Spraudņa pieteikšanās LockDown iestatīšana un apraksts. Plugin Login LockDown konfigurācija un apraksts Pieteikšanās bloķēšanas spraudņa instalēšana un konfigurēšana

Es sveicu jūs manējā!
Kā tiek uzlauztas vietnes? Vienkāršākais un ātrākais uzlaušanas veids ir administratora panelī atlasīt lietotājvārdu un paroli. Lielākā daļa interneta resursu īpašnieku atstāj noklusējuma administratora pieteikšanos, kas ievērojami vienkāršo hakeru uzdevumu - viņiem vienkārši ir jāuzmin parole. Ja jūs to iepriekš neesat izdarījis, es ļoti iesaku mainīt noklusējuma vērtību "admin" uz unikālu pieteikšanos. Varat mainīt savu pieteikumvārdu un paroli, lai piekļūtu vietnes vadības panelim administratora paneļa sadaļā “Lietotāji” vai izmantojot sava emuāra datu bāzi.

Nebūs lieki pieminēt, ka parolei jābūt spēcīgai – tai jābūt no 8 vai vairāk rakstzīmēm. Kura ir labākā jūsu konta parole, varat uzzināt, izlasot šo. Tātad jūs sarežģījat hakeru uzdevumu.

Vēl viens lielisks rīks Wordpres vadības paneļa aizsardzībai pret paroles uzminēšanas programmām, ko izmanto iebrucēji pieteikšanās bloķēšanas spraudnis.

Spraudņa darbība Pieteikšanās LockDown.

Šis spraudnis darbojas šādi. Tas uzrauga neveiksmīgus mēģinājumus pieteikties interneta resursa vadības panelī un fiksē IP adresi un precīzu laiku.

Ja noteiktā laikā tiek reģistrēti vairāki neveiksmīgi mēģinājumi no šīs adreses, spraudnis bloķēs šo lietotāju uz iestatījumos norādīto laiku.
Ekrānā tiks parādīts kļūdas ziņojums, un uzlauzējs zaudēs visas iespējas uzminēt paroli.

Pieteikšanās bloķēšanas instalēšana vietnē.

Kā instalēt spraudņus programmā WordPress, es jau aprakstīju šajā.
Login LockDown spraudņa instalēšana daudz neatšķiras no citu līdzīgu rīku instalēšanas.
Jums jādodas uz vietnes administratora paneli, atlasiet paneli "Plugins" un noklikšķiniet uz pogas "Pievienot jaunu".

Pēc tam tiks atvērts standarta logs rīku pievienošanai, kurā varat atrast spraudni pēc atslēgvārdiem vai izmantot failu lejupielādi no datora, ja to lejupielādējāt iepriekš.
Tālāk jums jāapstiprina rīka instalēšana un jāaktivizē.

Pieteikšanās bloķēšanas konfigurēšana.

Lai pielāgotu aizsardzību savām vajadzībām, jums jāiet uz spraudņa iestatījumiem.
Lai to izdarītu, atlasiet izvēlni "Opcijas" un atrodiet tajā drošības spraudni.

Jūsu priekšā tiks atvērts logs ar rīku iestatījumiem.

Max Login Retries - atbild par maksimālo iespējamo neveiksmīgo mēģinājumu skaitu, pirms tiek aktivizēta bloķēšana;
Retry Time Period Restriction - laika periods, kurā tiek ņemta vērā nepareizas paroles ievadīšana admin panelī. Šeit, jo vairāk laika likt, jo drošāk tas būs;
Lockout Length - laiks, uz kuru tiks bloķēta aizdomīga IP adrese;
Lockout Invalid Usernames – šis vienums pārbauda, vai lietotāja pieteikšanās ir ievadīta pareizi.
Tas ir, ja jūs to neaktivizējat, pieteikšanos var atlasīt tik reižu, cik vēlaties. Un pieteikšanās kontā netiks bloķēta, ja tiks ievadīta pareizā parole. Labāk to aktivizēt, tas palielina emuāra uzticamību;
Maska pieteikšanās kļūdas — maskē datu ievades kļūdu uzbrucēja ekrānā.
Ja tas nav aktivizēts, ekrānā tiks parādīts mājiens, ko tieši ievadījāt nepareizi, pieteikšanās vārdu vai paroli.

Labāk ir iespējot šo funkciju.

Tātad ļaundaris nesapratīs, ka ievadījis nepareizu paroli vai pieteikšanos;

Currently Locked Out — bloķēto IP saraksts un atlikušais laiks līdz piekļuves atbloķēšanai.

Šeit jūs varat atbloķēt jebkuru IP adresi.
Pēc visu nepieciešamo izmaiņu veikšanas noklikšķiniet uz pogas "Atjaunināt iestatījumus", lai tās stātos spēkā.
Tagad piekļuve vietnes vadības panelim tiks aizsargāta ar spraudni, un hakeri nevarēs izmantot programmas paroļu uzminēšanai.

WordPress ir mūsdienās populārākā satura pārvaldības sistēma. Un ir skaidrs, kāpēc: ērta lietošana un konfigurācija, daudzi spraudņi, bezmaksas. Taču tajā pašā laikā liela uzmanība no uzbrucēju puses. Wordptess vietnes ļoti bieži ir uzbrukumu mērķis. Vietnes uzlaušanas iemesli ir dažādi, precīzāk, iemesls ir viens - nauda, pieejas ir dažādas. Viens no veidiem, kā uzlauzt vietni, tostarp WordPress, ir brutālais spēks vai krieviski - brutālā spēka metode (brute force - brute force) - tas ir, kad viņi mēģina piekļūt vietnei, izvēloties lietotājvārdu un paroli.

Visi WordPress lietotāji zina, ka ieeja vietnes admin panelī atrodas vietnē site.com/wp-login.php vai site.com/wp-admin, no kuras jūs tik un tā tiksiet pārcelts uz pirmo. Par to zina arī uzbrucēji. Tāpēc, ja esat bezatbildīgs, aizsargājot administratora paneli, ievērojami palielinās iespēja, ka jūsu vietne tiks uzlauzta. Kā neļaut tiem, kam nav nepieciešams, iekļūt admin panelī?

Pirmais un visbanālākais, bet ne mazāk svarīgs ir spēcīgas paroles izvēle un standarta pieteikšanās maiņa.

Otrais ir īpašu spraudņu instalēšana, lai aizsargātu administratora paneli.

Trešais ir rcdirects iestatīšana un WordPress failu manuāla rediģēšana.

Un arī tagad lielākā daļa mitināšanas no savas puses piedāvā aizsardzību administrācijas panelim.

Šajā rakstā es vēlos runāt par Login Lockdown spraudni, kas palīdzēs aizsargāt jūsu WordPress vietnes administratora paneli no paroles uzminēšanas.

Kāds ir spraudņa darbības princips? Ja kāds mēģina iekļūt jūsu administratora panelī un nepareizi ievada datus, pieteikumvārdu vai paroli, noteiktu skaitu reižu noteiktā laika periodā - Login LockDown noteiktu laiku bloķē IP adresi, no kuras tika mēģināts piekļūt.

Spraudņa instalēšana

Spraudni var instalēt, izmantojot iebūvēto WordPress pārvaldnieku. Lai to izdarītu, vadības panelī dodieties uz Spraudņi-> Pievienot jaunu.

Meklēšanas laukā ievadiet spraudņa nosaukumu.

Meklēšanas rezultātos atlasiet spraudni un noklikšķiniet uz instalēt.

Pēc Login LockDown instalēšanas jums tas nekavējoties jāaktivizē.

Tagad varat pāriet uz paplašinājuma iestatīšanu.

Iet uz Iestatījumi-> Pieteikšanās bloķēšana

Spraudnim nav daudz iestatījumu. Īsi apskatīsim tos.

Maksimālais pieteikšanās mēģinājums- maksimālais mēģinājumu skaits. Noklusējums ir 3, kas nozīmē, ka pēc trim neveiksmīgiem pieteikšanās mēģinājumiem piekļuve no šīs IP tiks bloķēta.
Atkārtota mēģinājuma laika perioda ierobežojums (minūtes)— laika periods minūtēs, kurā tiek skaitīti neveiksmīgi pieteikšanās mēģinājumi. Noklusējums ir 5. Tas ir, ja piecu minūšu laikā 3 reizes tiek ievadīta nepareiza parole, notiks bloķēšana.
Bloķēšanas ilgums (minūtes)- laika periods, uz kuru tiek bloķēts aizdomīgs IP. Pēc noklusējuma 60 min.
Lockout nederīgi lietotājvārdi?- Vai nederīga pieteikšanās ir jāuzskaita? Atspējots pēc noklusējuma. Ja funkcija ir atspējota, spraudnis neuzskaita nepareizu pieteikšanos. Tas ir, teorētiski, ja uzbrucējs zina paroli no administratora paneļa, tad viņš varēs izvēlēties pieteikšanos tik reižu, cik viņam patīk.
Vai maskē pieteikšanās kļūdas?- Maskēt pieteikšanās kļūdas? Atspējots pēc noklusējuma. Ja funkcija ir atspējota, tad, ievadot nepareizus datus, parādās ziņojums, kas informē, kas tieši ir ievadīts nepareizi - pieteikšanās vai parole.

Kad funkcija ir iespējota, ziņojums precīzi nenorādīs, kur tika pieļauta kļūda.

Vai rādīt kredīta saiti?- Rādīt saiti uz Login LockDown. Varat izvēlēties, vai rādīt saiti uz spraudņa vietni, rādīt saiti, bet ar tagu nofollow, vai nerādīt saiti.
Pašlaik ir izslēgts- bloķēto IP saraksts un laiks līdz atbloķēšanai. Šeit jūs varat atbloķēt IP.

Lūk, tas ir Login LockDown. Pēc iestatījumu maiņas saglabājiet tos, un tagad jūsu emuārs būs nedaudz drošāks.

Iepriekšējais ieraksts
Nākamais ieraksts

Sveiki, dārgie emuāra vietnes lasītāji! Šodienas raksta tēma: aizsargāt savu WordPress emuāru no uzlaušanas izvēloties paroli, lai ieietu administratora panelī. Šo metodi sauc. Šī problēma ir ļoti aktuāla, jo gadījumi, kad tiek nesankcionēta piekļuve emuāra svētumam, proti, WordPress vadības panelim, diemžēl nav retums.

Kopumā WordPress drošības tēma ir ļoti plaša un neaprobežojas tikai ar tām, par kurām jau rakstīju iepriekš. Daudz bēdīgākas sekas (es pat negribu iedomāties) var rasties, ja uzbrucēji piekļūst emuāra administratora panelim. Mūsu uzdevums ir darīt visu iespējamo, lai tas nenotiktu. Un šodien es runāšu tikai par vienu no veidiem, kā stiprināt emuāra aizsardzību. Iepazīstieties ar WordPress drošības spraudni Pieteikties LockDown.

WordPress administratora aizsardzība pret uzlaušanu, izmantojot Login LockDown spraudni

Vienkāršākais veids, kā uzlauzt vietni, ir ievadīt lietotājvārdu un paroli, lai atvērtu vadības paneli. Jāsaka, ka daudzi emuāru autori paši to hakeram atvieglo par 50%, atstājot noklusējuma pieteikšanos. Un tad atliek tikai uzminēt paroli.

Vai esat mainījis savu lietotājvārdu vai arī jums joprojām ir vārds admin? Ja nē, tad dariet to nekavējoties. Mans raksts "" var jums palīdzēt šajā jautājumā.

Noteikti uzreiz pēc dzinēja uzstādīšanas nomainiet paroli uz drošāku (izveidojam apmēram 20 rakstzīmes, izmantojot lielos un mazos burtus, ciparus un speciālās rakstzīmes). To var izdarīt tieši no administratora paneļa, dodoties uz izvēlni "Lietotāji" - "Jūsu profils". Divreiz ievadiet jauno paroli un saglabājiet izmaiņas, noklikšķinot uz " Atjaunot profilu“. Periodiski mainiet savu paroli un neizmantojiet to citās vietnēs.

Ar tik vienkāršām darbībām mēs jau sarežģīsim krekeru uzdevumu. Bet, pieņemsim, viņi izrādījās spītīgi un neatstāj mēģinājumus, izmantojot īpašas programmas paroles uzminēšanai. Šeit palīgā nāk drošības spraudnis WordPress Login LockDown.

Kā darbojas Login LockDown spraudnis

Spraudnis fiksē precīzu laiku un IP adresi, no kuras tika veikts neveiksmīgs pieteikšanās mēģinājums emuāra administratoram. Ja noteiktā laika periodā tiek veikts noteikts skaits neveiksmīgu mēģinājumu, spraudnis uz noteiktu laiku bloķē piekļuvi vietnei. Tiek parādīts ziņojums:

"Kļūda: Atvainojiet, bet šis IP diapazons ir bloķēts pārāk daudzu neveiksmīgu pieteikšanās mēģinājumu dēļ. Lūdzu, pamēģiniet vēlreiz vēlāk."

Turklāt jums būs visu bloķēto IP adrešu saraksts un iespēja tās atbloķēt spraudņa iestatījumos. Apsvērsim tos sīkāk.

Login LockDown drošības spraudņa instalēšana un konfigurēšana

Instalējiet un aktivizējiet spraudni. Es detalizēti aprakstīju šī spraudņa instalēšanu, piemēram, rakstā ““. Tāpēc bez papildu piepūles pāriesim pie iestatījumiem.

Dodieties uz izvēlni " Opcijas" - " Pieteikties LockDown".

Attēlā parādīti noklusējuma iestatījumi. Jūs varat tos mainīt pēc saviem ieskatiem. Tālāk es aprakstīšu, ko nozīmē katrs no punktiem, un sniegšu savus komentārus:

1. Maksimālais pieteikšanās mēģinājums- maksimālais mēģinājumu skaits iekļūt emuāra administrācijas panelī. Es domāju, ka nav jēgas likt vairāk par trim.
2. Atkārtota mēģinājuma laika perioda ierobežojums (minūtes)– laika periods minūtēs, lai mēģinātu vēlreiz. Pietiek ar piecām minūtēm, lai pat aizskrietu līdz Kanādas robežai, nemaz nerunājot par paroles ievadīšanu.
3. Bloķēšanas ilgums (minūtes)- laiks minūtēs, uz kuru ir bloķēta piekļuve WordPress administratora panelim. Varat atstāt 60 minūtes vai iestatīt vairāk.
4. Lockout nederīgi lietotājvārdi– ņem vērā nepareizu pieteikšanās ievadi? Mēs atzīmējam šo vienumu, un spraudnis papildus parolei ņems vērā arī nepareizi uzrakstīto nosaukumu. Emuāra papildu aizsardzība nekad nav lieka.
5. Maska pieteikšanās kļūdas– nepareizu datu ievadīšanas kļūdu maskēšana. Mēs atzīmējam, un tad krekeris nezinās, ka viņa darbības tiek kontrolētas (kaut kas nepamanīja atšķirību).
6. Pašlaik ir izslēgts- šeit jūs varat redzēt pašlaik bloķēto IP adrešu sarakstu un laiku līdz atbloķēšanai. Vairāk par to zemāk.

Kad Login LockDown drošības spraudnis ir konfigurēts, noklikšķiniet uz pogas “Atjaunināt iestatījumus”, lai izmaiņas stātos spēkā.

Skaidrības labad es atšifrēšu, kas notiek, mēģinot uzlauzt emuāru, ja iestatījumi ir, piemēram, pēc noklusējuma, kā attēlā iepriekš. Ja parole ir ievadīta nepareizi vairāk nekā 3 reizes ar 5 minūšu intervālu, tad piekļuve administratora panelim tiek bloķēta uz 60 minūtēm.

Tagad atgriezieties pie IP adrešu saraksta. Es nezinu, kad tas varētu būt nepieciešams, bet jums ir iespēja atbloķēt IP adresi, kas ir zaudējusi labvēlību. Lai to izdarītu, atzīmējiet šo vienumu un noklikšķiniet uz "Atlaist atlasīto". Tas, iespējams, ir loģiski, ja neesat vienīgais, kam ir piekļuve emuāram. Piemēram, vairākiem autoriem vai ārštata darbiniekam kaut kas ir jāpielāgo.

Vēl viena detaļa. Ja pamanāt, pirmajā ekrānuzņēmumā varat redzēt, ka administratora paneļa pieteikšanās veidlapā tiek parādīts brīdinājums par aizsardzību, ko nodrošina Login LockDown spraudnis. Tam vajadzētu parādīties, ja esat pareizi instalējis spraudni un tas darbojas. Bet šajā gadījumā zūd 5.punkta jēga, jo uzbrucējs par aizsardzību tiks brīdināts iepriekš. Noņemsim šo etiķeti.

Dodieties uz izvēlni "Plugins"-"Redaktors". Augšējā labajā stūrī esošajā nolaižamajā sarakstā atlasiet mūsu drošības spraudni un noklikšķiniet uz “Atlasīt”. Meklēšana failā login-lockdown/loginlockdown.phpšo rindiņu (skat. attēlu zemāk) un noņemiet visu, kas atrodas starp pēdiņām. Noklikšķiniet uz "Atjaunināt failu" un dodieties uz pieteikšanās lapu. Uzrakstam vajadzētu pazust.

Pievērsiet uzmanību brīdinājumam rediģēšanas lapā. Pirms izmaiņu veikšanas deaktivizējiet spraudni un pēc tam atkārtoti iespējojiet to. Es ceru, ka pirms jebkādas failu rediģēšanas ir nepieciešams tos nokopēt, nav jāatgādina.

Tagad WordPress Login LockDown drošības spraudnis neļaus uzbrucējam iekļūt administratora panelī, uzminot paroli. Protams, tas negarantē 100% WordPress aizsardzību pret uzlaušanu un citām nepatikšanām. Bet jebkura veida emuāru aizsardzība ķieģelis pa ķieģelim uzcels sienu ienaidnieka priekšā. Jo augstāka šī siena, jo mierīgāk gulēsi naktī.

Jums labi jāatceras, ka emuāra drošības jautājumiem jāpievērš uzmanība ne mazāk kā unikāla satura rakstīšanai un veicināšanai meklētājprogrammās. Nākamajos rakstos pie šīs tēmas atgriezīšos ne reizi vien. Abonējiet emuāra atjauninājumus, lai vienmēr zinātu. Uz drīzu redzēšanos!

Labdien, dārgie lasītāji! Šodien mēs palielināsim drošība WordPress. WordPress jau ir labi aizsargāts, taču papildu drošība mums nekaitēs.

Pirmkārt, slēgsim piekļuvi nevajadzīgiem failiem. Ievadiet pārlūkprogrammas adresi, piemēram, jūsu_emuārs/wp-saturs un, ja redzat baltu ekrānu, tad viss ir kārtībā:

Ja jums ir failu saraksts, jums ir jāveic šādas darbības (pat ja ir balts ekrāns, labāk ir rīkoties šādi):

Drošība pakalpojumā WordPress, izmantojot Login LockDown spraudni

Arī jūsu emuāru var uzlauzt, uzminot jūsu emuāra paroli. Ja iestatāt ļoti vieglu paroli, hakeri var viegli “iekļūt” jūsu emuārā, izmantojot īpašus skriptus.

Login LockDown drošības spraudņa konfigurēšana

Lai piekļūtu spraudņa iestatījumiem, jums jāiet uz WordPress administrators -> Iestatījumi -> Pieteikšanās bloķēšana:

1. Maksimālais pieteikšanās mēģinājums– maksimālais paroles mēģinājumu skaits.

2. Atkārtota mēģinājuma laika perioda ierobežojums (minūtes)– minūšu skaits, par kurām tiek skaitīts maksimālais paroles mēģinājumu skaits.

3. Bloķēšanas ilgums (minūtes) bloķēšanas laiks.

Tas ir, ja skaitļi paliek tādi paši kā attēlā, tas nozīmē sekojošo: ja 5 minūšu laikā 3 reizes pēc kārtas tiek ievadīta nepareizi parole, tad WordPress admin apgabals tiek bloķēts uz 60 minūtēm.

Pēc noklusējuma es atstāju Login LockDown spraudņa iestatījumus, nekam nepieskāros, jo tie man pilnībā atbilst.

Iespējams, šodien viss ir saistīts ar drošību pakalpojumā WordPress (Wordpress). Uz tikšanos nākamajās nodarbībās!

P.s. Neaizmirstiet, ka katru darba dienu tiek izdotas jaunas noderīgas nodarbības, tāpēc noteikti abonējiet RSS!

27.02.2017 Romčiks

Laba diena. Šajā rakstā mēs apskatīsim vienu no WordPress vietnes aizsardzības jautājumiem, precīzāk, WordPress administratora paneļa aizsardzību. Lai būtu precīzāk, pievērsīsimies tam, lai apsvērtu spraudni, kas ļauj ierobežot pieteikšanās mēģinājumu skaitu WordPress administratora panelī. Mēs instalēsim un konfigurēsim WordPress spraudni Login LockDown.

Vispirms no oficiālās vietnes ir jālejupielādē un jāinstalē Login LockDown spraudnis. Šī spraudņa instalēšana nav grūta, tāpēc mēs pie tā nekavēsimies.

Apskatīsim iestatīšanu tuvāk.

Spraudņa funkcijas -Pieslēgties blokāde

Spraudnis ļauj uz laiku bloķēt IP adresi, ja noteiktā laikā ir bijuši vairāki neveiksmīgi autorizācijas mēģinājumi. Kam tas paredzēts? Šī ir parastā aizsardzība pret brutālu spēku (pieteikšanās un paroles izvēle). Šeit ir piemērs no mana emuāra dzīves, ekrāns no faila access.log

Kā redzat, lietotājs ar ip adresi 124.104.31.203 mēģina kaut ko darīt autorizācijas lapā. Un viņš mēģināja paņemt lietotājvārdu un paroli. Pēc vairākiem mēģinājumiem viņa IP adrese tika bloķēta.