Как ограничить количество попыток ввода пароля в админку WordPress
Недавно я на свой емайл получил письмо, которое одновременно меня порадовало и опечалило. В нем было сказано, что кто-то пытался вводить пароль от админки одного из моих сайтов.
Тут говорится, что 13 мая пользователь с определенного IP адреса был заблокирован, так как было произведено 20 неудачных попыток подбора логина / пароля. Но поскольку у меня на сайте был установлен плагин безопасности, то он просто заблокировал на 4 часа этот IP.
Вполне понятно, обрадовался я потому, что все в порядке. Сайт на месте, признаков взлома я не обнаружил. А огорчило то, что вообще приходится уделять безопасности сайта определенное внимание, то есть, тратить на это то время которое я мог-бы использовать для написания новых статей или даже просто для отдыха.
Хотя сам по себе WordPress является безопасной платформой, это не означает, то ваш сайт совсем нельзя взломать. Одна из наиболее распространенных атак — это попытка зайти через страницу входа в админку сайта используя перебор логинов и паролей, пока один из таких логинов и паролей не сработает. Это так называемая брутфорс атака. Как это и произошло с моим сайтом.
В моем случае, избежать этого помог плагин безопасности Wordfence, именно он и заблокировал злоумышленника. Но об этом плагине я расскажу в другой раз, а сегодня речь пойдет про плагин Limit Login Attempts Reloaded, назначение которого — ограничить количество попыток входа в систему.
По умолчанию злоумышленники могут постоянно пытаться войти на ваш сайт, без ограничений на количество попыток. Более того, обычно это делается с помощью специальных программ, которые ежесекундно вводят тысячи логинов и паролей.
Однако большинству законных пользователей не потребуется больше, чем несколько попыток (максимум). Таким образом, вы можете ограничить количество попыток входа в систему с определенного IP-адреса за установленное время. Любой пользователь, превышающий лимит, может быть временно или навсегда заблокирован в качестве меры предосторожности. Для этого нужно всего 2 шага и 5 минут вашего времени.
Шаг 1: Установите ограничительный плагин.
Есть большое количество самых разных плагинов для защиты вашей админки. В одних плагинах, ограничение количества попыток входа, это лишь часть богатого функционала. Тогда как другие, не имеют ничего лишнего. Плагин Limit Login Attempts Reloaded я выбрал по нескольким важным причинам:
- Он на 100% бесплатен.
- Он популярен — более одного миллиона активных установок.
- У него хороший рейтинг.
- Он легок в использовании.
- Он постоянно обновляется, что крайне важно для плагина отвечающего за безопасность.
Хотя плагин прост в использовании на базовом уровне (он начинает работать, как только вы его активируете), в нем также много различных дополнительных опций, например, возможность установки черного и белого списка IP адресов.
Для начала установите и активируйте плагин Limit Login Attempts Reloaded на своем сайте WordPress. Если вы не уверены, как установить плагин WordPress, ознакомьтесь с руководством здесь.
Шаг 2: Настройте параметры плагина
Как только вы активируете плагин, он сразу начинает работать. По умолчанию у пользователей есть 4 попытки, чтобы набрать правильный логин/пароль, прежде чем плагин заблокирует их:
Однако, плагин также предоставляет настройки, где вы можете изменить количество доступных область настроек, где вы можете изменить, как работает эта функция.
Чтобы получить доступ к этой области, перейдите в Настройки — Limit Login Attempts — Настройки:
В этой вкладке, вы можете более тонко настроить плагин. Так, вы можете указать емайл и настроить, после скольких попыток подбора вашего логана/пароля вам придет оповещение. А также ряд других параметров, включая параметр соответствия GDPR, который будет скрывать все зарегистрированные IP-адреса по соображениям конфиденциальности, как это требуют законы некоторых стран, таких как страны Европы.
На вкладке Dashbord, внизу окна, вы сможете найти подробную информацию о том, сколько «блокировок» произошло из-за плагина. Если вы только поставили плагин, то этот показатель будет нулевым. Но со временем, с большой вероятностью, вы увидите что попытки были.
На этой же вкладке вы можете выставить белые и чёрные списки IP адресов.
Если вы добавите пользователя в белый список, то этот пользователь сможет вводить пароль сколь угодно раз, без вероятности блокировки. Только не путайте, белый IP адрес не означает, что логин и пароль не нужно вообще вводить. Это просто означает, что и после 10 попыток, этот пользователь не будет заблокирован.
С другой стороны, добавление кого-либо в черный список навсегда заблокирует его. Последний вариант удобен, если вы видите много подозрительных действий с одного или нескольких конкретных IP-адресов. Тогда вы просто блокируете эти адреса, и злоумышленники не смогут подобраться к вашему сайту с этой стороны.
Не забудьте сохранить изменения на этой странице, когда закончите настройку параметров. Вот и все! Это все, что вам нужно сделать, чтобы ограничить количество попыток входа в WordPress!
Следует ли ограничить количество попыток входа на свой веб-сайт?
Теперь вы знаете, как настроить плагин для попыток входа в WordPress на вашем сайте. Однако вам может быть интересно, является ли это необходимым шагом для всех пользователей WordPress.
Не все методы безопасности подходят для каждого сайта, и у этого способа есть как потенциальные преимущества, так и недостатки. Во-первых, давайте посмотрим на преимущества ограничения попыток входа в систему:
- Он не позволяет людям и автоматизированным ботам пробовать сотни (или даже тысячи) комбинаций имени пользователя и пароля, пока они не подберут действующую.
- Временной блокировки часто достаточно, чтобы предотвратить атаку, так как хакер или бот просто перейдут к следующей вероятной цели.
- Большинству законных пользователей потребуется только одна попытка входа в систему, или, возможно, несколько, если они забудут или неправильно введут свои учетные данные.
Так, по данным сайта Wordfence, в 2016 году с помощью подбора паролей было взломано 16% от всех взломов (только не путать с общим количеством сайтов), и это второе место, после взлома с помощью уязвимостей в плагинах.
Но есть и парочка недостатков, против ограничения количества попыток:
- Для этого нужно добавлять отдельный плагин. А это может отпугнуть владельцев сайтов, которые хотят уменьшить количество плагинов (по соображениям безопасности или производительности).
- Нормальные пользователи, которые забывают свои пароли или делают несколько попыток входа в систему по какой-либо другой причине, все еще могут быть заблокированы, что является неудобством.
Впрочем, последнее неудобство касается только тех пользователей, которые имеют доступ к админ панели, например, авторы, редакторы и тому подобные. Обычные пользователи, которые просто заходят на сайт с поиска или с социальных сетей, ничем ограничены не будут.
Заключение.
Атаки грубой силой — брутфорс атаки, являются распространенным способом атак для хакеров, и сайты WordPress часто являются привлекательными целями (благодаря большой популярности платформы). К счастью, предотвратить эти атаки относительно просто.
Все, что вам нужно сделать, это помешать хакерам и ботам делать много последовательных попыток входа в систему. И тогда, вы будете защищены от этого вида атак.
Ну а если у вас остались еще вопросы, то задавайте их в разделе с комментариями.
Статьи по теме:
Погода в WordPress с помощью плагинов: обзор лучших решений- Простая и надёжная защита WordPress файлами .htaccess и .htpasswd
- Что такое уникальность статьи, и как её узнать. Урок 24.
- Как создать дропшипинг магазин, не имея опыта и большого бюджета.
- ProPush.me — подписка на пуш-уведомления через контент локер
- Оптимизация баз данных в WordPress – как это сделать правильно.
(2 оценок, среднее: 5,00 из 5)
