Защищаем админку WordPress

Парочка нужных плагинов для защиты административной панели WordPress

защита wordpress Я уже писал о том, что блог подвергся интенсивной bruteforce атаке. Для защиты блога были предприняты некоторые меры, а именно установлены защитные плагины для административной панели и ограничен доступ в административную панель по IP адресу через файл .htaccess.

При открытии окна авторизации в административную панель WordPress вы можете вводить логин и пароль неограниченное количество раз. Ввели один раз неверно, тут же можно попробовать ввести логин и пароль еще раз и еще раз. По такой схеме как раз и производится подбор паролей методом bruteforce. Но при помощи простого плагина Limit Login Attempts можно ограничить количество вводов.

Сразу после активации плагина Limit Login Attempts в настройках можно указать количество возможных попыток ввода, после чего IP адрес будет заблокирован на определенный срок. Время, на которое IP адрес будет заблокирован вы можете указать также самостоятельно. Можно также указать количество дополнительных попыток авторизации, после которых IP адрес будет заблокирован уже на более долгий срок. Я выставил очень жесткие лимиты, так как свой пароль я знаю.

Также существует очень интересный плагин Stealth Login Page. Мне он понравился тем, что в окне авторизации по мимо логина и пароля необходимо ввести еще дополнительное авторизационное слово, которое задается в простых настройках плагина. Если слово ввести неверно, то происходит перенаправление на какую-либо страницу, которую вы также указываете в настройках плагина. Если ввести кодовое слово неверно на моем блоге, то вас перенаправит по этой ссылке. В прочем проверить вам это не удастся, поскольку доступ к моей административной панели ограничен по IP адресу через файл .htaccess.

Если вкратце, то файл .htaccess это файл дополнительной конфигурации web-сервера Apache. При помощи него можно настраивать огромное количество дополнительных параметров работы web-сервера. При всем при этом дополнительная конфигурация происходит на уровне определенного каталога, где размещен данный файл, а не глобально для всего сервера в целом. Но нас сейчас интересует не это. При помощи нескольких строк можно ограничить доступ к административной панели по IP адресу. Можно как запретить доступ определенному IP адресу, либо открыть доступ для определенного IP адреса. Для этого необходимо прописать всего несколько строк:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 192.168.0.100
</Files>

Вместо IP 192.168.0.100 необходимо указать свой IP адрес. Теперь все готово. Административная панель защищена. Никто не проберется к нам в админку.


Не будь занудой, поделись с друзьями.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

68 запросов. 0,485 секунд. 26.62 Мб