Защита админки блога на wordpress от взлома за несколько шагов

Рубрика: Блогинг
Способы защиты админки блога
Автор:
Дата:

Ребята, всем привет! Недавно сидел и думал о защите «админки» от взлома, нужна ли она или нет. В общем, пришёл к выводу, что она просто необходима, особенно если у вас далеко идущие планы (у меня они именно такие).

Конечно, если ваш блог создан для души, и вы не грезите мыслями о посещаемости в несколько тысяч человек и соответственно доходе в круглую сумму, тогда, возможно, и не стоит заморачиваться с дополнительной защитой. Ну а если в ваших мечтах мелькают видения с тёплыми странами, классными машинами и купюрами с большим количеством нулей, тогда не стоит пренебрегать этой самой защитой.

Забыл представиться! На связи Максим, автор блога, который защищен способом двойной авторизации и плагином Loginlockdown (который выполняет функцию ограничения входа в админ панель). Да, именно об этих методах защиты мы и поговорим сегодня.

Двойная авторизация

Пожалуй, начнём с первого варианта. Для реализации функции двойной авторизации, нам понадобится специальный сервис, который можно обнаружить по этому адресу: http://www.htaccesstools.com/htpasswd-generator/. Однако, данная ссылка понадобится несколько позже, так как предварительно необходимо проделать несколько манипуляций с файлами, которые я любезно вам предоставил. Поэтому обязательно скачивайте и повторяйте все мои действия.

Первые два файла, которые необходимо переместить, называются htpasswd и path.php. Наша задача – поместить их в корневую папку с файлами для нашего блога. На скриншоте я продемонстрировал саму папку, в которую нужно положить наши файлы – прям сюда и кидайте их.

htaccess перемещение на хостинге
Теперь переходим по адресу, о котором я говорил ранее, придумываем логин с паролем и вводим их в соответствующие поля:

generator login - генерируем логин
Затем, нажимаем кнопку Createhtpasswdfile и получаем небольшой код:

генерация кода
Теперь перед нами стоит задача — необходимо скопировать полученную строку и вставить в ранее перемещённый файл htapasswd. Делается это просто – открываем этот самый файл для редактирования и вставляем туда этот код. Кстати, если у вас возникли какие-то трудности со вставкой, то можете сделать это заранее, перед перемещением, с помощью notepad.

Читайте также:  Как защитить контент от копирования несколькими способами

вставка кода в notepad
После того как вы скопировали код, затем вставили и сохранили, переходим в браузер и вводим адрес вашего блога с именем файла path.php. Выглядит это примерно так: http://pay-day.ru/path.php

В результате, в окне браузера должен появиться путь /home/admin/web/pay-day.ru/public_html. У вас он может несколько отличаться. Далее, ищем в директории вашего блога файл htaccess и приступаем к редактированию. Для этого, нам понадобится скопировать код в текстовом файле htaccess.txt, который также находится в архиве.

htaccess редактирование
Скопировали? Теперь переходим к файлу, который мы хотели отредактировать и в самом верху, вставляем скопированный код, где вместо «путь к файлу», вставляем тот самый путь (он был обнаружен нами ранее), а также поменяйте кавычки на те же, что и у меня (если включить английскую раскладку клавиатуры, то вам необходимо нажать на букву «э»). В общем, смотрите на скриншот:

вставка кода в htaccess на хостинге
Всё, наконец, можем сохранить этот файл и приступить к проверке. Просто попробуйте ввести адрес вашей панели администратора и взгляните, что у вас получилось. Ну что? Всё работает как надо? Если вдруг возникли какие-то сложности, то посмотрите видео, находящееся в конце статьи и вам окончательно станет всё понятно.

Ограничение авторизации

Что же, с первым вариантом разобрались, теперь переходим ко второму. Кстати, я использую оба и вам советую последовать моему примеру – дополнительная защита, лишней не бывает. Итак, защита админки блога на wordpress от взлома, будет производиться с помощью плагина Loginlockdown, чьей основной фишкой, является его полная автономность, кроме этого он не требует вашего постоянного внимания и вмешательства.

Главное, что вам нужно будет сделать – установить и один раз настроить.

Основная и, наверное, единственная функция этого плагина – защитить вашу панель администратора от несанкционированного входа со стороны злоумышленников. Чтобы установить этот плагин, необходимо перейти в раздел «плагины» и «добавить новый»:

Читайте также:  Выбор CMS для блога — лучшие системы управления контентом

установка login lockdown для своего блога
Далее, введите его название в поисковой строке (просто скопируйте из текста статьи), после чего нажмите кнопку «установить». Всё, дождались окончания установки и перешли в раздел «настройки», где можно наблюдать название плагина, по которому необходимо сделать щелчок мыши. Для наглядности, опять демонстрирую скриншот:

установленный логин локдаун, который находится в настройках блога
Нажав левой кнопкой мыши по названию плагина, мы попадаем в меню настройки. Сейчас объясню, что мы будем настраивать и как. Специально, чуть ниже, прилагаю скриншоты (и разъяснения), где я выделил числовые значения и «кнопки» со словами yes и no.

Под цифрой 1 (синего цвета), находится значение с количеством максимальных попыток авторизации, после которой ip адрес пользователя будет заблокирован. Почему я поставил здесь цифру 3? Думаю, это оптимальное количество попыток, так как поставив, к примеру, цифру 1, любой из нас допустив ошибку, может оказаться заблокированным. Две попытки – тоже маловато.

максимальное количество попыток авторизации устанавливаем 3

Под цифрой 2, располагается значение с количеством минут между попытками авторизации. То есть, если злоумышленник не подобрал правильный логин и пароль, в таком случае, для следующей попытки авторизации ему предстоит ждать 1 минуту. Считаю – это вполне оптимальный промежуток времени, так как и вы можете ввести неправильные данные и тогда, придётся ждать не 5 или 10 минут, а всего одну.

время между попытками авторизации устанавливается 1

Далее, под цифрой 3, следует значение с длительностью между блокировкой доступа к авторизации. В общем, если злоумышленник 3 раза допустил ошибки при входе в аккаунт, то его ip адрес будет заблокирован на 60 минут.

длительности блокировки ставим 60

Следующая опция (цифра 4), позволяет указывать, что при вводе неправильного логина вы допустили ошибку.

ошибка при неправильном вводе - да

Под цифрой 5 находится достаточно интересная и полезная опция, которая при выборе yes, позволяет маскировать неправильные действия. То есть, в случае если злоумышленник допустил ошибки при авторизации, а именно при вводе логина и пароля, то никаких сигналов от «админки» wordpressон не получит.

Читайте также:  Где искать темы для статей — отличные источники вдохновения

производим маскировку ошибок

Далее, вам предлагают возможность разместить ссылку на плагин, которая будет размещаться на странице авторизации. Думаю, стоит выбрать последний вариант и ничего не размещать, так как нет смысла показывать злоумышленникам, что наш сайт находится под защитой.

После всех манипуляций с настройками этого плагина, всё это дело необходимо обновить. В принципе, на этом всё – ваша панель администратора готова сама себя защищать.

Теперь хочу задать вопрос: а вы пользуетесь какими-либо мерами защиты или надеетесь только на сложность пароля?

На этом всё, удачи вам! С Уважением, Максим.

Ребята, всем привет! Недавно сидел и думал нужна ли защита админки блога или нет. В общем, пришёл к выводу, что она просто необходима!

На мою рассылку подписались 9000 человек! Скорей подпишись и получи от меня подарок.

Комментариев к статье: 9

  • Олег Клышко

    Я одним плагином вп секьюрети решил все эти проблемы

    03.11.2015 в 21:59 Ответить
    • Максим Бойко

      Хороший вариант решения проблемы) А я почему-то привык пользоваться своими вариантами. Хотя, может и дополню статейку, расскажу о плагине.

      04.11.2015 в 16:38 Ответить
  • Петр Русаков

    Еще надежный способ создать в wp-admin файл .htaccess и добавить в него такие строки:

    order deny,allow

    allow from 000.000.000.00

    deny from all

    Где 000.000.000.00 нужно заменить на свой ip. В итоге в админку сможете зайти только Вы. Этот способ не подходит для динамических IP.

    04.11.2015 в 16:13 Ответить
  • Рита

    Алексей, скажу честно, что я не сторонник такой защиты. У меня была двойная авторизация и ограничение и я убрала это дело. Лишние плагины. Потом самому надоедают эти «всплывашки». На мой взгляд есть защита по сильней. А именно.

    Вот товарищ раньше написал про .htaccess- это верно.

    Я добавлю простые приемы, но поверьте действуют они на все 1000.

    1. Логин администратор сразу замените+ сложный пароль

    2. Обновление WordPress и плагинов это обязательно и регулярно!

    3. Можно сделать привязку почтового ящика на ваш телефон.

    4. Никогда не храните пароли на FTP клиентах.

    5. Сами делайте регулярно резервные копии, несмотря на то , что ваш хостер делает это за вас.

    Вот нехитрые правила.

    Есть еще один хитрый плагин секьюрити. Но с ним нужно досконально разобраться, а то себе только хуже сделаете. На этом все! Удачи!

    12.11.2015 в 11:17 Ответить
  • Наталья

    Здравствуйте Максим! Я пришла к выводу, что админку нужно защищать, когда увидела, как на моём блоге регистрируются пользователи мало чем похожие на читателей)

    Использую плагин Limit Login Attempts, у него настройки аналогичные тем, что вы описали.

    А так же плагин Ban Options. В его настройки заношу IP адреса и их диапазоны, тех кто попал в изоляцию благодаря первому плагину.

    Как то так)

    15.08.2016 в 14:28 Ответить
    • Максим Бойко

      Здравствуйте, Наталья! Не слышал об этих плагинах, может взгляну на них, на днях. Т.е. регистрируются на блоге? Может комментарии оставляют, боты?

      16.08.2016 в 03:17 Ответить
      • Наталья

        Сама в шоке была))) Именно регистрируются как пользователи.

        19.08.2016 в 05:54 Ответить
        • Максим Бойко

          Странно) Ни разу о таком не слышал)

          19.08.2016 в 10:49 Ответить
  • Милена

    Всегда боялась всяких взломов — откуда только эти злыдни берутся в Интернете, готовые разрушить всё, созданное тяжким трудом?

    Очень полезна статья и оставленные опытными читателями комментарии на тему защиты блога.

    04.10.2016 в 10:16 Ответить

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *