Как защитить wordpress

Fima Korolev

как защитить wordpress

Как защитить админку wordpress от подбора паролей

Сейчас wordpress является самой популярной платформой для блогов. И чем популярней блог, тем больше риск быть взломанным. Хотя и не обязательно иметь популярный блог, чтобы его не пытались взломать. Есть много вещей обезопасить свой блог, таких как, например:

  • плагины защиты
  • постоянное обновление вордпресса и плагинов
  • уникальные ключи в wp-config.php
  • надежный пароль
  • изменение имени админа по-умолчанию
  • скрытие версии wordpress
  • предотвращение просмотров каталогов
  • использование SFTP вместо FTP
  • изменение префикса таблиц
  • резервная копия файлов сайта и базы данных и т.д.

Все эти мероприятия в комплексе сильно затруднят взлом вашего сайта.

По-умолчанию wordpress позволяет делать неограниченные попытки входа в админ-панель, это дает нехорошим людям подбирать пароли множество раз до успеха и Вы даже не узнаете об этом. Чтобы ограничить несанкционированные попытки входа в админ-панель вашего сайта есть плагин защиты Limit Login Attempts.

Плагин ограничивает количество попыток входа в систему, которое может сделать пользователь. Как только предел достигнут, IP-адрес потенциального злоумышленника будет заблокирован. Все попытки входа будут вестись в журнале попыток входа и также может придти уведомление на е-майл. Обычно этого бывает достаточно, чтобы оттолкнуть потенциальных злоумышленников и заставить перейти их на другую “цель”.

Настройки опций плагина после установки и активации очень просты, все интуитивно понятно, тем более что все на русском языке (рис.1).

Плагин защиты Wordmpess - настройки

рис.1

На следующем скриншоте пользователь увидит сообщение об ошибке, если введет неправильное имя пользователя или пароль (рис.2):

Защита админки wordpress от подбора паролей

рис.2

Пока писался пост была несанкционированная попытка входа. На рис.1, в левом нижнем углу IP злоумышленника, ниже покажу откуда пытались зайти. Как видите, народ не дремлет и постоянно есть угроза взлома, так что советую поставить.

Рекомендую к прочтению:  Что надо знать о favicon SEO-оптимизатору

Так как у меня в настройках стоит сообщение об изоляциях по E-mail, я получил вот такое письмо-уведомление, после 2 попыток вскрыть мой блог (рис.3)

 

Плагин защиты ВордПресс

рис.3

Чтобы узнать (кому интересно) откуда пытались авторизоваться, воспользуемся инструментом определения местонахождения IP-адреса – IP Adress Lookup. Вводим IP-адрес потенциального злоумышленника и получаем такую картину, как на рис.4:

Определить местонахождение по IP

рис.4

В моем случае, на момент написания статьи, “товарищ” из Голландии, ну или кто-то, использующий прокси,  пытался войти в мою админку. Как видите плагин очень хорошо работает. У кого не стоит устанавливайте, не пожалеете!

P.S. Довольно продолжительное время народ обсуждает темы о подборе паролей. Раньше 6-значный пароль можно было подобрать за 30 сек, а вот на 8-значный требовалось значительно больше времени. Теперь, при использовании высоких скоростей GPU подбор паролей занимает секунды времени. Например, применение SSD дисков повышает скорость подбора паролей до 300 миллионов в секунду и комплексно. Так что, каким бы сложным ни был ваш пароль, нга его взлом потребуется примерно 5 секунд :).
Это конечно не доступные, на данное время, технологии для “школоты”, но время идет…


-->

28 комментариев »

  1. sam1:

    Очень нужная статья! Защита сайта – вещь первостепенная. Знаю по собственному опыту, так как мой сайт пробовали взломать. Еле все восстановил. А плагин этот обязательно поставлю.

  2. Елисей:

    Спасибо! Обязательно воспользуюсь, а то последнее время что-то страшновато за сайт)

    • Илюха:

      А чего не проставил ссылку на свой сайт, чтобы можно было посмотреть?

  3. Алксандр:

    У меня другой стоял XX Attack, не знаю, но система такая же точно. На новом сайте попробую рекомендованный вами. Хотелось бы продолжения про комплексную защиту сайта. Почему то ко мне приходят по поисковым запросам: порно и прочее. Хотя мой сайт к этому отношения не имеет.Под АГС попал. Хотя тут наверное не взлом, а что не подскажете???

  4. Была попытка вскрыть вордпресс. Перестраховался, установил данный плагин, на какое-то время нагрузки на сервер прекратились. Но, похоже вскрыли через фтп. Файл тхасес изменили, прописали редирект на другие сайты. Разобрался, исправил, поменял пароль. Затем вскрыли еще два сайта на том же аккаунте хостинга. Даже не знаю откуда дует и что делать. Помимо данного плагина стоит дополнительная защита, но видемо и она не помешала злоумышленникам ((

  5. Андрей:

    В течении лет 6 на мои сайты как бы ни кто не покушался, но все равно при хорошей защите спится спокойней. Спасибо Автору.

  6. Maklerok:

    Вордпресс сам по-себе неплохо защищен, а у меня еще и хостер дополнительную капчу для защиты входа в админку поставил. Так что, надеюсь, никаких дополнительных примудростей ставить не потребуется.

  7. Я лично столкнулся с тем, что все мои сайт взломали не раз. Я тал их защищать, поставил подобные плагины. Вернее я сделал это на основных сайтах, а у меня были еще полузаброшенные сателиты на этом же хостинге.

    Потом мне поддержка хостинга сказала, что достаточно взломать один сайт, чтобы потом взломать остальные. Поэтому все ненужные сайты я решил перенести на другой, бесплатный хостинг.

  8. интересный материал! а то вечно с этой админкой wordpress мучения ))

  9. Сантей:

    Считаю, что достаточно использовать что называется весь набор, при создании паролей (всмысле строчные и прописные буквы, спец символы и цифры) и не скупиться на длину пароля. Даже с SSD придётся попотеть))

  10. Nadin:

    Я уже который год веду свой блог и даже не знала что есть такие нюансы, теперь благодаря автору буду внимательнее относится к безопасности блога.

  11. Юлия:

    Учитывая популярность wordpress эта статья очень актуальна.
    Спасибо что поделились) пойду настраивать свой сайт! от себя скажу что сложный пароль + измененный логин админа уже пол пути к успеху.. =)

  12. Денис:

    Очень полезная статья, данные рекомендации сегодня применю к своему сайту. Ведь уж очень часто узнаю о взломе аккаунтов и заселению их спамными ботами. Поэтому защита это главное..

  13. Я раньше и не задумыволся о том, что WordPress могут взломать. Сегодня вечером обязательно поставлю плагин и займусь безопасностью своей админки.

  14. Дарина:

    Я согласна ! Обезопасить нужно админку wp много случаев неприятных по поводу уязвимости движка .Установлю

  15. Денис:

    Классная статья. Сам веду свой блог и о защите побеспокоился в первую очередь. Автору спасибо за предоставленную информацию, озьму на заметку. Кстати совет всем, о защите блога думать в первую очередь, если даже тока-тока установили WordPress, тем более это просто…

  16. Loleknbolek:

    Для защиты от подбора паролей использую плагин Login LockDown. Отлично работает.

  17. Хорошая статья. Поставлю этот плагин на один сайт на wordpress.

  18. mandarin:

    Статейка хорошая,обязательно установлю этот плагин.

  19. Павел Пашкан:

    WP отличный конструктор, только вот безопасность оставлят желать лучшего(((
    В инфобизнесе вот он хорош, удобен и легок в использовании.
    До сегодняшнего для, использовал Visitor Maps, а сейчас уверен, что начну пользоваться вашим!

  20. Юрий Белявцев:

    Защита админки это самое важное если взломают сайту хона.

  21. Никита:

    Использую Login LockDown, что лучше на ваш взгляд? стоит переходить на представленный вами плагин?

    • Ну, такой логин, конечно, лучше, чем admin…

      • Никита:

        у Login LockDown все таки наверно меньше возможностей чем у Limit Login Attempts, надо посмотреть какой будет лучше

  22. Антон К.:

    Безопасность прежде всего! За плагин спасибо, поюзаю. в данный момент юзаю Visitor Maps, но недоволен.

  23. Маняша:

    Я являюсь пользователем своего сайта, буду надеется что программист всё предусмотрел заранее, но я, всё-таки, сейчас сама всё погляжу. Бдить надо))).Спасибо!

  24. Спасибо! А то на мой блог еще со времен его жизни на LiveStreet лезет куча ботов, минимум десяток в день. Все ИП не отследишь, а вот автоблокировка теперь поможет)

  25. UchimWeb:

    Когда я сделал свой первый блог на wordpress, я понятия не имел о уязвимостях данной CMS. Тот блог у меня стыбзили буквально на третей неделе после публикации его в сети. С тех пор я, как минимум, половину Ваших рекомендаций использую и пока что тьфу-тьфу помогает!

Оставить комментарий

Ваш email не будет опубликован. Обязательные поля отмечены *

Что-то типа КАПЧИ :) *

Вы можете использовать это HTMLтеги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">