Привет !
Сегодня я покажу как защитить сайт на wordpress от брутфорс атак. Что это такое ? Брутфорс – это автоматические программы роботы, которые пытаются методом перебора паролей взломать ваш сайт. Такие программы не только могут взломать ваш сайт, они могут занести на ваш сайт вирус. К тому же такие автоматические программы, создают серьёзную нагрузку на базу данных, своими многочисленными запросами к файлу wp-login.php. Лучше поздно чем никогда, но советую вам заранее установить на ваш сайт защиту, как раз этим мы сейчас и займёмся, поехали !
Плагин, которым мы будем защищаться, называется – Brute Force Login Protection. Плагин автоматически блокирует пользователя, который превысил лимит попыток входа в админ-панель. В настройках вы сможете установить количество попыток и время, на которое будет заблокирован пользователь. Хотелось бы отметить, что на странице входа будет отображаться количество оставшихся попыток, поэтому нормальные пользователи не будут блокироваться. Можно будет вручную блокировать и разблокировать ip-адреса. Установить данный плагин вы сможете прямо из админ-панели wordpress. Перейдите по вкладке: Плагины – Добавить новый, введите название плагина в форму поиска, нажмите Enter, установите и активируйте открывшийся плагин.
Чтобы настроить плагин, перейдите по вкладке: Настройки – Brute Force Login Protection.
На странице настроек, вверху, у вас должно отображаться – зелёная галочка и надпись – You are protected!, что обозначает, то что вы Защищены. И три зелёных галочки с надписями:
.htaccess файл найден
.htaccess файл читаемый
.htaccess файл для записи
В файле .htaccess, который расположен в корневом каталоге на хостинге, будет автоматически прописан специальный код, который и будет защищать ваш сайт. Разберём остальные настройки:
– Allowed login attempts before blocking IP, здесь нужно указать количество разрешённых попыток входа в админ-панель, после чего пользователь будет заблокирован. По умолчанию указано 20, но я считаю, что это слишком много, рекомендую указать 4-6 попыток. Нормальный пользователь после трёх попыток просто восстановит пароль и всё.
– Minutes before resetting login attempts count, укажите в минутах сколько будет длиться блокировка. Указывайте по больше, так как нормальным пользователям будет показано сколько у них осталось попыток для входа. А роботы пусть тусуются по дольше.
– Delay in seconds when a login attempt has failed (to slow down brute force attack), укажите задержку в секундах между неудачными попытками, для снижения нагрузки на сайт. 3-5 секунд я думаю нормально будет.
– Inform user about remaining login attempts on login page, информировать пользователя об оставшихся попыток входа в систему на странице входа. Очень полезная функция для нормальных пользователей. Ставьте галочку.
– Send email to administrator when an IP has been blocked, если поставите галочку, то при каждой блокировки, администратору сайта будет приходить письмо на email.
– Message to show to blocked users (leave empty for default message), оставьте поле пустым, здесь можно указать сообщение для заблокированных пользователей, не обязательно, роботы не умеют читать :-))
– .htaccess file location, здесь указан путь к файлу .htaccess
В конце Сохраняем настройки – Save.
Внизу страницы вы сможете вручную либо заблокировать, либо добавить в белый список ip-адрес. Просто добавьте в специальное поле ip-адрес и нажмите на кнопку рядом с полем.
– Blocked IPs, заблокировать IP адреса.
– Whitelisted IPs, одобрить, добавить в белый список.
Вот и всё, теперь ваш сайт в безопасности. Если у вас простой пароль для входа в админ-панель, то рекомендую заменить его на более сложный с различными символами. На сегодня всё, удачи и до новых встреч ! Вопросы оставляйте в комментариях.
