Nastavenie a popis uzamknutia prihlásenia do pluginu. Konfigurácia a popis Plugin Login LockDown Inštalácia a konfigurácia pluginu pre uzamknutie prihlásenia

Vítam ťa v mojom!
Ako sa hackujú webové stránky? Najjednoduchší a najrýchlejší spôsob hackovania je výber používateľského mena a hesla na paneli správcu. Väčšina vlastníkov internetových zdrojov ponecháva predvolené prihlásenie správcu, čo značne zjednodušuje úlohu hackerov - musia len uhádnuť heslo. Ak ste to ešte neurobili, dôrazne vám odporúčam zmeniť predvolenú hodnotu „admin“ na jedinečné prihlásenie. Svoje prihlasovacie meno a heslo na prístup k ovládaciemu panelu stránky môžete zmeniť v sekcii „Používatelia“ na paneli správcu alebo prostredníctvom databázy vášho blogu.

Nebude zbytočné spomenúť, že heslo musí byť silné - pozostávajúce z 8 alebo viacerých znakov. Aké je najlepšie heslo pre váš účet, môžete zistiť prečítaním tohto. Takže komplikujete úlohu hackerov.

Ďalším skvelým nástrojom na ochranu ovládacieho panela Wordpres pred používaním programov na hádanie hesiel votrelcami je plugin na uzamknutie prihlásenia.

Akcia pluginu Uzamknutie prihlásenia.

Tento plugin funguje nasledujúcim spôsobom. Monitoruje neúspešné pokusy o prihlásenie do ovládacieho panela internetového zdroja a zachytáva IP adresu a presný čas.

Ak sa v určitom čase zaznamená niekoľko neúspešných pokusov z tejto adresy, plugin zablokuje tohto používateľa na čas určený v nastaveniach.
Na obrazovke sa zobrazí chybové hlásenie a cracker stratí všetky šance na uhádnutie hesla.

Inštalácia LockDown prihlásenia na webe.

Ako nainštalovať pluginy do WordPress, som už opísal v tomto.
Inštalácia doplnku Login LockDown sa príliš nelíši od inštalácie iných podobných nástrojov.
Musíte prejsť na panel správcu stránky, vybrať panel „Pluginy“ a kliknúť na tlačidlo „Pridať nový“.

Potom sa otvorí štandardné okno na pridávanie nástrojov, v ktorom nájdete doplnok podľa kľúčových slov alebo využijete sťahovanie súborov z počítača, ak ste si ho stiahli skôr.
Ďalej musíte potvrdiť inštaláciu nástroja a aktivovať ho.

Konfigurácia uzamknutia prihlásenia.

Ak chcete prispôsobiť ochranu vašim potrebám, musíte prejsť do nastavení pluginu.
Ak to chcete urobiť, vyberte ponuku „Možnosti“ a nájdite v nej bezpečnostný doplnok.

Pred vami sa otvorí okno s nastaveniami nástroja.

Popis nastavení doplnku Login LockDown.

Max Login Retries – zodpovedá za maximálny možný počet neúspešných pokusov pred spustením zámku;
Retry Time Period Restriction – časové obdobie, počas ktorého sa berie do úvahy zadanie nesprávneho hesla do administrátorského panelu. Tu, čím viac času dať, tým bezpečnejšie to bude;
Lockout Length – čas, na ktorý bude zablokovaná podozrivá IP adresa;
Lockout Invalid Usernames – táto položka kontroluje, či je prihlásenie používateľa správne zadané.
To znamená, že ak ho neaktivujete, prihlásenie si môžete vybrať toľkokrát, koľkokrát chcete. A prihlásenie do účtu nebude zablokované, ak je zadané správne heslo. Je lepšie ho aktivovať, zvyšuje to spoľahlivosť blogu;
Maskovať chyby prihlásenia - maskuje chybu zadávania údajov na obrazovke útočníka.
Ak nie je aktivovaný, na obrazovke sa zobrazí nápoveda, čo presne ste zadali nesprávne, prihlasovacie meno alebo heslo.

Je lepšie povoliť túto funkciu.

Takže darebák nepochopí, že zadal nesprávne heslo alebo prihlasovacie meno;

Aktuálne uzamknuté – zoznam blokovaných IP adries a zostávajúci čas do odblokovania prístupu.

Tu môžete odblokovať akúkoľvek IP adresu.
Po vykonaní všetkých potrebných zmien kliknite na tlačidlo „Aktualizovať nastavenia“, aby sa prejavili.
Teraz bude prístup k ovládaciemu panelu stránky chránený doplnkom a hackeri nebudú môcť používať programy na uhádnutie hesiel.

WordPress je dnes najpopulárnejší redakčný systém. A je jasné prečo: jednoduché použitie a konfigurácia, veľa doplnkov, zadarmo. No zároveň aj veľká pozornosť útočníkov. Stránky na Wordptess sú veľmi často cieľom útokov. Dôvody na hacknutie stránky sú rôzne, presnejšie, dôvod je rovnaký – peniaze, prístupy sú rôzne. Jedným zo spôsobov, ako hacknúť stránku, a to aj na WordPress, je hrubá sila alebo v ruštine - metóda hrubej sily (hrubá sila - hrubá sila) - keď sa pokúšajú získať prístup na stránku výberom používateľského mena a hesla.

Všetci používatelia WordPress vedia, že vstup do administračného panela stránky sa nachádza na site.com/wp-login.php alebo site.com/wp-admin, z ktorého budete stále presunutí na prvý. Svoje o tom vedia aj útočníci. Preto, ak ste nezodpovední pri ochrane admin panela, pravdepodobnosť napadnutia vášho webu sa výrazne zvyšuje. Ako môžete zabrániť tým, ktorí sa nepotrebujú dostať do panela správcu?

Prvým, najbanálnejším, ale nemenej dôležitým, je výber silného hesla a zmena štandardného prihlásenia.

Druhým je inštalácia špeciálnych pluginov na ochranu admin panelu.

Tretím je nastavenie rcdirects a ručná úprava súborov WordPress.

A teraz väčšina hostingov ponúka ochranu pre panel správcu.

V tomto článku chcem hovoriť o doplnku Login Lockdown, ktorý pomôže chrániť panel správcu vašej stránky WordPress pred hádaním hesla.

Aký je princíp doplnku? Keď sa niekto pokúsi dostať do vášho administračného panela a nesprávne zadá údaje, prihlasovacie meno alebo heslo, určitý počet krát za určité časové obdobie - Login LockDown zablokuje IP adresu, z ktorej bol pokus o prístup na určitý čas.

Inštalácia doplnku

Doplnok si môžete nainštalovať prostredníctvom vstavaného správcu WordPress. Ak to chcete urobiť, prejdite na ovládacom paneli na Pluginy->Pridať nové.

Do vyhľadávacieho poľa zadajte názov doplnku.

Vyberte doplnok z výsledkov vyhľadávania a kliknite na tlačidlo Inštalovať.

Po nainštalovaní funkcie Login LockDown ju musíte okamžite aktivovať.

Teraz môžete prejsť k nastaveniu rozšírenia.

Ísť do Nastavenia->Login LockDown

Pre plugin nie je veľa nastavení. Poďme si ich v krátkosti prejsť.

Maximálny počet opakovaní prihlásenia- maximálny počet pokusov. Predvolená hodnota je 3, čo znamená, že po troch neúspešných pokusoch o prihlásenie bude prístup z tejto IP adresy zablokovaný.
Obmedzenie časového obdobia opakovania (minúty)— časové obdobie v minútach, počas ktorého sa počítajú neúspešné pokusy o prihlásenie. Predvolená hodnota je 5. To znamená, že ak zadáte nesprávne heslo trikrát do piatich minút, dôjde k zablokovaniu.
Dĺžka blokovania (minúty)- časové obdobie, na ktoré je zablokovaná podozrivá IP. Predvolených 60 min.
Uzamknúť neplatné používateľské mená?- Má sa počítať neplatné prihlásenie? Predvolene vypnuté. Ak je funkcia zakázaná, doplnok nepočíta nesprávne prihlásenie. To znamená, že teoreticky, ak útočník pozná heslo z administračného panela, bude si môcť vybrať prihlásenie toľkokrát, koľkokrát bude chcieť.
Chyby pri prihlásení masky?- Maskovať chyby pri prihlásení? Predvolene vypnuté. Ak je funkcia zakázaná, pri zadávaní nesprávnych údajov sa zobrazí správa s upozornením, čo presne bolo zadané nesprávne - prihlasovacie meno alebo heslo.

Keď je funkcia povolená, správa nebude presne špecifikovať, kde sa stala chyba.

Zobraziť odkaz na kredit?- Zobraziť odkaz na uzamknutie prihlásenia. Môžete si vybrať medzi zobrazením odkazu na stránku doplnku, zobrazením odkazu, ale so značkou nofollow, alebo nezobrazením odkazu.
Momentálne uzamknuté- zoznam blokovaných IP adries a čas do odblokovania. Tu môžete odblokovať IP.

To je to, čo je Login LockDown. Po zmene nastavení ich uložte a váš blog bude teraz o niečo bezpečnejší.

Predchádzajúci príspevok
Ďalší príspevok

Dobrý deň, milí čitatelia blogu! Téma dnešného článku: chrániť váš blog WordPress pred hackermi výberom hesla pre vstup do administračného panela. Táto metóda sa nazýva . Tento problém je veľmi dôležitý, pretože prípady neoprávneného prístupu k svätyni blogu, konkrétne ovládaciemu panelu WordPress, bohužiaľ nie sú vôbec zriedkavé.

Vo všeobecnosti je téma bezpečnosti WordPress veľmi rozsiahla a neobmedzuje sa len na tie, o ktorých som už písal vyššie. Oveľa nešťastnejšie následky (nechcem si ani predstaviť) môžu nastať, ak útočníci získajú prístup k panelu správcu blogu. Našou úlohou je urobiť všetko pre to, aby sa to nestalo. A dnes budem hovoriť len o jednom zo spôsobov, ako posilniť ochranu blogu. Zoznámte sa s bezpečnostným doplnkom WordPress Uzamknutie prihlásenia.

Ochrana správcu WordPress pred hackovaním pomocou doplnku Login LockDown

Najjednoduchší spôsob, ako hacknúť stránku, je vyzdvihnúť si používateľské meno a heslo na vstup do ovládacieho panela. Musím povedať, že samotní blogeri to hackerovi o 50% uľahčujú a nechávajú predvolené prihlásenie. A potom už zostáva len uhádnuť heslo.

Zmenili ste si používateľské meno alebo stále máte meno admin? Ak nie, urobte to okamžite. V tomto vám môže pomôcť môj článok „“.

Uistite sa, že ihneď po inštalácii motora zmeňte heslo na bezpečnejšie (vyrábame asi 20 znakov pomocou veľkých a malých písmen, číslic a špeciálnych znakov). Môžete to urobiť priamo z panela administrátora tak, že prejdete do ponuky „Používatelia“ - „Váš profil“. Dvakrát zadajte nové heslo a uložte zmeny kliknutím na „ Aktualizovať profil“. Heslo pravidelne meňte a nepoužívajte ho na iných stránkach.

S takými jednoduchými akciami už skomplikujeme úlohu pre crackerov. Povedzme však, že sa ukázali ako tvrdohlaví a neopúšťajú pokusy pomocou špeciálnych programov na hádanie hesla. Tu prichádza na pomoc bezpečnostný doplnok WordPress Login LockDown.

Ako funguje doplnok LockDown prihlásenia

Plugin zachytáva presný čas a IP adresu, z ktorej bol neúspešný pokus o prihlásenie administrátorovi blogu. Keď sa v určitom časovom období uskutoční určitý počet neúspešných pokusov, doplnok zablokuje prístup na stránku na určitý čas. Zobrazí sa správa:

“Chyba: Prepáčte, ale tento rozsah IP bol zablokovaný z dôvodu príliš veľkého počtu neúspešných pokusov o prihlásenie. Skúste neskôr prosím."

Okrem toho budete mať k dispozícii zoznam všetkých blokovaných IP adries a možnosť ich odblokovania v nastaveniach pluginu. Zvážme ich podrobnejšie.

Inštalácia a konfigurácia bezpečnostného doplnku Login LockDown

Nainštalujte a aktivujte doplnok. Inštaláciu tohto pluginu som podrobne opísal ako príklad v článku „“. Preto bez ďalších okolkov prejdime k nastaveniam.

Prejdite do ponuky „ Možnosti“ - „ Uzamknutie prihlásenia“.

Obrázok ukazuje predvolené nastavenia. Môžete si ich zmeniť podľa seba. Nižšie popíšem, čo každý z bodov znamená, a uvediem svoje komentáre:

1. Maximálny počet opakovaní prihlásenia- maximálny počet pokusov o vstup do panela správcu blogu. Myslím si, že nemá zmysel uvádzať viac ako tri.
2. Obmedzenie časového obdobia opakovania (minúty)– časový úsek v minútach na zopakovanie pokusu. Päť minút stačí na to, aby ste čo i len dobehli ku kanadskej hranici, nieto ešte zadali heslo.
3. Dĺžka blokovania (minúty)- čas v minútach, na ktorý je zablokovaný prístup k administračnému panelu WordPress. Môžete nechať 60 minút, alebo môžete nastaviť viac.
4. Uzamknutie Neplatné používateľské mená– brať do úvahy nesprávne zadanie prihlásenia? Túto položku označíme a plugin okrem hesla zohľadní aj nesprávne napísané meno. Dodatočná ochrana blogu nie je nikdy zbytočná.
5. Chyby pri prihlásení masky– maskovanie chýb zadávania nesprávnych údajov. Berieme na vedomie, a potom cracker nebude vedieť, že jeho činy sú pod kontrolou (niečo nezaznamenalo žiadny rozdiel).
6. Momentálne uzamknuté- tu vidíte zoznam aktuálne blokovaných IP adries a čas do odblokovania. Viac o tom nižšie.

Po nakonfigurovaní bezpečnostného doplnku Login LockDown kliknite na tlačidlo „Aktualizovať nastavenia“, aby sa zmeny prejavili.

Pre prehľadnosť rozlúštim, čo sa stane, keď sa pokúsite hacknúť blog, ak sú nastavenia napríklad predvolené, ako na obrázku vyššie. Ak je heslo zadané nesprávne viac ako 3-krát v intervale 5 minút, potom sa prístup k správcovskému panelu zablokuje na 60 minút.

Teraz späť na zoznam IP adries. Neviem, kedy to bude potrebné, ale máte možnosť odblokovať IP adresu, ktorá upadla do nemilosti. Ak to chcete urobiť, začiarknite túto položku a kliknite na „Uvoľniť vybraté“. Pravdepodobne to dáva zmysel, ak nie ste jediný, kto má prístup k blogu. Napríklad viacero autorov alebo freelancer potrebuje niečo doladiť.

Ešte jeden detail. Ak si všimnete, na prvej snímke obrazovky môžete vidieť, že pod prihlasovacím formulárom v administračnom paneli sa zobrazuje upozornenie na ochranu pomocou pluginu Login LockDown. Mala by sa zobraziť, ak ste plugin nainštalovali správne a funguje. Ale v tomto prípade sa význam odseku 5 stráca, pretože útočník bude na ochranu vopred upozornený. Odstránime tento štítok.

Prejdite do ponuky " Pluginy " - " Editor ". Vyberte náš bezpečnostný doplnok z rozbaľovacieho zoznamu vpravo hore a kliknite na „Vybrať“. Nájdenie v súbore login-lockdown/loginlockdown.php tento riadok (pozri obrázok nižšie) a odstráňte všetko medzi úvodzovkami. Kliknite na „Aktualizovať súbor“ a prejdite na prihlasovaciu stránku. Nápis by mal zmiznúť.

Venujte pozornosť upozorneniu na stránke úprav. Pred vykonaním akýchkoľvek zmien deaktivujte doplnok a potom ho znova povoľte. Dúfam, že pred akoukoľvek úpravou súborov je potrebné urobiť si ich kópie, to netreba pripomínať.

Teraz Bezpečnostný doplnok WordPress Login LockDown nedovolí útočníkovi dostať sa do administrátorského panelu uhádnutím hesla. To samozrejme nezaručuje 100% ochranu WordPress pred hackermi a inými problémami. Ale každý typ ochrany blogu postaví múr pred nepriateľom tehlu po tehle. Čím vyššia je táto stena, tým pokojnejšie budete v noci spať.

Musíte si dobre zapamätať, že musíte venovať pozornosť otázkam bezpečnosti blogu nie menej ako písanie jedinečného obsahu a propagácie vo vyhľadávačoch. V ďalších článkoch sa k tejto téme ešte viackrát vrátim. Prihláste sa na odber aktualizácií blogu, aby ste boli vždy informovaní. Do skorého videnia!

Dobré popoludnie, milí čitatelia! Dnes budeme zvyšovať bezpečnosť vo wordpresse. WordPress je už dobre chránený, no dodatočné zabezpečenie nám neublíži.

Najprv zatvorme prístup k nepotrebným súborom. Zadajte adresu prehliadača, napr. tvoj_blog/wp-obsah a ak vidíte bielu obrazovku, potom je všetko v poriadku:

Ak máte zoznam súborov, musíte urobiť nasledovné (aj keď je obrazovka biela, je lepšie urobiť nasledovné):

Zabezpečenie vo WordPress pomocou doplnku Login LockDown Plugin

Váš blog môže byť tiež napadnutý uhádnutím hesla vášho blogu. Ak nastavíte veľmi ľahké heslo, hackeri môžu ľahko „preniknúť“ do vášho blogu pomocou špeciálnych skriptov.

Konfigurácia bezpečnostného doplnku Login LockDown

Ak sa chcete dostať do nastavení pluginu, musíte prejsť na Správca WordPress –> Nastavenia –> Uzamknutie prihlásenia:

1. Maximálny počet opakovaní prihlásenia– maximálny počet pokusov o zadanie hesla.

2. Obmedzenie časového obdobia opakovania (minúty)– počet minút, počas ktorých sa počíta maximálny počet pokusov o zadanie hesla.

3. Dĺžka blokovania (minúty)čas blokovania.

To znamená, že ak čísla zostanú rovnaké ako na obrázku vyššie, znamená to nasledovné: ak do 5 minút zadáte nesprávne heslo 3-krát za sebou, oblasť správcu WordPress sa zablokuje na 60 minút.

Nastavenia pluginu Login LockDown som nechal štandardne, ničoho som sa nedotkol, keďže mi úplne vyhovujú.

Možno je dnes všetko o bezpečnosti vo WordPress (Wordpress). Vidíme sa na ďalších lekciách!

P.s. Nezabudnite, každý pracovný deň vychádzajú nové užitočné lekcie, takže sa nezabudnite prihlásiť na odber RSS!

27.02.2017 Romčik

Dobrý deň. V tomto článku sa budeme zaoberať jednou z otázok ochrany stránky WordPress, presnejšie ochranou panela správcu WordPress. Aby sme boli presnejší, zamerajme sa na zváženie doplnku, ktorý vám umožní obmedziť počet pokusov o prihlásenie do administračného panela WordPress. Nainštalujeme a nakonfigurujeme doplnok Login LockDown pre WordPress.

Najprv si musíte stiahnuť a nainštalovať doplnok Login LockDown z oficiálnej webovej stránky. Inštalácia tohto pluginu nie je zložitá, preto sa pri nej nebudeme zdržiavať.

Pozrime sa bližšie na nastavenie.

Funkcie pluginu -Prihlásiť sa obmedzenie pohybu

Doplnok vám umožňuje na chvíľu zablokovať IP adresu, ak počas určitého času došlo k niekoľkým neúspešným pokusom o autorizáciu. Načo to je? Ide o obvyklú ochranu pred hrubou silou (výber prihlasovacieho mena a hesla). Tu je príklad zo života môjho blogu, obrazovka zo súboru access.log

Ako vidíte, používateľ s IP adresou 124.104.31.203 sa pokúša niečo urobiť na autorizačnej stránke. A pokúsil sa získať používateľské meno a heslo. Po niekoľkých pokusoch bola jeho IP adresa zablokovaná.