НЕ ПРОПУСТИТЬ ИНТЕРЕСНОЕ

Свежие обсуждения

Sorry. No data so far.

Ограничение числа попыток авторизации в административной панели CMS WordPress. Плагин Limit Login Attempts

Здравствуйте уважаемые читатели блога www.ithabits.ru. В предыдущей статье, в связи с сообщением о мощной распределенной атаке на сайты WordPress, были перечислены некоторые возможные способы защиты административной панели этой популярной CMS.

Так как одной из главных составляющих атаки является попытка подбора пароля административной учетной записи WordPress, то на первом шаге мы переименовали логин “admin” дефолтной учетной записи администратора и установили строгий пароль. Это уже хорошо, но, как говорит герой известного культового мультфильма: “…Маловато будет!”. Поэтому, дополнительно ограничим еще количество последовательных попыток авторизации в административной панели WordPress. Эта мера сильно усложнит жизнь взломщикам.

Непосредственно в WordPress возможность ограничить количество попыток авторизации не предусмотрена, однако существуют несколько плагинов, которые позволяют это сделать. Я остановил свой выбор на Limit Login Attempts. Этому способствовали его высокий рейтинг и 100% совместимость с актуальной, на момент установки, версией WordPress 3.5.1.

Установка плагина Limit Login Attempts

Установка плагина ничем не отличается от стандартной. Скачиваем плагин, разархивируем и добавляем по FTP папку limit-login-attempts с файлами плагина в …/wp-content/plugins.

Заходим в административную панель и активируем новый плагин “Ограничение попыток авторизации”. Далее “Параметры” > “Limit Login Attempts” >

Limit_Login_Attempts_1

Настройка плагина Limit Login Attempts

Дефолтные настройки разрешают 5 ошибочных последовательных попыток авторизации, после чего IP адрес блокируется на 20 минут. Если таких ошибочных серий с 20-минутными блокировками набралось 4, то наступает блокировка IP адреса уже на 24 часа.

Если предположить, что попытки авторизации предпринимает настоящий и вменяемый на момент авторизации администратор, то зачем ему такое их количество, непонятно. Я сразу изменил количество в меньшую сторону на 3 + 2. Так, вроде, логичнее – три раза ошибся, иди 20 минут гуляй и ищи или вспоминай правильный пароль. Через 20 минут будут доступны еще 3 попытки, если уж и тут мимо, что очень маловероятно, то отдыхай сутки.

Вы, естественно, можете настроить опции плагина в соответствии с собственными предпочтениями.

Представленный скриншот сделан через несколько часов после установки. Слава богу это, конечно, не атака, но отчетливо видно, что враг не дремлет >

Limit_Login_Attempts_log

О случаях изоляций можно получать уведомления на электронную почту. Опция  исправно функционирует >

Limit_Login_Attempts_max

Существует принципиальная возможность сделать список “белых” IP-адресов непосредственно в коде плагина “Limit Login Attempts”, однако, по мнению автора плагина, это плохая идея с точки зрения политик безопасности.

Решение проблем с авторизацией

Если в результате неких причин доступ на сайт оказался заблокирован для администратора и требуется незамедлительно его получить, то это можно сделать следующим образом:

Временно деактивировать плагин Limit Login Attempts

Используя FTP / SSH нужно временно переименовать файл «wp-content/plugins/limit-login-attempts/limit-login-attempts.php». После этого плагин станет неработоспособен, то есть деактивируется. Когда проблема со входом будет решена нужно просто вернуть файлу первоначальное имя;

или

Сбросить значение числа блокировок в базе данных сайта

Если есть доступ к базе данных сайта, например через phpMyAdmin, то в таблице wp_options нужно очистить значение limit_login_lockouts >

login_limit_loc

В целом, как мне представляется, очень достойное дополнение для CMS WordPress.

А какими плагинами безопасности для WordPress пользуетесь Вы? Поделитесь опытом.

Желаю всем приятной и безопасной работы в Интернет.

Комментарии: 4. Присоединяйтесь к обсуждению!

  1. Вадим:

    Приходилось переименовывать по фтп:) Отказался в пользу CAPTCHA:
    1. Там роботы долбят, а с ней до логина дело не доходит.
    2. Не надо отвлекаться на сообщения о превышении лимита.
    3. Можно включить в комментариях (-1 плагин), но не хочу напрягать читателей (Akismet + NoSpamNX справляются)

  2. diammalpMix:

    Интересный сайт, спасибо.

  3. SearryWralo:

    Thank you for the great blog!

  4. С момента установки плагина Limit Login Attempts прошло около 3-х месяцев, можно подвести первые итоги.
    Его работой я доволен чрезвычайно. Несколько тысяч блокировок, что говорит о том, что враг не дремлет, а Limit Login Attempts — на страже. С этим плагином стало значительно спокойнее.
    По записям из лога можно перечислить подбираемые имена: admin, administrator, {domain}, ithabits — разнообразия никакого.
    Пожалуй, я бы отнес этот плагин к категории обязательных для WordPress.

Написать комментарий

Subscribe without commenting