Содержание
Речь пойдёт о плагине Brute Force Login Protection. Брут форс атака — это попытка взлома вашего сайта с помощью простого метода — перебора пароля к админке сайта на WordPress. Во время такой атаки, программа перебирает все возможные варианты логина и пароля до тех пор, пока не подберёт подходящие. Так и взламывают сайты и не только на этом движке. Даже сильный многобуквенный пароль не способен защитить от такого взлома — рано или поздно верный пароль будет подобран.
О плагине Brute Force Login Protection
Особенностью плагина является то, что он не используется в своём алгоритме работы базу данных. Благодаря чему нагрузки на БД практически не возникает, а все заблокированные IP прописываются в файле .htaccess. Страничка на официальном сайте: https://wordpress.org/plugins/brute-force-login-protection/
Конечно можно обойтись и без этого плагина. Можно вручную прописать в файле .htaccess свой IP-адрес и разрешить вход в аминистративную часть сайта на Вордпресс только с этого адреса. Однако, если вы используете обычный проводной интернет, где IP-адрес меняется динамически, такой подход может заблокировать доступ и для вас. Переподключившись в сети Интернет, ваш адрес автоматически сменится. Если вам вдруг понадобиться войти в админку с другого компьютера и другой сети, сделать это будет также невозможно. Поэтому самый оптимальный вариант — использовать расширение Brute Force Login Protection.
Настройка и использование защиты от перебора паролей
После установки, которую можно произвести точно также как и предыдущий плагин похожих статей, и активации, в меню админки сайта появляется новый пункт. Открываем его, пройдя по пути: «Настройки» — «Brute Force Login Protection«.
Настройки
Во время активации, плагин автоматически проверит файл .htaccess для доступности и записи. Если всё в порядке, то выведется соответствующее уведомление. Если вы его не увидите — необходимо будет выполнить несколько несложных действий, а именно — разрешить доступ к нему владельцу, а также разрешить чтение и запись.
Переходим не посредственно к настройкам:
- Allowed login attempts before blocking IP (Разрешенных попыток входа в систему до блокировки IP) — рекомендуется указать число 2 или 3. Если вы часто сами вводите не верный пароль, то лучше поставить число по-больше. Помните — большее число даст больше шансов на подбор вашего пароля.
- Minutes before resetting login attempts count (Минут до сброса количества попыток входа в систему) — можно указать 60, тогда попытки будут считаться в течении 1 часа. Если указать большое число, например — 999, то при случайном неверном вводе логина и пароля, вы можете заблокировать сами себя на длительное время.
- Delay in seconds when a login attempt has failed (to slow down brute force attack) — здесь указывается задержка в секундах при вводе неверных данных. Это замедляет Брут Форс атаку. Ставим по-умолчанию.
- Inform user about remaining login attempts on login page (Информировать пользователя об оставшихся попыток входа в систему на странице входа) — можно отметить и тогда пользователь будет видеть. сколько ещё раз он может ошибиться при вводе.
- Send email to administrator when an IP has been blocked — лучше отметить, тогда сообщения о блокировке будут приходить к вам на почту.
- Message to show to blocked users (leave empty for default message) — можно ничего не писать, так как это сообщение для заблокированных пользователей.
- .htaccess file location — зачастую плагин сам определяет местоположение этого файла, но если этого не произошло — вписываем сюда адрес вручную.
- Нажимаем кнопку «Save«.
Плагин настроили, теперь чтобы пункт 5 настроек работал корректно, нужно указать корректный адрес электронной почты. Для этого заходим в «Настройки» — «Общие» и в форму «Адрес e-mail» вписываем свой адрес электронной почты, куда будут приходить уведомления о блокировке IP.
Дополнительные полезные опции — блокировка спаммеров по IP
В настройках плагина Brute Force Login Protection есть ещё два раздела:
- Blocked IPs — содержит список заблокированных IP.
- Whitelisted IPs — сюда можно добавить адреса, с которых доступ к админке будет разрешён.
Теперь, когда на сайте в комментариях заметите спаммера, смотрим его адрес и вписываем его в форму и нажимаем соответствующую кнопку:
Лог работы
При работе плагина, все заблокированные IP автоматически записываются в файл .htaccess:
А на почте вы увидите множество сообщений о блокировании адресов, с которых хотели взломать ваш ресурс:
Берегите свои сайты!
Подскажите, с чем может быть связано: плагин не разблокирует IP, т.е. записи из .htaccess не удаляются через указанный в настройках промежуток времени. Пробовал на двух сайтах (хостер один). Или укажите похожий плагин, работающий с .htaccess (важно снизить нагрузку на сервер, ведется активный подбор паролей). Спасибо.
Хостер сегодня присла предупреждение о превышении нагрузки. Посмотрел - действительно из пяти ip было запросов более 33 000 и все на скрипт вп логин. Гады пытались подобрать пароль. Сменил пароль и поставил рекомендованный вами плагин. Спасибо, посмотрим что дальше будет.
Установил себе.
Спасибо за инструкцию.