Как защитить WordPress от взлома? Подбор пароля к админке. Настройка Login Lock.
Привет! Вчера я написал статью о том, как сломали мой сайт на DLE и подсунули мне вредоносный код, вот сама статья DLE: как найти вредоносный код на сайте после взлома?. После этого случая, буквально через несколько дней, были попытки подобрать пароль к админке WordPress и взломать мой хороший, посещаемый сайт. Хоть эти два сайта находятся на одном хостинге, точнее находились, я не думаю что эти два случая как-то связаны между собой.
Все началось с того, что вечером я заметил повышенную нагрузку на хостинг. Посещаемость не увеличивалась, и другой необычной активности на сайтах я не наблюдал, все как всегда. Я сразу почему то подумал, что это сайт на DLE создает дополнительную нагрузку, тем более на нем недавно был обнаружен вредоносный код. Было уже поздно, и я решил, что на следующий день перенесу его на новый хостинг, точнее на новый аккаунт, от греха подальше.
Утром я увидел, что нагрузка уже была 50 единиц, это при 120 допустимых. Обычно у меня такая нагрузка наблюдается ближе к вечеру. Я быстро написал письмо в службу поддержки хостинга, у меня кстати ihc.ru и быстро начал переносить недавно купленный сайт на другой аккаунт.
Не успел я полностью перенести сайт, как пришло ответ от поддержки хостинга. В нем было написано, что к моему сайту, который имеет неплохую посещаемость, пытаются подобрать пароль, это и создало такую большую нагрузку на CPU. Они указали IP адрес, с которого меня пытаются взломать и сказали, что они его заблокировали. Я в шоке и немного напуганный, первый раз блин такое :).
По сути, IP это не проблема, заблокировали один, будет другой. Нужно было быстро что-то делать. Я полез искать плагины для WordPress, для блокировки IP, если пароль был неверно введен несколько раз.
Нашел плагин Login Lock и даже с первого раза я не прогадал, везучий я :). Плагин действительно классный, сейчас напишу как правильно его настроить.
После установки плагина Login Lock в моем случае, сразу снизилась нагрузка на хостинг и плагин начал блокировать другие IP, с которых меня все еще хотели взломать. В это же день, к вечеру, плагином Login Lock было заблокировано три разных IP адреса, это при том, что у меня на сайте почти нет зарегистрированных пользователей.
Настройка плагина Login Lock на WordPress
Значит, скачиваем плагин и устанавливаем его. Активируем плагин и переходим на страницу настроек Login Lock, «Параметры» — «Login Lock».
Приступаем к настройке. Первым делом, нужно внести настройки в виденную желтым область, ну а можно оставить все как есть.
Я выделил первые три поля в желтой области цифрами:
1 — это количество попыток ввода пароля при входе в админ панель WordPress. То есть, если пароль будет неправильно введено три раза то IP будет заблокирован.
2 — время которое должно пройти между этими попытками.
3 — время, на которое будет заблокирована IP адрес, после трех неправильных попыток ввести пароль.
Вы можете указать другие значения, которые считаете нужными.
Дальше по пунктам:
Email all admins? — я поставил Yes, это значил, что при блокировке IP адреса, администратору сайта будет отправлено письмо. Проверил, работает и очень удобно.
Enable the password policies shown below? — это что-то по настройке паролей. Ставим Yes, потому что если поставить нет, то несколько пунктов ниже будут недоступны. А для полной безопасности они нам нужны.
Require password changes: — в поле ввода, можно указать количество дней, через которое, нужно будет сменить пароль вам и всем пользователям на сайте. Я отключил эту опцию, просто установив 0.
Minimum password length: — минимальное количество символов в пароле. Это по желанию.
Password strength: — допустимый уровень надежности пароля. Я установил High, сложный. Это значит, что пароли всех пользователей и ваш в том числе, должны быть сложными с использованием разных знаков, типа !@#$%^&*. После включения этой опции, установить пароль 123456 у вас не получится.
Password recycling: — пароль переработки, ставим No.
Logout idle users — можно задать количество минут, по истечению которых, в случае простоя сайта, плагин будет выходить за вас. То есть нужно будет заново водить пароль и логин, что бы войти на сайт. Мне это не нравится, поэтому поставил 0.
Нажимаем кнопку «Update Settings» для сохранения настроек.
Ниже вы наверное заметили, еще настройки, выделены красным. А если красный, то значит осторожно!
Настройки в пункте Force Password Changes Now, дают возможность сменить пароли абсолютно всем пользователям. Это может пригодиться, если ваш сайт уже взломали. Без особой надобности, лучше не лесть.
И еще один пункт, Blocked IP Addresses в нем отображаются IP, которые заблокированы на данный момент. Есть возможность снять блокировку преждевременно.
Вот и все, это отличный способ защитить сайт на WordPress от взлома, а точнее от подбора пароля к админке. Конечно же, делать такое нужно сразу при создании нормального сайта, потому что никто не застрахован, ну а мы как всегда, делаем когда уже прижмет :). Удачи друзья!
Фигня все это, от взлома пароля спасает — да, от нагрузки на сервак — нет. Меня щас какой-то поц пытается поламать, у него IP-ы генерируются автоматом. Каждый IP банится на 9999 часов, а толку, он через 5 секунд под новым ипом брутит
я еще сразу после установке вордпресс сменил адрес админки. Думал уже нет таких людей у которых админка по адресу сайт.ру/админ 🙂
Хотя нет, владелец этого сайта — тоже адрес админки не сменил)))
Можно, но зачем? Стоит блокировка по IP + хостер сам установил дополнительную защиту. Что бы попасть на страницу входа в WordPress, необходимо ввести еще один логин и пароль.
Можно и так…у меня один сайт на вордпрессе взламывают два раз уже) Правда адрес админки не сменен, один и тот же вредоносный код вставляют в jquary. Хорошо, что сайт не особенно посещаем. И всегда я об этом узнаю от яндекса. Вот, думаю сейчас, как защитить по лучше другой проект))
Сейчас обновил jquary до последней версии…интересно, а вдруг поможет ?))
Может пароль слабый был? Или вредоносный код другим подсунули.
Да не знаю даже…менял пароли…не пойму почему только в jquary код вставляют. Пароль нормальный, логин был не админ и т.д. Версия вордпресса, та которая предшествовала 3.6. Склоняюсь к мысли, что уязвимость в вордпрессе. Если взломали фтп — так думаю заразили б и другие файлы.
Уязвимость может быть не только в WordPress, но и в плагинах, которые скорее всего установлены.
Спасибо за плагин. У меня такой на одном сайте стоит, захотел и на другой поставить, а через админ панель его не нашёл.
Ребят, подскажите! Забыл парольот админки вордпресса, ввёл раз10 неправильно и теперь я со своего домашнего интернета только «сервер не найден» или «страница недоступна» вижу( Что сделать, чтобы исправить это для моего ip? Мне пароль уже восстановили и я могу открыть сайт с 3g и любого другого инета, а вот со своего домашнего никак(
Можно по FTP зайти, и просто переименовать папку плагина Login Lock. Или, еще может быть такое, что ваш адрес заблокирован у хостинг компании. Если вообще на сайт не можете зайти.
Спасибо! Всё просто оказалось — провайдер просто айпи заблочил! Позвонил назвал айпи и норм всё!
Спасибо за информацию.