Привет, друзья! Год прошел а я только сейчас задумался о защите своего блога от взлома, ну не смешно ли!? Ладно хоть задумался сейчас, а то как у нас Россиян бывает, пока петух жареный не клюнет мы не пошевелимся) Значит сегодня расскажу вам (пока не поздно) как защитить WordPress блог от взлома, Способ очень простой и защищать блог от перебора паролей к админке будем с помощью WordPress плагина Limit Login Attempts.
Разумеется, если сайт молодой, посещаемость нулевая, блог никак не зарабатывает деньги, то такой блог хакерам не интересен, нафиг он им не нужен… А вот если блог более менее раскручен, то тут уже можно поживиться… Как? – Да просто, злоумышленники с помощью перебора паролей к админке специальным хакерским софтом (или вручную) подбирают пароль, затем меняют его на новый и все, они могут творить все что угодно – вплоть до полного удаления сайта. Террористы, мать их..!
[yandexd]
А если у вас еще и нет полных бекапов сайта (как сделать полные бекапы) и если еще и хостинг явное УГ, который не делает бекапы и не следит за безопасностью (советую хостинг Бегет. несколько раз спасал и выручал) тогда пиши пропало; все труды и время убито злыми хакерами, ну или вы расстанетесь с кругленькой суммой денег! Ах, да, я не сказал же главного, как хакеры и мошенники делают на этом деньги.
После взлома блога, бандиты связываются с автором блога и предлагают вернуть доступ к админке (пароли) за вознаграждение. Сумма вознаграждения зависит от раскрученности сайта, понимаете? Чем популярнее сайт, тем больше денег автору придется заплатить.
Так вот, чтобы хоть как-то себя обезопасить, обязательно поставьте плагин Limit Login Attempts – этот плагин встанет на стражу и защитит админку от перебора паролей и будет после нескольких неудачных попыток ввода блокировать IP террориста! Вообще, хочу вам сказать, движок WordPress такой гибкий, и к нему столько разных плагинов и скриптов пишут, что решить можно абсолютно любую проблему, вот, нашел блог — WordPress уроки, почитайте.
Как защитить WordPress блог от взлома (перебора паролей к админке) — Плагин Limit Login Attempts
Как работает плагин Limit Login Attempts?
Плагин ограничивает число попыток входа в систему (т.е. количество неправильных ввода логина и пароля в админку), которое может сделать пользователь. Как только предел достигнут (который указан в настройках), IP-адрес взломщика будет заблокирован.
Вот, посмотрите, плагин установил неделю назад (Логи можете посмотреть в “Админка – Параметры — Limit Login Attempts”):
[sc:adsens728post ]
Вниз еще длинный список с IP злоумышленников. Кто-то очень хочет попасть в админку блога. Занимаются херней, делом бы занялись полезным, а не дрочкой! 3414 изоляций, 25 IP адресов вообще заблокированы от попыток авторизации
явно с помощью какого-то софта перебирают пароль… Вот так то…
Совет. Пароли делайте сложные, вида: dTI9fZAwdTI9fZAw и логин посложнее, вида: zatulia-veter-cherez-zabor, например
Не ленитесь) И еще, постоянно обновляйте WordPress до последней версии (как обновить?) И периодически меняйте пароли!
Установка плагина Limit Login Attempts
- Сначала скачиваем плагин с оф сайта скачать
- Или скачиваем и устанавливаем через поиск в админке блога.
- Устанавливаем (стандартная процедура установки WordPress плагинов. Кто не знает как установить плагины. читаем инструкцию)
[yandexd]
Настройка плагина Limit Login Attempts
После активации плагина переходим в “Параметры — Limit Login Attempts”
В настройках плагина все ясно как в безоблачную погоду, поэтому разберетесь сами, тем более все на родном и могучем) Единственное, по умолчанию галочка “Отправить емайл админу не стоит”, а я советую поставить! И теперь, как только какой-нибудь злыдень попробуем подобрать пароль и взломать ваш блог, вам на почту придет письмо с уведомлением.
Вот вроде и все! Серьезно отнеситесь в защите блога!
Подписывайтесь на обновления блога, вас ждет еще много интересного!
А как вы защищаете свой WordPress блог? Интересно будет узнать о дополнительных способах защиты. Жду ваших комментариев.
✌️ Хочешь продолжить разговор после статьи?
В Telegram я делюсь всем, чего нет на блоге: быстрые мысли, мемы, хаос и ностальгия.
Подписаться на Telegram
Я этим плагином давно уже пользуюсь, хорошая весчщь! Для большей безопасности ещё можно сделать вручную один код в одном месте (чуть позже напишу), я правда на Денвере делал, но потом почему-то заглючил редактор в написании постов. А может и не в нём дело было, надо будет на Денвере протестировать снова и если проканает, то на сайт вставить. Фишка, короче, в том, что злоумышленники не смогут иметь доступ к панели логина и пароля — перед ней будет стоять ещё одна панель со своим уникальным паролем
Короче, двойная защита!! И тогда даже вряд ли будут приходить в limit login attempts уведомления о попытках взлома)))
Минус фичи в том, что лишний раз надо самому пароль вводить при входе, ну а потом ещё раз пароль — уже для доступа к админке.
Интересно… =)
Че то я «заочковал» так то Валерий — завтра после работы займусь. А еще, валерий Вы не в курсе случайно в админке во вкладке «пользователи» — постоянно добавляются какие то участники, это кто вообще? там можно целый архив с их почтовыми адресами собрать и заспамить их:))) 42 участника, кто такие, что им надо я хз!
Проверьте в админке Параметры — Настройки — Общие: Членство — стоит галочка «любой может зарегистрироваться» ?
А e-mail’ы сохраните — будете спамить их потом))))
Блин, неправильно я написал, надо: Параметры — Общие и уже в «общих» смотреть «Членство» и галочку напротив него с названием «любой может зарегистрироваться»
Да, я нашел:)…галочку убрать я так понял?
Да, уберите.
а если их из участников перевести в подписчики?:))))то все что я выкладываю будет приходить к ним на почту?:) может так сделать?:)
Нет, там кажется не такой алгоритм. Не будет приходить
А у меня LoginLockDown стоит. Но ко мне пока не кто не ломится… я пока никому не интересна видите ли
Валер, вы их не сравнивали? Мой и свой. Сразу на тот, что описали перешли или как?
Татьяна, нет, не сравнивал. Попробую LoginLockDown и дополню пост)
Не ломятся и хорошо. Это не повод переживать!
Надо себе плагин поставить. Для интересу…
Вот я тоже для интереса поставил, и офигел…
Сразу поменял и пароль и логин — поставил сложные)
А что если мне самому «пишет, что превышен лимит попробуйте через 20 минут», не заблокирует хоть меня то????
Видимо да)) Хотя мне кажется, что есть какие-то способы войти. А вот придумал: Например зайти с другого компа и удалить свой забаненный Ip с админки.
Даа, тут такие дело что если данные для входа забудешь, то пиши пропала. Хотя наверняка есть способы взломать WP.
Стоит такой плагин на сайте давно. Попытки ломиться на сайт, от добрых людей, есть, каждый день, без исключения. Надо еще защиту укреплять, любителей нажиться на чужом труде у нас хватает.
Самое интересно, что мы пока сайт даже не пытались еще монетезировать, даем ему время подрасти, а взломщики тут как тут. Паразиты одним словом.
Согласен, ломятся даже на такие блоги, которые монетизировать вообще нельзя.
Подскажет кто нибудь, это не опасно? «ВНИМАНИЕ: превышен лимит попыток авторизации. Пожалуйста попробуйте через 3 минут.»
Не опасно, но если не правильно будешь вводить данные, на сутки не сможешь войти на блог!
Я в панике, меня заблокировал собственный блог:)))))) на 24 часа:)) блин что там нужно настроить, объясните:))))) а то ну его нафиг снесу этот плагин:))))
Дмитрий, Странно… может плагин конфликтует с каким нибудь из установленных плагинов? Удалите его (через ftp) и попробуйте установить LoginLockDown
Заблокировал тому что войти не мог или какая-то другая причина?
Интересный плагин, наверно тоже себе поставлю. Только вот не понял, там самому в настройках можно устанавливать лимиты, после которых будет блокироваться?
Именно так. но после блокировки, можно через какое-то время пробовать входить заново!
Класс. Пользовался раньше этим плагином, пока второй блог не создал, а теперь позабыл про него! Теперь опять поставлю, спасибо. И то же наверное напишу об этом статью!
Валерий, а вы не подскажете, как разблокировать себя? Я поставил блокировку на 1 попытку и 48 часов. И сам нечаянно попался на свою же блокировку. Теперь ждать 2-е суток! :))) Знаю, что Админу в обход можно как-то зайти в панель, но как?
Через ftp удалите папку с плагином. А вообще этот плагин на многих блогах не работает. Сегодня дополню пост. Отмечаю себе в todo
Удалить, а потом по-новому установить?
Именно!
У меня этот плагин хорошо работает! Уже заблокировал не только меня :))), но и несколько потенциальных взломщиков.
Спасибо, Валерий! Выручили!
Да не за что)))
Валерий, только что удалил его, в админку зашёл и установил плагин по-новому через саму админку. Но как только активировал, появилась опять блокировка в виде сообщения, что осталось 40 часов. При попытке перейти на консоль, это окошко появляется снова — не даёт в админке сделать переход. Опять удалять или что?
Удалите и поставьте позже.
Боюсь, что за это время пароль взломают. Может, комп просто перезагрузить?
Может просто плагин тупит?
не знаю, я его в админке в поиске набирал, а после активации все его настройки вернулись.
Полезная статья. Думаю мне стоит призадуматься и уделить больше внимания моему блогу.
Плагин то хороший, но вот у меня например ситуация не первый раз уже. Не просто пароль подбирают а целенаправленно с нескольких машин начинают перебирать с интервалом в 1 секунду. Хостинг просто ложится. Спасает только бан в .htaccess Deny from айпишник. Это я к тому что даже с плагином веб-сервер отдает страницу — а это серьезная нагрузка, когда идет параллельно 50 запросов каждую секунду. Единственный вариант дополнительно паролить папку wp-admin и скрывать версию WordPress. Всем комментаторам серьезно повезло, а моих клиентов и меня атакуют очень часто и методично, причем DDOSят очень серьезно.
Всем удачи )
Клевая статья и клевый плагин. М не теперь на почту часто приходят сообщения о неудачных попытках.
c плагином Login LockDown он дружит или будут глюки???
А на моем сайте установлен плагин Login LockDown, если 2 раза неправильно ввел пароль то происходит бан на 2 дня
Так же поменял URL-адрес входа в админку (Wp-login.php) Если кому интересно как сменить URL, могу написать.
Интересно! Я в самом начале здесь в комментах тоже написал про способ защиты, но сам опробовал его только на денвере. Блин, как время будет, отпишусь, что за способ.
уже имею сайт более года, пишу только про отдых на горнолыжных и морских курортах, в день, каким то образом появляется от 10 до 30 постов, хотя поставлен очень хороший плагин, аналог описанному выше, но с гораздо более широкими возможностями Better WP Security , когда его устаналиваешь, показывает все дыры сайт, помогает исправить, тоже блокирует и пользователей и по АЙпи, и по времени входа,
Но ничего не помагает. Меняю пароль и логин, через минуту чужие статьи, IP скрыт..Помогает только функция, Away-закрытие доступа на сайт на время вашего отсутствия, вы же не каждый час редактируете свой сайт. Рекомендую, но сам не пойму почему остальные меры не помогают ? А вот от коментариев , в которых вставлены ссылки на чужие сайты помогает Akismet- Invisible Captcha- WP ban -Login Lock Down
Спасибо Автору за Блог. Интересно. Подписался
Валерий, добрый день! А у меня что-то странное твориться с сайтом, появляются чужие ссылки, которые не видны в админке, поэтому удалить их я не могу. Они появляются и в анонсах на Сабскрай. Это какой то вирус и поможет ли мне установка рекомендуемого логина?
Валерий, не подскажете, как поменять admin на другой логин, который набираем вместе с паролем при входе в админку.
Я подскажу.
Самый быстрый вариант — это зайти в phpadmin и там в вашей базе данных выполнить вот этот запрос:
UPDATE wp_users SET user_login = ‘Ваш новый логин’ WHERE user_login = ‘admin’;
Или можно просто через админку блога создать нового пользователя, переназначить ему все статьи, а старого пользователя admin удалить.
Костя, спасибо за подсказку! Воспользуюсь!
Сергей, в двух словах не объяснить, на днях напишу об этом пост.
*good*
Меня сегодня взломали, выставили в настройка редирект на порно сайты. Доступ к админке восстановил, блог вернул в прежнее состояние, пароль поменял. Задаюсь вопросом, а не через плагины ли произошло проникновение… И что-то мне подсказывает, что в ближайшее время подобное повториться…
Обязательно воспользуюсь, когда придет время. Спасибо за информацию!))