Nastavení a popis Plugin Login LockDown. Konfigurace a popis Plugin Login LockDown Instalace a konfigurace pluginu pro uzamčení přihlášení

Vítám tě v mém!
Jak jsou weby hacknuty? Nejjednodušší a nejrychlejší způsob hackování je vybrat si uživatelské jméno a heslo v admin panelu. Většina vlastníků internetových zdrojů ponechává výchozí přihlášení správce, což hackerům značně zjednodušuje úkol – stačí jim uhodnout heslo. Pokud jste to ještě neudělali, pak důrazně doporučuji změnit výchozí hodnotu „admin“ na jedinečné přihlášení. Své přihlašovací jméno a heslo pro přístup k ovládacímu panelu webu můžete změnit v části „Uživatelé“ na panelu správce nebo prostřednictvím databáze vašeho blogu.

Nebude zbytečné zmínit, že heslo musí být silné - skládající se z 8 nebo více znaků. Jaké je nejlepší heslo pro váš účet, můžete zjistit přečtením tohoto. Takže komplikujete úkol hackerů.

Dalším skvělým nástrojem pro ochranu ovládacího panelu Wordpres před používáním programů na hádání hesel ze strany vetřelců je plugin uzamčení přihlášení.

Akce pluginu Login LockDown.

Tento plugin funguje následujícím způsobem. Sleduje neúspěšné pokusy o přihlášení do ovládacího panelu internetového zdroje a zaznamenává IP adresu a přesný čas.

Pokud je během určité doby zaznamenáno několik neúspěšných pokusů z této adresy, plugin tohoto uživatele zablokuje na dobu určenou v nastavení.
Na obrazovce se zobrazí chybová zpráva a cracker ztratí všechny šance na uhodnutí hesla.

Instalace LockDown přihlášení na web.

Jak nainstalovat pluginy do WordPressu jsem již popsal v tomto.
Instalace pluginu Login LockDown se příliš neliší od instalace jiných podobných nástrojů.
Musíte přejít na panel správce webu, vybrat panel „Pluginy“ a kliknout na tlačítko „Přidat nový“.

Poté se otevře standardní okno pro přidávání nástrojů, ve kterém můžete plugin najít podle klíčových slov nebo využít stahování souborů z vašeho PC, pokud jste si jej stáhli dříve.
Dále je třeba potvrdit instalaci nástroje a aktivovat jej.

Konfigurace uzamčení přihlášení.

Abyste mohli ochranu přizpůsobit svým potřebám, musíte přejít do nastavení pluginu.
Chcete-li to provést, vyberte nabídku „Možnosti“ a najděte v ní bezpečnostní plugin.

Otevře se před vámi okno s nastavením nástroje.

Popis nastavení pluginu Login LockDown.

Max Login Retries – odpovídá za maximální možný počet neúspěšných pokusů před aktivací zámku;
Retry Time Period Restriction – časové období, po které je zohledněno zadání nesprávného hesla do administrátorského panelu. Zde platí, že čím více času vložíte, tím bude bezpečnější;
Lockout Length – doba, po kterou bude podezřelá IP adresa zablokována;
Uzamknout neplatná uživatelská jména – tato položka kontroluje, zda je přihlašovací jméno uživatele zadáno správně.
To znamená, že pokud jej neaktivujete, můžete si přihlášení vybrat kolikrát chcete. A přihlášení k účtu nebude zablokováno, pokud bude zadáno správné heslo. Je lepší jej aktivovat, zvyšuje se tím spolehlivost blogu;
Maskovat chyby přihlášení – maskuje chybu zadávání dat na obrazovce útočníka.
Pokud není aktivován, zobrazí se na obrazovce nápověda, co přesně jste zadali špatně, přihlašovací jméno nebo heslo.

Je lepší tuto funkci povolit.

Padouch tedy nepochopí, že zadal špatné heslo nebo přihlašovací jméno;

Aktuálně uzamčeno – seznam blokovaných IP adres a čas zbývající do odblokování přístupu.

Zde můžete odblokovat jakoukoli IP adresu.
Po provedení všech nezbytných změn klikněte na tlačítko "Aktualizovat nastavení", aby se projevily.
Nyní bude přístup k ovládacímu panelu webu chráněn pluginem a hackeři nebudou moci pomocí programů hádat hesla.

WordPress je dnes nejpopulárnější redakční systém. A je jasné proč: snadné použití a konfigurace, mnoho pluginů, zdarma. Ale zároveň hodně pozornosti útočníků. Stránky na Wordptess jsou velmi často cílem útoků. Důvody pro hacknutí stránky jsou různé, přesněji řečeno, důvod je stejný - peníze, přístupy jsou různé. Jedním ze způsobů, jak hacknout stránky, a to i na WordPressu, je hrubá síla nebo v ruštině - metoda hrubé síly (brute force - brute force) - když se pokusí získat přístup na stránku výběrem uživatelského jména a hesla.

Všichni uživatelé WordPressu vědí, že vstup do panelu pro správu webu se nachází na adrese site.com/wp-login.php nebo site.com/wp-admin, ze kterého budete stále převedeni na první. Své o tom vědí i útočníci. Pokud jste tedy nezodpovědní při ochraně administrátorského panelu, pak se výrazně zvyšuje pravděpodobnost napadení vašeho webu. Jak můžete zabránit těm, kteří se nepotřebují dostat do panelu administrátora?

Prvním, nejbanálnějším, ale neméně důležitým, je volba silného hesla a změna standardního přihlášení.

Druhým je instalace speciálních pluginů pro ochranu admin panelu.

Třetím je nastavení rcdirects a ruční úprava souborů WordPress.

A také nyní většina hostingů nabízí ochranu pro administrátorský panel.

V tomto článku chci hovořit o pluginu Uzamčení přihlášení, který pomůže ochránit panel správce vašeho webu WordPress před hádáním hesla.

Jaký je princip pluginu? Když se někdo pokusí dostat do vašeho administrátorského panelu a nesprávně zadá data, přihlašovací jméno nebo heslo, několikrát za určité časové období – Login LockDown zablokuje IP adresu, ze které byl po určitou dobu pokus o přístup.

Instalace pluginu

Plugin můžete nainstalovat prostřednictvím vestavěného správce WordPress. Chcete-li to provést, přejděte na ovládacím panelu na Pluginy->Přidat nový.

Do vyhledávacího pole zadejte název pluginu.

Vyberte plugin z výsledků vyhledávání a klikněte na nainstalovat.

Po instalaci Login LockDown jej musíte okamžitě aktivovat.

Nyní můžete přejít k nastavení rozšíření.

Jít do Nastavení->Login LockDown

Nastavení pluginu není mnoho. Pojďme si je krátce projít.

Maximální počet opakování přihlášení- maximální počet pokusů. Výchozí hodnota je 3, což znamená, že po třech neúspěšných pokusech o přihlášení bude přístup z této IP adresy zablokován.
Omezení časového období opakování (minuty)— doba v minutách, po kterou se počítají neúspěšné pokusy o přihlášení. Výchozí hodnota je 5. To znamená, že pokud je během pěti minut třikrát zadáno nesprávné heslo, dojde k zablokování.
Délka uzamčení (minuty)- doba, po kterou je podezřelá IP blokována. Výchozí 60 min.
Uzamknout neplatná uživatelská jména?- Mělo by se počítat neplatné přihlášení? Ve výchozím nastavení zakázáno. Pokud je funkce zakázána, plugin nepočítá chybné přihlášení. To znamená, že teoreticky, pokud útočník zná heslo z panelu administrátora, bude si moci vybrat přihlášení, kolikrát bude chtít.
Chyby přihlášení masky?- Maskovat chyby přihlášení? Ve výchozím nastavení zakázáno. Pokud je funkce deaktivována, pak se při zadání nesprávných údajů zobrazí zpráva s upozorněním, co přesně bylo zadáno špatně - přihlašovací jméno nebo heslo.

Když je funkce povolena, zpráva nebude přesně specifikovat, kde k chybě došlo.

Zobrazit odkaz na kredit?- Zobrazit odkaz na uzamčení přihlášení. Můžete si vybrat mezi zobrazením odkazu na stránku pluginu, zobrazením odkazu, ale se značkou nofollow, nebo nezobrazením odkazu.
Momentálně uzamčeno- seznam blokovaných IP adres a čas do odblokování. Zde můžete odblokovat IP.

To je funkce Login LockDown. Po změně nastavení je uložte a váš blog bude nyní o něco bezpečnější.

Předchozí příspěvek
Další příspěvek

Dobrý den, milí čtenáři tohoto blogu! Téma dnešního článku: ochrana vašeho blogu WordPress před hackováním výběrem hesla pro vstup do administračního panelu. Tato metoda se nazývá . Tento problém je velmi relevantní, protože případy neoprávněného přístupu ke svatyni blogu, konkrétně k ovládacímu panelu WordPress, bohužel nejsou vůbec vzácné.

Obecně je téma zabezpečení WordPressu velmi rozsáhlé a neomezuje se pouze na ty, o kterých jsem již psal dříve. Mnohem nešťastnější důsledky (ani si to nechci představovat) mohou nastat, pokud útočníci získají přístup k panelu správce blogu. Naším úkolem je udělat vše pro to, aby se to nestalo. A dnes budu mluvit pouze o jednom ze způsobů, jak posílit ochranu blogu. Seznamte se s bezpečnostním pluginem WordPress Uzamčení přihlášení.

Ochrana správce WordPress před hackováním pomocí pluginu Login LockDown

Nejjednodušší způsob, jak hacknout stránky, je vyzvednutí uživatelského jména a hesla pro vstup do ovládacího panelu. Musím říci, že mnoho bloggerů samo o sobě to hackerovi usnadňuje o 50% a ponechává výchozí přihlášení. A pak už zbývá jen uhodnout heslo.

Změnili jste své uživatelské jméno nebo stále máte jméno admin? Pokud ne, udělejte to okamžitě. V tom vám může pomoci můj článek „“.

Ujistěte se, že ihned po instalaci enginu změňte heslo na bezpečnější (děláme asi 20 znaků pomocí velkých a malých písmen, číslic a speciálních znaků). To lze provést přímo z panelu administrátora v nabídce „Uživatelé“ - „Váš profil“. Dvakrát zadejte nové heslo a uložte změny kliknutím na „ Aktualizovat profil“. Heslo pravidelně měňte a nepoužívejte ho na jiných stránkách.

S takovými jednoduchými akcemi již úkol pro crackery zkomplikujeme. Ale řekněme, že se ukázali být tvrdohlaví a neopouštějí pokusy pomocí speciálních programů pro hádání hesla. Zde přichází na pomoc bezpečnostní plugin WordPress Login LockDown.

Jak funguje plugin LockDown

Plugin zaznamená přesný čas a IP adresu, ze které byl proveden neúspěšný pokus o přihlášení k adminovi blogu. Pokud dojde k určitému počtu neúspěšných pokusů v určitém časovém období, plugin zablokuje přístup na stránku na určitou dobu. Zobrazí se zpráva:

"Chyba: Omlouváme se, ale tento rozsah IP byl zablokován z důvodu příliš mnoha neúspěšných pokusů o přihlášení." Prosím zkuste to znovu později."

Navíc budete mít seznam všech blokovaných IP adres a možnost je odblokovat v nastavení pluginu. Zvažme je podrobněji.

Instalace a konfigurace bezpečnostního pluginu Login LockDown

Nainstalujte a aktivujte plugin. Instalaci tohoto pluginu jsem podrobně popsal jako příklad v článku „“. Proto bez dalších řečí přejděme k nastavení.

Přejděte do nabídky „ Možnosti“ - „ Uzamčení přihlášení“.

Obrázek ukazuje výchozí nastavení. Můžete je změnit podle svého. Níže popíšu, co každý z bodů znamená, a uvedu své komentáře:

1. Maximální počet opakování přihlášení- maximální počet pokusů o vstup do panelu administrace blogu. Myslím, že nemá smysl dávat více než tři.
2. Omezení časového období opakování (minuty)– časový interval v minutách pro opakování. Pět minut stačí na to, abyste i běželi ke kanadské hranici, natož abyste zadali heslo.
3. Délka uzamčení (minuty)- doba v minutách, po kterou je zablokován přístup k administračnímu panelu WordPress. Můžete nechat 60 minut, nebo můžete nastavit více.
4. Uzamčení Neplatná uživatelská jména– zohlednit nesprávné zadání přihlášení? Tuto položku označíme a plugin kromě hesla zohlední i špatně napsané jméno. Dodatečná ochrana blogu není nikdy zbytečná.
5. Chyby přihlášení masky– maskování chyb při zadávání nesprávných údajů. Zaznamenáme, a pak cracker nebude vědět, že jeho akce jsou pod kontrolou (něco nezaznamenalo žádný rozdíl).
6. Momentálně uzamčeno- zde vidíte seznam aktuálně blokovaných IP adres a čas do odblokování. Více o tom níže.

Po nakonfigurování bezpečnostního pluginu Login LockDown klikněte na tlačítko „Aktualizovat nastavení“, aby se změny projevily.

Pro názornost rozluštím, co se stane, když se pokusíte hacknout blog, pokud je nastavení například ve výchozím nastavení, jako na obrázku výše. Pokud je heslo zadáno nesprávně více než 3x v intervalu 5 minut, je přístup do administračního panelu zablokován na 60 minut.

Nyní zpět k seznamu IP adres. Nevím, kdy by to mohlo být potřeba, ale máte možnost odblokovat IP adresu, která upadla v nemilost. Chcete-li to provést, zaškrtněte tuto položku a klikněte na „Uvolnit vybrané“. To pravděpodobně dává smysl, pokud nejste jediný, kdo má přístup k blogu. Například několik autorů nebo nezávislý pracovník potřebuje něco upravit.

Ještě jeden detail. Pokud si všimnete, na prvním snímku obrazovky můžete vidět, že se pod přihlašovacím formulářem v admin panelu zobrazuje upozornění na ochranu pluginem Login LockDown. Mělo by se objevit, pokud jste plugin nainstalovali správně a funguje. Ale v tomto případě se smysl odstavce 5 ztrácí, protože útočník bude na ochranu předem upozorněn. Pojďme tento štítek odstranit.

Přejděte do nabídky " Pluginy " - " Editor ". Vyberte náš bezpečnostní plugin z rozevíracího seznamu vpravo nahoře a klikněte na „Vybrat“. Hledání v souboru login-lockdown/loginlockdown.php tento řádek (viz obrázek níže) a odstraňte vše mezi uvozovkami. Klikněte na "Aktualizovat soubor" a přejděte na přihlašovací stránku. Nápis by měl zmizet.

Věnujte pozornost upozornění na stránce úprav. Před provedením jakýchkoli změn plugin deaktivujte a poté jej znovu povolte. Doufám, že před jakoukoliv úpravou souborů je potřeba udělat si jejich kopie, netřeba připomínat.

Nyní Bezpečnostní plugin WordPress Login LockDown nedovolí útočníkovi dostat se do administrátorského panelu uhodnutím hesla. To samozřejmě nezaručuje 100% ochranu WordPress před hacky a jinými problémy. Ale každý typ ochrany blogu postaví před nepřítelem zeď cihlu po cihle. Čím vyšší je tato stěna, tím klidněji budete v noci spát.

Musíte si dobře pamatovat, že je třeba věnovat pozornost bezpečnostním problémům blogu ne méně než psaní jedinečného obsahu a propagaci ve vyhledávačích. V dalších článcích se k tomuto tématu ještě nejednou vrátím. Přihlaste se k odběru aktualizací blogu, abyste byli vždy v obraze. Brzy se uvidíme!

Dobré odpoledne, milí čtenáři! Dnes budeme přibývat zabezpečení ve wordpressu. WordPress je již dobře chráněn, ale dodatečné zabezpečení nám neublíží.

Nejprve uzavřeme přístup k nepotřebným souborům. Zadejte adresu prohlížeče, např. váš_blog/wp-content a pokud vidíte bílou obrazovku, pak je vše v pořádku:

Pokud máte seznam souborů, musíte udělat následující (i když je bílá obrazovka, je lepší udělat následující):

Zabezpečení ve WordPressu pomocí pluginu Login LockDown

Také váš blog může být hacknut uhodnutím hesla vašeho blogu. Pokud nastavíte velmi lehké heslo, hackeři mohou snadno „proniknout“ do vašeho blogu pomocí speciálních skriptů.

Konfigurace bezpečnostního pluginu Login LockDown

Chcete-li se dostat do nastavení pluginu, musíte přejít na WordPress Admin –> Nastavení –> Uzamčení přihlášení:

1. Maximální počet opakování přihlášení– maximální počet pokusů o zadání hesla.

2. Omezení časového období opakování (minuty)– počet minut, po které se počítá maximální počet pokusů o zadání hesla.

3. Délka uzamčení (minuty) blokovací čas.

To znamená, že pokud čísla zůstanou stejná jako na obrázku výše, znamená to následující: pokud za 5 minut zadáte 3krát za sebou nesprávně heslo, bude oblast administrátora WordPress na 60 minut zablokována.

Nastavení pluginu Login LockDown jsem nechal ve výchozím nastavení, ničeho jsem se nedotkl, protože mi naprosto vyhovují.

Možná je dnes vše o bezpečnosti ve WordPressu (Wordpress). Uvidíme se v dalších lekcích!

P.s. Nezapomeňte, každý všední den vycházejí nové užitečné lekce, takže se nezapomeňte přihlásit k odběru RSS!

27.02.2017 Romchik

Dobrý den. V tomto článku se budeme zabývat jedním z problémů ochrany webu WordPress, přesněji ochrany panelu správce WordPress. A abychom byli přesnější, zaměřme se na úvahu o pluginu, který vám umožní omezit počet pokusů o přihlášení do administračního panelu WordPress. Nainstalujeme a nakonfigurujeme plugin Login LockDown pro WordPress.

Nejprve si musíte stáhnout a nainstalovat plugin Login LockDown z oficiálních stránek. Instalace tohoto pluginu není obtížná, takže se u toho nebudeme zdržovat.

Podívejme se blíže na nastavení.

Funkce pluginu -Přihlásit se izolování

Plugin umožňuje na chvíli zablokovat ip-adresu, pokud během určité doby došlo k několika neúspěšným pokusům o autorizaci. K čemu to je? Jedná se o obvyklou ochranu před hrubou silou (přihlášení a výběr hesla). Zde je příklad ze života mého blogu, obrazovka ze souboru access.log

Jak vidíte, uživatel s IP adresou 124.104.31.203 se pokouší něco udělat na autorizační stránce. A pokusil se vyzvednout uživatelské jméno a heslo. Po několika pokusech byla jeho IP adresa zablokována.