

Instalirajte i aktivirajte dodatak. Detaljno sam opisao instalaciju ovog dodatka, kao primjer, u članku „“. Stoga, bez daljnjeg, prijeđimo na postavke.

Idite na meni "Opcije" - "Zaključavanje prijave".

Ilustracija prikazuje podrazumevane postavke. Možete ih mijenjati po svom ukusu. U nastavku ću opisati šta svaka od tačaka znači i dati svoje komentare:

1. Maksimalni broj pokušaja prijave- maksimalan broj pokušaja ulaska u administratorsku ploču bloga. Mislim da nema smisla stavljati više od tri.
2. Ograničenje vremenskog perioda ponovnog pokušaja (minuta)– vremenski period u minutama za ponovni pokušaj. Pet minuta je dovoljno da čak i dotrčate do kanadske granice, a kamoli da unesete lozinku.
3. Trajanje blokade (minuta)- vrijeme u minutama za koje je blokiran pristup WordPress admin panelu. Možete ostaviti 60 minuta, ili možete postaviti više.
4. Zaključavanje Nevažeća korisnička imena– uzeti u obzir netačan unos za prijavu? Označavamo ovu stavku i dodatak će, osim lozinke, uzeti u obzir i pogrešno napisano ime. Dodatna zaštita bloga nikada nije suvišna.
5. Maskirajte greške prilikom prijavljivanja– maskiranje grešaka u unosu netačnih podataka. Napominjemo, a onda kreker neće znati da su njegove akcije pod kontrolom (nešto nije primijetilo nikakvu razliku).
6. Trenutno zaključan- ovdje možete vidjeti listu trenutno blokiranih IP adresa i vrijeme do deblokiranja. Više o tome u nastavku.

Nakon što je sigurnosni dodatak Login LockDown konfigurisan, kliknite na dugme „Ažuriraj postavke“ da bi promene stupile na snagu.

Radi jasnoće, dešifrovaću šta se dešava kada pokušate da hakujete blog ako su podešavanja, na primer, podrazumevana, kao na gornjoj slici. Ako je lozinka unesena pogrešno više od 3 puta u intervalu od 5 minuta, tada je pristup admin panelu blokiran na 60 minuta.

Sada se vratite na listu IP adresa. Ne znam kada bi ovo moglo biti potrebno, ali imate mogućnost da deblokirate IP adresu koja je pala u nemilost. Da biste to učinili, označite ovu stavku i kliknite na "Oslobodi odabrano". Ovo vjerovatno ima smisla ako niste jedini koji ima pristup blogu. Na primjer, nekoliko autora ili freelancer treba nešto podesiti.

Još jedan detalj. Ako primijetite, na prvom snimku ekrana možete vidjeti da je upozorenje o zaštiti od strane Login LockDown dodatka prikazano ispod obrasca za prijavu na admin panelu. Trebalo bi se pojaviti ako ste ispravno instalirali dodatak i radi. Ali u ovom slučaju se gubi smisao stava 5, jer će napadač biti unaprijed upozoren na zaštitu. Uklonimo ovu oznaku.

Idite na meni "Plugins"-"Editor". Odaberite naš sigurnosni dodatak sa padajuće liste u gornjem desnom uglu i kliknite na „Odaberi“. Pronalaženje u datoteci login-lockdown/loginlockdown.php ovaj red (pogledajte sliku ispod) i uklonite sve između navodnika. Kliknite na "Ažuriraj datoteku" i idite na stranicu za prijavu. Natpis bi trebao nestati.

Obratite pažnju na upozorenje na stranici za uređivanje. Prije bilo kakvih promjena, deaktivirajte dodatak, a zatim ga ponovo omogućite. Nadam se da je prije bilo kakvog uređivanja fajlova potrebno napraviti njihove kopije, nema potrebe podsjećati.

Sad Sigurnosni dodatak za zaključavanje prijave u WordPress neće dozvoliti napadaču da uđe u admin panel pogađanjem lozinke. Naravno, ovo ne garantuje 100% WordPress zaštitu od hakova i drugih problema. Ali svaka vrsta zaštite bloga će izgraditi zid ispred neprijatelja ciglu po ciglu. Što je ovaj zid viši, to ćete mirnije spavati noću.

Morate dobro zapamtiti da morate obratiti pažnju na sigurnosna pitanja bloga ne manje od pisanja jedinstvenog sadržaja i promocije na pretraživačima. U budućim člancima ću se više puta vraćati na ovu temu. Pretplatite se na ažuriranja bloga kako biste uvijek bili u toku. Vidimo se uskoro!

Dobar dan, dragi čitaoci! Danas ćemo se povećati sigurnost u wordpress-u. WordPress je već dobro zaštićen, ali nam dodatna sigurnost neće naškoditi.

Prvo, zatvorimo pristup nepotrebnim datotekama. Unesite adresu pretraživača, na primjer, vaš_blog/wp-content i ako vidite bijeli ekran, onda je sve u redu:

Ako imate listu datoteka, onda morate učiniti sljedeće (čak i ako postoji bijeli ekran, bolje je učiniti sljedeće):

Sigurnost u WordPress-u s dodatkom za zaključavanje prijave

Takođe, vaš blog može biti hakovan tako što ćete pogoditi lozinku za blog. Ako postavite vrlo laganu lozinku, hakeri mogu lako "probiti" na vaš blog pomoću posebnih skripti.

Konfiguriranje sigurnosnog dodatka za zaključavanje prijave

Da biste došli do postavki dodatka, morate ići na WordPress Admin –> Postavke –> Zaključavanje prijave:

1. Maksimalni broj pokušaja prijave– maksimalan broj pokušaja lozinke.

2. Ograničenje vremenskog perioda ponovnog pokušaja (minuta)– broj minuta za koje se računa maksimalan broj pokušaja lozinke.

3. Trajanje blokade (minuta) vrijeme blokiranja.

Odnosno, ako brojevi ostanu isti kao na gornjoj slici, onda to znači sljedeće: ako se za 5 minuta lozinka unese pogrešno 3 puta zaredom, tada je WordPress admin zona blokirana 60 minuta.

Postavke dodatka Login LockDown ostavio sam po defaultu, ništa nisam dirao, pošto mi u potpunosti odgovaraju.

Možda se za danas sve vrti oko sigurnosti u WordPress-u (Wordpress). Vidimo se na narednim časovima!

P.s. Ne zaboravite, svježe korisne lekcije izlaze svakog radnog dana, pa se svakako pretplatite na RSS!

27.02.2017. Romchik

Dobar dan. U ovom članku ćemo razmotriti jedno od pitanja zaštite WordPress stranice, tačnije, zaštitu WordPress admin panela. Da budemo precizniji, fokusirajmo se na razmatranje dodatka koji vam omogućava da ograničite broj pokušaja prijave na WordPress admin panel. Instalirat ćemo i konfigurirati Login LockDown dodatak za WordPress.

Prvo morate preuzeti i instalirati dodatak Login LockDown sa službene web stranice. Instaliranje ovog dodatka nije teško, pa se nećemo zadržavati na njemu.

Pogledajmo bliže postavku.

Karakteristike dodatka -Ulogovati se zaključano

Dodatak vam omogućava da blokirate ip-adresu na neko vrijeme ako je bilo nekoliko neuspješnih pokušaja autorizacije tokom određenog vremena. čemu služi? Ovo je uobičajena zaštita od grube sile (izbor prijave i lozinke). Evo primjera iz života mog bloga, ekrana iz datoteke access.log

Kao što vidite, korisnik sa ip adresom 124.104.31.203 pokušava da uradi nešto na stranici za autorizaciju. I pokušao je podići korisničko ime i lozinku. Nakon nekoliko pokušaja, njegova IP adresa je blokirana.