Як захистити wordpress

156

Як захистити адмінку wordpress від підбору паролів

Зараз wordpress є найпопулярнішою платформою для блогів. І чим популярніше блог, тим більше ризик бути зламаним. Хоча і не обов’язково мати популярний блог, щоб його не намагалися зламати. Є багато речей убезпечити свій блог, таких як, наприклад:

  • плагіни захисту
  • постійне оновлення вордпресс і плагінів
  • унікальні ключі в wp-config.php
  • надійний пароль
  • зміна імені адміна за замовчуванням
  • приховування версії wordpress
  • запобігання переглядів каталогів
  • використання SFTP замість FTP
  • зміна префікса таблиць
  • резервна копія файлів сайту та бази даних і т. д.

Всі ці заходи в комплексі сильно ускладнять злом вашого сайту.

За замовчуванням wordpress дозволяє робити необмежені спроби входу в адмін-панель, це дає нехорошим людям підбирати паролі безліч разів до успіху і Ви навіть не дізнаєтеся про це. Щоб обмежити несанкціоновані спроби входу в адмін-панель вашого сайту є плагін захисту Limit Login Attempts.

Плагін обмежує кількість спроб входу в систему, яка може зробити користувач. Як тільки межа досягнутий, IP-адресу потенційного зловмисника буде заблокований. Всі спроби входу будуть вестися в журналі спроб входу і також може прийти повідомлення на е-майл. Зазвичай цього буває достатньо, щоб відштовхнути потенційних зловмисників і змусити їх перейти на іншу “мета”.

Налаштування опцій плагіна після установки і активації дуже прості, все інтуїтивно зрозуміло, тим більше, що все російською мовою (рис.1).

Плагин защиты Wordmpess - настройки

рис.1

На наступному скріншоті користувач побачить повідомлення про помилку, якщо введе неправильне ім’я користувача чи пароль (рис.2):

Защита админки wordpress от подбора паролей

рис.2

Поки писався пост була несанкціонована спроба входу. На рис.1, в лівому нижньому куті IP зловмисника, нижче покажу звідки намагалися зайти. Як бачите, народ не дрімає і постійно є загроза злому, так що раджу поставити.

Рекомендую до прочитання: Основи HTML (частина 4)

Так як у мене в налаштуваннях варто повідомлення про изоляциях по E-mail, я отримав ось такий лист-повідомлення, після 2 спроб розкрити мій блог (рис.3)

Плагин защиты ВордПресс

рис.3

Щоб дізнатися (кому цікаво) звідки намагалися авторизуватися, скористаємося інструментом визначення місцезнаходження IP-адреси IP Adress Lookup. Вводимо IP-адресу потенційного зловмисника і отримуємо таку картину, як на рис.4:

Определить местонахождение по IP

рис.4

У моєму випадку, на момент написання статті, “товариш” з Голландії, ну або хтось, хто використовує проксі, намагався увійти в мою адмінку. Як бачите плагін дуже добре працює. У кого не варто встановлюйте, не пошкодуєте!

P. S. Досить тривалий час народ обговорює теми про підбір паролів. Раніше 6-значний пароль можна було підібрати за 30 сек, а на 8-значний було потрібно значно більше часу. Тепер, при використанні високих швидкостей GPU підбір паролів займає секунди часу. Наприклад, використання SSD дисків підвищує швидкість підбору паролів до 300 мільйонів у секунду і комплексно. Так що, яким би складним не був ваш пароль, нга його злом потрібно приблизно 5 секунд :).
Це звичайно не доступні, на даний час, технології “школоты”, але час іде…