17.11.2019
как защитить wordpress

Как защитить wordpress

Как защитить админку wordpress от подбора паролей

Сейчас wordpress является самой популярной платформой для блогов. И чем популярней блог, тем больше риск быть взломанным. Хотя и не обязательно иметь популярный блог, чтобы его не пытались взломать. Есть много вещей обезопасить свой блог, таких как, например:

  • плагины защиты
  • постоянное обновление вордпресса и плагинов
  • уникальные ключи в wp-config.php
  • надежный пароль
  • изменение имени админа по-умолчанию
  • скрытие версии wordpress
  • предотвращение просмотров каталогов
  • использование SFTP вместо FTP
  • изменение префикса таблиц
  • резервная копия файлов сайта и базы данных и т.д.

Все эти мероприятия в комплексе сильно затруднят взлом вашего сайта.

По-умолчанию wordpress позволяет делать неограниченные попытки входа в админ-панель, это дает нехорошим людям подбирать пароли множество раз до успеха и Вы даже не узнаете об этом. Чтобы ограничить несанкционированные попытки входа в админ-панель вашего сайта есть плагин защиты Limit Login Attempts.

Плагин ограничивает количество попыток входа в систему, которое может сделать пользователь. Как только предел достигнут, IP-адрес потенциального злоумышленника будет заблокирован. Все попытки входа будут вестись в журнале попыток входа и также может придти уведомление на е-майл. Обычно этого бывает достаточно, чтобы оттолкнуть потенциальных злоумышленников и заставить перейти их на другую «цель».

Настройки опций плагина после установки и активации очень просты, все интуитивно понятно, тем более что все на русском языке (рис.1).

Плагин защиты Wordmpess - настройки
рис.1

На следующем скриншоте пользователь увидит сообщение об ошибке, если введет неправильное имя пользователя или пароль (рис.2):

Защита админки wordpress от подбора паролей
рис.2

Пока писался пост была несанкционированная попытка входа. На рис.1, в левом нижнем углу IP злоумышленника, ниже покажу откуда пытались зайти. Как видите, народ не дремлет и постоянно есть угроза взлома, так что советую поставить.

Так как у меня в настройках стоит сообщение об изоляциях по E-mail, я получил вот такое письмо-уведомление, после 2 попыток вскрыть мой блог (рис.3)

 

Плагин защиты ВордПресс
рис.3

Чтобы узнать (кому интересно) откуда пытались авторизоваться, воспользуемся инструментом определения местонахождения IP-адреса — IP Adress Lookup. Вводим IP-адрес потенциального злоумышленника и получаем такую картину, как на рис.4:

Определить местонахождение по IP
рис.4

В моем случае, на момент написания статьи, «товарищ» из Голландии, ну или кто-то, использующий прокси,  пытался войти в мою админку. Как видите плагин очень хорошо работает. У кого не стоит устанавливайте, не пожалеете!

P.S. Довольно продолжительное время народ обсуждает темы о подборе паролей. Раньше 6-значный пароль можно было подобрать за 30 сек, а вот на 8-значный требовалось значительно больше времени. Теперь, при использовании высоких скоростей GPU подбор паролей занимает секунды времени. Например, применение SSD дисков повышает скорость подбора паролей до 300 миллионов в секунду и комплексно. Так что, каким бы сложным ни был ваш пароль, нга его взлом потребуется примерно 5 секунд :).
Это конечно не доступные, на данное время, технологии для «школоты», но время идет…

28 комментариев к «Как защитить wordpress»

  1. Когда я сделал свой первый блог на wordpress, я понятия не имел о уязвимостях данной CMS. Тот блог у меня стыбзили буквально на третей неделе после публикации его в сети. С тех пор я, как минимум, половину Ваших рекомендаций использую и пока что тьфу-тьфу помогает!

  2. Спасибо! А то на мой блог еще со времен его жизни на LiveStreet лезет куча ботов, минимум десяток в день. Все ИП не отследишь, а вот автоблокировка теперь поможет)

  3. Я являюсь пользователем своего сайта, буду надеется что программист всё предусмотрел заранее, но я, всё-таки, сейчас сама всё погляжу. Бдить надо))).Спасибо!

  4. Безопасность прежде всего! За плагин спасибо, поюзаю. в данный момент юзаю Visitor Maps, но недоволен.

  5. Использую Login LockDown, что лучше на ваш взгляд? стоит переходить на представленный вами плагин?

  6. Защита админки это самое важное если взломают сайту хона.

  7. WP отличный конструктор, только вот безопасность оставлят желать лучшего(((
    В инфобизнесе вот он хорош, удобен и легок в использовании.
    До сегодняшнего для, использовал Visitor Maps, а сейчас уверен, что начну пользоваться вашим!

  8. Статейка хорошая,обязательно установлю этот плагин.

  9. у Login LockDown все таки наверно меньше возможностей чем у Limit Login Attempts, надо посмотреть какой будет лучше

  10. Для защиты от подбора паролей использую плагин Login LockDown. Отлично работает.

  11. Классная статья. Сам веду свой блог и о защите побеспокоился в первую очередь. Автору спасибо за предоставленную информацию, озьму на заметку. Кстати совет всем, о защите блога думать в первую очередь, если даже тока-тока установили WordPress, тем более это просто…

  12. Я согласна ! Обезопасить нужно админку wp много случаев неприятных по поводу уязвимости движка .Установлю

  13. Я раньше и не задумыволся о том, что WordPress могут взломать. Сегодня вечером обязательно поставлю плагин и займусь безопасностью своей админки.

  14. Очень полезная статья, данные рекомендации сегодня применю к своему сайту. Ведь уж очень часто узнаю о взломе аккаунтов и заселению их спамными ботами. Поэтому защита это главное..

  15. Учитывая популярность wordpress эта статья очень актуальна.
    Спасибо что поделились) пойду настраивать свой сайт! от себя скажу что сложный пароль + измененный логин админа уже пол пути к успеху.. =)

  16. Я уже который год веду свой блог и даже не знала что есть такие нюансы, теперь благодаря автору буду внимательнее относится к безопасности блога.

  17. Считаю, что достаточно использовать что называется весь набор, при создании паролей (всмысле строчные и прописные буквы, спец символы и цифры) и не скупиться на длину пароля. Даже с SSD придётся попотеть))

  18. интересный материал! а то вечно с этой админкой wordpress мучения ))

  19. Я лично столкнулся с тем, что все мои сайт взломали не раз. Я тал их защищать, поставил подобные плагины. Вернее я сделал это на основных сайтах, а у меня были еще полузаброшенные сателиты на этом же хостинге.

    Потом мне поддержка хостинга сказала, что достаточно взломать один сайт, чтобы потом взломать остальные. Поэтому все ненужные сайты я решил перенести на другой, бесплатный хостинг.

  20. Вордпресс сам по-себе неплохо защищен, а у меня еще и хостер дополнительную капчу для защиты входа в админку поставил. Так что, надеюсь, никаких дополнительных примудростей ставить не потребуется.

  21. В течении лет 6 на мои сайты как бы ни кто не покушался, но все равно при хорошей защите спится спокойней. Спасибо Автору.

  22. Была попытка вскрыть вордпресс. Перестраховался, установил данный плагин, на какое-то время нагрузки на сервер прекратились. Но, похоже вскрыли через фтп. Файл тхасес изменили, прописали редирект на другие сайты. Разобрался, исправил, поменял пароль. Затем вскрыли еще два сайта на том же аккаунте хостинга. Даже не знаю откуда дует и что делать. Помимо данного плагина стоит дополнительная защита, но видемо и она не помешала злоумышленникам ((

  23. У меня другой стоял XX Attack, не знаю, но система такая же точно. На новом сайте попробую рекомендованный вами. Хотелось бы продолжения про комплексную защиту сайта. Почему то ко мне приходят по поисковым запросам: порно и прочее. Хотя мой сайт к этому отношения не имеет.Под АГС попал. Хотя тут наверное не взлом, а что не подскажете???

  24. Спасибо! Обязательно воспользуюсь, а то последнее время что-то страшновато за сайт)

  25. А чего не проставил ссылку на свой сайт, чтобы можно было посмотреть?

  26. Очень нужная статья! Защита сайта — вещь первостепенная. Знаю по собственному опыту, так как мой сайт пробовали взломать. Еле все восстановил. А плагин этот обязательно поставлю.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *