Login LockDown – защита админки WordPress

Сегодня WordPress самая популярная система управления контентом. И понятно почему: удобство использования и настройки, множество плагинов, бесплатность. Но вместе с этим и большое внимание со стороны злоумышленников. Сайты на Wordptess очень часто становятся мишенью для атак. Причины взлома сайта бывают разные, точнее причина одна – деньги, подходы разные. Одним из способов взлома сайта, в том числе и на WordPress, является брутфорс или по-русски – метод грубой силы (brute force – грубая сила) – это когда пытаются получить доступ к сайту, путем подбора логина и пароля.

Все пользователи WordPress знают, что вход в админ панель сайта находится по адресу site.com/wp-login.php или site.com/wp-admin, с которой вас все равно перебросит на первую. Об это знают и злоумышленники. По этому, если безответственно отнестись к защите админки, то вероятность взлома вашего сайта возрастает в разы. Каким образом можно помешать попасть в админку тем, кому не нужно?

Первое, и самое банальное, но от этого не менее важное – выбор сильного пароля и смена стандартного логина.

Второе – установка специальных плагинов для защиты админки.

Третье – настройка ркдиректов и редактирование файлов WordPress вручную.

И так же, сейчас большинство хостингов со своей стороны предлагает защиту админки.

В этой статье я хочу рассказать про плагин Login Lockdown, который поможет защитить административную панель вашего сайта на WordPress от подбора пароля.

В чем заключается принцип работы плагина? Когда кто-то пытается попасть в вашу админку и неправильно вводит данные, логин или пароль, определенное количество раз за определенный промежуток времени – Login LockDown блокирует IP адрес с которого происходила попытка доступа на определенное количество времени.

Установка плагина

Установить плагин можно через встроенный менеджер WordPress. Для этого в панели управления нужно перейти в Плагины->Добавить новый.

В поле поиска ввести название плагина.

В результатах поиска выбрать плагин и нажать установить.

После установки Login LockDown нужно сразу же его активировать.

Теперь можно переходить к настройке расширения.

Настройка Login LockDown

Переходим в Настройки->Login LockDown

Настроек у плагина не так много. Коротко пройдемся по ним.

• Max Login Retries – максимальное количество попыток. По умолчанию 3, что означает, что после трех неудачных попыток авторизоваться доступ с этого IP будет заблокирован.
• Retry Time Period Restriction (minutes) – период времени в минутах, за который засчитываются неудачные попытки входа. По умолчанию 5. То есть, если в течении пяти минут будет 3 раза введен неправильный пароль, произойдет блокировка.
• Lockout Length (minutes) – период времени на который блокируется подозрительный IP. По умолчанию 60 мин.
• Lockout Invalid Usernames? – Засчитывать ли неверный логин? По умолчанию отключено. Если функция отключена, то плагин не засчитывает ввод неверного логина. То есть, теоретически, если злоумышленнику известен пароль от админ панели, то он сможет подбирать логин сколько угодно раз.
• Mask Login Errors? – Маскировать ошибки входа? По умолчанию отключено. Если функция отключена, то при вводе неправильных данных появляеться сообщение уведомляющая что именно введено неверно – логин или пароль.

При включенной функции в сообщении не будет уточнено где именно допущена ошибка.

• Show Credit Link? – Показывать ссылку на Login LockDown. На выбор: показывать ссылку на сайт плагина, показывать ссылку но с тегом nofollow или не показывать ссылку.
• Currently Locked Out – список заблокированных IP и время до разблокировки. Здесь же можно разблокировать IP.

Вот что из себя представляет Login LockDown. После изменения настроек сохраните их и теперь ваш блог будет еще немного защищенней.