Как защитить WordPress от взлома? Подбор пароля к админке. Настройка Login Lock.

Опубликовал Сергей / комментариев 14

Привет! Вчера я написал статью о том, как сломали мой сайт на DLE и подсунули мне вредоносный код, вот сама статья DLE: как найти вредоносный код на сайте после взлома?. После этого случая, буквально через несколько дней, были попытки подобрать пароль к админке WordPress и взломать мой хороший, посещаемый сайт. Хоть эти два сайта находятся на одном хостинге, точнее находились, я не думаю что эти два случая как-то связаны между собой.

Как защитить WordPress от взлома

Все началось с того, что вечером я заметил повышенную нагрузку на хостинг. Посещаемость не увеличивалась, и другой необычной активности на сайтах я не наблюдал, все как всегда. Я сразу почему то подумал, что это сайт на DLE создает дополнительную нагрузку, тем более на нем недавно был обнаружен вредоносный код. Было уже поздно, и я решил, что на следующий день перенесу его на новый хостинг, точнее на новый аккаунт, от греха подальше.

Утром я увидел, что нагрузка уже была 50 единиц, это при 120 допустимых. Обычно у меня такая нагрузка наблюдается ближе к вечеру. Я быстро написал письмо в службу поддержки хостинга, у меня кстати ihc.ru и быстро начал переносить недавно купленный сайт на другой аккаунт.

Не успел я полностью перенести сайт, как пришло ответ от поддержки хостинга. В нем было написано, что к моему сайту,  который имеет неплохую посещаемость, пытаются подобрать пароль, это и создало такую большую нагрузку на CPU. Они указали IP адрес, с которого меня пытаются взломать и сказали, что они его заблокировали. Я в шоке и немного напуганный, первый раз блин такое :).

По сути, IP это не проблема, заблокировали один, будет другой. Нужно было быстро что-то делать. Я полез искать плагины для WordPress, для блокировки IP, если пароль был неверно введен несколько раз.

Нашел плагин Login Lock и даже с первого раза я не прогадал, везучий я  :). Плагин действительно классный, сейчас напишу как правильно его настроить.

После установки плагина Login Lock в моем случае, сразу снизилась нагрузка на хостинг и плагин начал блокировать другие IP, с которых меня все еще хотели взломать. В это же день, к вечеру, плагином  Login Lock было заблокировано три разных IP адреса, это при том, что у меня на сайте почти нет зарегистрированных пользователей.

Настройка плагина Login Lock на WordPress

Значит, скачиваем плагин и устанавливаем его. Активируем плагин и переходим на страницу настроек Login Lock, «Параметры» — «Login Lock».

Приступаем к настройке. Первым делом, нужно внести настройки в виденную желтым область, ну а можно оставить все как есть.

Я выделил первые три поля в желтой области цифрами:

1 — это количество попыток ввода пароля при входе в админ панель WordPress. То есть, если пароль будет неправильно введено три раза то IP будет заблокирован.

2 — время которое должно пройти между этими попытками.

3 — время, на которое будет заблокирована IP адрес, после трех неправильных попыток ввести пароль.

Вы можете указать другие значения, которые считаете нужными.

Настройка плагина Login Lock на WordPress

Дальше по пунктам:

Email all admins? — я поставил Yes, это значил, что при  блокировке IP адреса, администратору сайта будет отправлено письмо. Проверил, работает и очень удобно.

Enable the password policies shown below?  — это что-то по настройке паролей. Ставим Yes, потому что если поставить нет, то несколько пунктов ниже будут недоступны. А для полной безопасности они нам нужны.

Require password changes: — в поле ввода, можно указать количество дней, через которое, нужно будет сменить пароль вам и всем пользователям на сайте. Я отключил эту опцию, просто установив 0.

Minimum password length: — минимальное количество символов в пароле. Это по желанию.

Password strength: — допустимый уровень надежности пароля. Я установил High, сложный. Это значит, что пароли всех пользователей и ваш в том числе, должны быть сложными с использованием разных знаков, типа !@#$%^&*. После включения этой опции, установить пароль 123456 у вас не получится.

Password recycling: — пароль переработки, ставим No.

Logout idle users — можно задать количество минут, по истечению которых, в случае простоя сайта, плагин будет выходить за вас. То есть нужно будет заново водить пароль и логин, что бы войти на сайт. Мне это не нравится, поэтому поставил 0.

Нажимаем кнопку «Update Settings» для сохранения настроек.

Настройка Login Lock

Ниже вы наверное заметили, еще настройки, выделены красным. А если красный, то значит осторожно!

Настройки в пункте Force Password Changes Now, дают возможность сменить пароли абсолютно всем пользователям. Это может пригодиться, если ваш сайт уже взломали. Без особой надобности, лучше не лесть.

сброс пароля всем пользователям на WordPress

И еще один пункт, Blocked IP Addresses в нем отображаются IP, которые заблокированы на данный момент. Есть возможность снять блокировку преждевременно.

список заблокированных IP

Вот и все, это отличный способ защитить сайт на WordPress от взлома, а точнее от подбора пароля к админке. Конечно же, делать такое нужно сразу при создании нормального сайта, потому что никто не застрахован, ну а мы как всегда, делаем когда уже прижмет :). Удачи друзья!

комментариев 14

  • Фигня все это, от взлома пароля спасает — да, от нагрузки на сервак — нет. Меня щас какой-то поц пытается поламать, у него IP-ы генерируются автоматом. Каждый IP банится на 9999 часов, а толку, он через 5 секунд под новым ипом брутит

  • я еще сразу после установке вордпресс сменил адрес админки. Думал уже нет таких людей у которых админка по адресу сайт.ру/админ 🙂

  • Хотя нет, владелец этого сайта — тоже адрес админки не сменил)))

    • Можно, но зачем? Стоит блокировка по IP + хостер сам установил дополнительную защиту. Что бы попасть на страницу входа в WordPress, необходимо ввести еще один логин и пароль.

  • Можно и так…у меня один сайт на вордпрессе взламывают два раз уже) Правда адрес админки не сменен, один и тот же вредоносный код вставляют в jquary. Хорошо, что сайт не особенно посещаем. И всегда я об этом узнаю от яндекса. Вот, думаю сейчас, как защитить по лучше другой проект))

  • Сейчас обновил jquary до последней версии…интересно, а вдруг поможет ?))

    • Может пароль слабый был? Или вредоносный код другим подсунули.

  • Да не знаю даже…менял пароли…не пойму почему только в jquary код вставляют. Пароль нормальный, логин был не админ и т.д. Версия вордпресса, та которая предшествовала 3.6. Склоняюсь к мысли, что уязвимость в вордпрессе. Если взломали фтп — так думаю заразили б и другие файлы.

    • Уязвимость может быть не только в WordPress, но и в плагинах, которые скорее всего установлены.

  • Спасибо за плагин. У меня такой на одном сайте стоит, захотел и на другой поставить, а через админ панель его не нашёл.

  • Ребят, подскажите! Забыл парольот админки вордпресса, ввёл раз10 неправильно и теперь я со своего домашнего интернета только «сервер не найден» или «страница недоступна» вижу( Что сделать, чтобы исправить это для моего ip? Мне пароль уже восстановили и я могу открыть сайт с 3g и любого другого инета, а вот со своего домашнего никак(

    • Можно по FTP зайти, и просто переименовать папку плагина Login Lock. Или, еще может быть такое, что ваш адрес заблокирован у хостинг компании. Если вообще на сайт не можете зайти.

      • Спасибо! Всё просто оказалось — провайдер просто айпи заблочил! Позвонил назвал айпи и норм всё!

  • Спасибо за информацию.