Плагин защиты Вордпресс от подбора пароля

Речь пойдёт о плагине Brute Force Login Protection. Брут форс атака — это попытка взлома вашего сайта с помощью простого метода — перебора пароля к админке сайта на WordPress. Во время такой атаки, программа перебирает все возможные варианты логина и пароля до тех пор, пока не подберёт подходящие. Так и взламывают сайты и не только на этом движке. Даже сильный многобуквенный пароль не способен защитить от такого взлома — рано или поздно верный пароль будет подобран.

О плагине Brute Force Login Protection

Особенностью плагина является то, что он не используется в своём алгоритме работы базу данных. Благодаря чему нагрузки на БД практически не возникает, а все заблокированные IP прописываются в файле .htaccess. Страничка на официальном сайте: https://wordpress.org/plugins/brute-force-login-protection/

Конечно можно обойтись и без этого плагина. Можно вручную прописать в файле .htaccess свой IP-адрес и разрешить вход в аминистративную часть сайта на Вордпресс только с этого адреса. Однако, если вы используете обычный проводной интернет, где IP-адрес меняется динамически, такой подход может заблокировать доступ и для вас. Переподключившись в сети Интернет, ваш адрес автоматически сменится. Если вам вдруг понадобиться войти в админку с другого компьютера и другой сети, сделать это будет также невозможно. Поэтому самый оптимальный вариант — использовать расширение Brute Force Login Protection.

Настройка и использование защиты от перебора паролей

После установки, которую можно произвести точно также как и предыдущий плагин похожих статей, и активации, в меню админки сайта появляется новый пункт. Открываем его, пройдя по пути: «Настройки» — «Brute Force Login Protection«.

plagin-zashiti-sayta-na-wordpress

Настройки

Во время активации, плагин автоматически проверит файл .htaccess для доступности и записи. Если всё в порядке, то выведется соответствующее уведомление. Если вы его не увидите — необходимо будет выполнить несколько несложных действий, а именно — разрешить доступ к нему владельцу, а также разрешить чтение и запись.

htacess-v-plagine

Переходим не посредственно к настройкам:

  1. Allowed login attempts before blocking IP (Разрешенных попыток входа в систему до блокировки IP) — рекомендуется указать число 2 или 3. Если вы часто сами вводите не верный пароль, то лучше поставить число по-больше. Помните — большее число даст больше шансов на подбор вашего пароля.
  2. Minutes before resetting login attempts count (Минут до сброса количества попыток входа в систему) — можно указать 60, тогда попытки будут считаться в течении 1 часа. Если указать большое число, например — 999, то при случайном неверном вводе логина и пароля, вы можете заблокировать сами себя на длительное время.
  3. Delay in seconds when a login attempt has failed (to slow down brute force attack) — здесь указывается задержка в секундах при вводе неверных данных. Это замедляет Брут Форс атаку. Ставим по-умолчанию.
  4. Inform user about remaining login attempts on login page (Информировать пользователя об оставшихся попыток входа в систему на странице входа) — можно отметить и тогда пользователь будет видеть. сколько ещё раз он может ошибиться при вводе.
  5. Send email to administrator when an IP has been blocked — лучше отметить, тогда сообщения о блокировке будут приходить к вам на почту.
  6. Message to show to blocked users (leave empty for default message) — можно ничего не писать, так как это сообщение для заблокированных пользователей.
  7. .htaccess file location — зачастую плагин сам определяет местоположение этого файла, но если этого не произошло — вписываем сюда адрес вручную.
  8. Нажимаем кнопку «Save«.

Плагин настроили, теперь чтобы пункт 5 настроек работал корректно, нужно указать корректный адрес электронной почты. Для этого заходим в «Настройки» — «Общие» и в форму «Адрес e-mail» вписываем свой адрес электронной почты, куда будут приходить уведомления о блокировке IP.

Дополнительные полезные опции — блокировка спаммеров по IP

В настройках плагина Brute Force Login Protection есть ещё два раздела:

  • Blocked IPs — содержит список заблокированных IP.
  • Whitelisted IPs — сюда можно добавить адреса, с которых доступ к админке будет разрешён.

Теперь, когда на сайте в комментариях заметите спаммера, смотрим его адрес и вписываем его в форму и нажимаем соответствующую кнопку:

blok-po-ip-spamerov

Лог работы

При работе плагина, все заблокированные IP автоматически записываются в файл .htaccess:

zapis-v-faile-s-zabanenimi

А на почте вы увидите множество сообщений о блокировании адресов, с которых хотели взломать ваш ресурс:

zablokirovannie-na-pochte

Берегите свои сайты!

Советуем прочитать:

  1. Плагин для Вордпресс — «редактор ролей пользователей» (User Role Editor)
  2. Расширяем форму регистрации и входа в админку вордпресс
  3. Плагин вордпресс All in One SEO Pack — установка, настройка и использование
  4. Плагин Clean Login — регистрация и вход без входа в консоль

3 комментария

  1. Подскажите, с чем может быть связано: плагин не разблокирует IP, т.е. записи из .htaccess не удаляются через указанный в настройках промежуток времени. Пробовал на двух сайтах (хостер один). Или укажите похожий плагин, работающий с .htaccess (важно снизить нагрузку на сервер, ведется активный подбор паролей). Спасибо.

    Reply

  2. Хостер сегодня присла предупреждение о превышении нагрузки. Посмотрел - действительно из пяти ip было запросов более 33 000 и все на скрипт вп логин. Гады пытались подобрать пароль. Сменил пароль и поставил рекомендованный вами плагин. Спасибо, посмотрим что дальше будет.

    Reply

  3. Установил себе.
    Спасибо за инструкцию.

    Reply

Оставить комментарий

Your email address will not be published. Required fields are marked *