По умолчанию страница входа в админ-панель WordPress не отличается привлекательным внешним видом. Она холодна, безлична и довольно строга. Тем не менее, ежедневно, даже без вашего ведома, она подвергается атакам злонамеренных роботов и/или людей с недобрыми намерениями.
Их цель — захватить контроль над веб-проектом. В этой статье вы узнаете, как ограничить количество попыток входа на сайт WordPress. Это возможно осуществить за несколько минут, независимо от уровня подготовки.
Почему следует ограничить попытки входа в WordPress
Ограничение попыток входа в админ-панель ВордПресс помогает усилить безопасность сайта. По умолчанию WordPress не лимитирует количество попыток авторизации.
В результате хакеры используют это, чтобы попытаться захватить контроль над сайтом.
Это называется атакой методом перебора. Когда это происходит, боты переходят на страницу входа на сайт и пытаются узнать имя пользователя и пароль учетной записи администратора, автоматически тестируя различные комбинации.
Эти комбинации очень часто включают наиболее часто применяемые имена пользователей и пароли, такие как «admin» и «123456».
Если этим ботам удается проникнуть на сайт, последствия могут быть катастрофическими. Например, они могут:
- Добавлять спам-ссылки, чтобы ухудшить поисковую оптимизацию (SEO).
- Красть конфиденциальную информацию, как вашу, так и ваших посетителей. Это могут быть данные из контактной формы или банковская информация, если продаете продукты на сайте WooCommerce.
- Установить вредоносное программное обеспечение.
- Сломать сайт и сделать его недоступным.
Вот почему рекомендуется ограничить количество попыток подключения, чтобы защитить установку WordPress.
Это можно сделать очень легко с помощью специального плагина, который наложит ограничение на количество попыток авторизации.
Если лимит будет превышен, человек или робот не сможет пытаться подключиться в течение определенного периода времени или навсегда.
Я расскажу об этом подробнее в следующем разделе.
Плагины для ограничения входа в WordPress
В репозитории WordPress есть несколько расширений, которые специализированы на защите админки. Также эта функциональность часто встроена в различные «мультимодули», в целом предназначенные для улучшения сайтов. Рассмотрим оба варианта — ограничение входа в WordPress при помощи многофункционального Clearfy Pro и специализированного Limit Login Attempts Reloaded.
Clearfy Pro
Clearfy Pro является одним из плагинов, который я устанавливаю на все сайты WordPress. Он позволяет в несколько кликов существенно улучшить оптимизацию проекта и обезопасить его, а также дает некоторые полезные инструменты, заменяя популярные расширения. Подробнее о его возможностях мы рассказывали на сайте в обзоре Clearfy Pro.
В расширении имеются опции для ограничения входа в WordPress. Они не требуют особых знаний для настройки. Чтобы их активировать, после установки расширения перейдите в раздел «Защита» и переведите в активное положение переключатель «Ограничить количество попыток» в разделе «Защита от перебора пароля».
В Clearfy Pro вебмастер сам выбирает время блокировки и количество ошибочных вводов. При этом, присутствуют две настройки. Одна позволяет ввести непродолжительную блокировку, а вторая активировать более долгий бан на ввод логина и пароля после нескольких блокировок.
Также обратите внимание на возможность указать черные и белые списки IP-адресов. Для пользователей из белых списков блокировки не будут предприниматься. Пользователи из черных списков будут сразу заблокированы.
Осторожно указывайте IP-адреса в белых и черных списках, либо вообще их не вводить. Если адрес реального администратора сайта динамический, он может «случайно» оказаться в черном списке.
Помимо функции ограничения перебора пароля, в Clearfy Pro есть еще несколько удобных опций для защиты сайта:
- Сокрытие возможности узнать имя администратора.
- Отключение ошибок при неправильном вводе данных для входа на сайт.
- Замена страницы wp-login.php на новый адрес.
Рекомендую на всех проектах менять стандартный адрес страницы входа на кастомный. Это существенно снижает риск брутфорс атак и попыток войти на сайт путем перебора пароля. «Боты» злоумышленников просто не смогут найти адрес, где нужно вводить данные для входа.
Плагин Clearfy Pro полезен для любого сайта на WordPress. С ним в пару кликов легко выполнить работы по оптимизации и защите ресурса, на проведение которых программистам потребовались бы десятки часов. Тем самым расширение полностью «отбивает» свою стоимость.
Скидка на Clearfy Pro
Limit Login Attempts Reloaded
Чтобы ограничить попытки входа на сайт WP, можно использовать Limit Login Attempts Reloaded.
Это модуль с 2 миллионами активных установок, и он самый популярный вариант в официальном каталоге в своей категории, опережая таких конкурентов, как WPS Limit Login (более 100 тысяч активных установок) или WP Limit Login Attempts (более 10 тысяч активных установок).
- Он часто обновляется.
- Его опции для ограничения попыток входа в систему бесплатны.
- Он прост в освоении и использовании.
Чтобы установить плагин, на дашборде ВордПресс перейдите в раздел «Плагины» > «Добавить новый». Установите и активируйте Limit Login Attempts Reloaded.
После этого в левом сайдбаре появится новый тип записи под названием Limit Login Attempts.
При нажатии на него вы попадаете на дашборд плагина. Здесь отображается информация о количестве неудачных попыток входа и ссылки на настройки.
В верхней части дашборда 5 дополнительных вкладок обеспечивают доступ к коняигурациям плагина.
Чтобы настроить параметры Limit Login Attempts Reloaded, перейдите на вкладку «Настройки».
В «Общих настройках» я рекомендую сначала установить флажок «Соответствие GDPR». Он отобразит небольшое сообщение на странице входа в админ-панель ВордПресс.
Далее, возможно, стоит установить флажок «Уведомлять о блокировке». Если это сделаете, то будете получать электронное письмо каждый раз, когда IP-адрес пытается подключиться после X попыток (можете ввести любое количество).
Настройки для ограничения количества попыток входа находятся в поле чуть ниже, называемом «Локальное приложение».
Настройки по умолчанию уже действуют, но вы, конечно, можете ввести значения по своему усмотрению. В частности, можно указать:
- Количество разрешенных попыток входа.
- Число минут, в течение которых человек не сможет пытаться подключиться после неудачных попыток (минуты блокировки).
- Время, в течение которого человек или бот будет заблокирован после X блокировок (блокировки увеличивают время блокировки на X часов).
- Количество часов, которое проходит до сброса попыток входа в систему.
Текст в поле «Доверенные IP-адреса» трогать не нужно.
Завершите настройку, нажав оранжевую кнопку «Сохранить настройки».
Чтобы увидеть, как работает плагин, вернитесь на страницу входа в WordPress и введите неверный пароль.
Вы увидите количество попыток, оставшихся до возможной блокировки.
И, конечно же, вы также получите уведомление об этой неудачной попытке входа в систему на своем дашборде.
Наконец, обратите внимание, что вкладка «Журналы» плагина Limit Login Attempts Reloaded позволяет ввести имена пользователей или IP-адреса, которым хотите запретить вход на сайт (список запрещенных).
С другой стороны, возможно ввести имена пользователей и IP-адреса, которые смогут пытаться войти в систему столько раз, сколько захотят (список разрешенных).
Вот и все, сайт теперь стал немного более безопасным.
Как разблокировать попытки входа в админ-панель WordPress
Как видите, Clearfy Pro и Limit Login Attempts Reloaded очень эффективно ограничивают попытки входа в WP. Это отлично защищает от атак методом перебора, но иногда может сыграть с вами злую шутку. Действительно, вы можете оказаться заблокированным и не сможете войти на свой ресурс, если сделаете слишком много попыток входа. Даже если хорошо видимое сообщение об ошибке предупреждает о количестве оставшихся попыток подключения, это, к сожалению, может произойти.
Если случилась такая неприятность, первым делом, обратитесь к документации. Если вы блокировали вход при помощи Clearfy Pro, то на каждый из способов защиты у них подробно описано решение, как его обойти при наличии доступа к FTP или админке.
Для разблокировки при использовании Limit Login Attempts Reloaded, подключитесь к сайту через FTP-клиент. Дважды щелкните по корневому каталогу вашего сайта. Затем перейдите в следующий каталог: wp-content/plugins.
Щелкните правой кнопкой мыши по каталогу плагинов (limit-login-attempts-reloaded) и удалите его. Теперь вы можете снова попробовать войти на сайт.
Оказавшись на дашборде ВордПресс, не забудьте снова установить и активировать Limit Login Attempts Reloaded, чтобы он защищал сайт.
Чтобы никогда не потерять логин и пароль, используйте онлайн-менеджер паролей. Вы можете хранить их в безопасном онлайн-сейфе и автоматически входить на сайт с помощью любого из них.
Дальнейшие меры по обеспечению безопасности сайта
Когда речь идет о безопасности, не ограничивайтесь только лимитом попыток подключения. Чтобы максимально защитить свою установку, воспользуйтесь также следующими советами:
- Часто делайте резервные копии сайта.
- Установите общий плагин безопасности, чтобы обеспечить веб-проект основными функциями, такими как брандмауэр, двухфакторная аутентификация и блокировка ботов и вредоносных программ.
- Включите расширение Akismet, чтобы ограничить спам.
- Используйте надежный пароль.
Заключение
В этой статье вы узнали о важности ограничения попыток входа на сайт WordPress с помощью плагинов Clearfy Pro и Limit Login Attempts Reloaded. Как видите, для усиления безопасности необходимо применять эту передовую практику. С помощью этих плагинов вы можете ограничить атаки методом перебора и риск выхода из строя вашего хостинг-провайдера. Как только выполняется атака методом перебора, на сервер отправляется запрос.
