Привет !

Сегодня я покажу как защитить сайт на wordpress от брутфорс атак. Что это такое ? Брутфорс – это автоматические программы роботы, которые пытаются методом перебора паролей взломать ваш сайт. Такие программы не только могут взломать ваш сайт, они могут занести на ваш сайт вирус. К тому же такие автоматические программы, создают серьёзную нагрузку на базу данных, своими многочисленными запросами к файлу wp-login.php. Лучше поздно чем никогда, но советую вам заранее установить на ваш сайт защиту, как раз этим мы сейчас и займёмся, поехали !

 

Плагин, которым мы будем защищаться, называется – Brute Force Login Protection. Плагин автоматически блокирует пользователя, который превысил лимит попыток входа в админ-панель. В настройках вы сможете установить количество попыток и время, на которое будет заблокирован пользователь. Хотелось бы отметить, что на странице входа будет отображаться количество оставшихся попыток, поэтому нормальные пользователи не будут блокироваться. Можно будет вручную блокировать и разблокировать ip-адреса. Установить данный плагин вы сможете прямо из админ-панели wordpress. Перейдите по вкладке: ПлагиныДобавить новый, введите название плагина в форму поиска, нажмите Enter, установите и активируйте открывшийся плагин.

 

14-11-2015 18-26-07_mini

 

Чтобы настроить плагин, перейдите по вкладке: Настройки – Brute Force Login Protection.

 

 

На странице настроек, вверху, у вас должно отображаться – зелёная галочка и надпись –  You are protected!, что обозначает, то что вы Защищены. И три зелёных галочки с надписями:

.htaccess файл найден

.htaccess файл читаемый

.htaccess файл для записи

 

 

В файле .htaccess, который расположен в корневом каталоге на хостинге, будет автоматически прописан специальный код, который и будет защищать ваш сайт. Разберём остальные настройки:

 

– Allowed login attempts before blocking IP, здесь нужно указать количество разрешённых попыток входа в админ-панель, после чего пользователь будет заблокирован. По умолчанию указано 20, но я считаю, что это слишком много, рекомендую указать 4-6 попыток. Нормальный пользователь после трёх попыток просто восстановит пароль и всё.

– Minutes before resetting login attempts count, укажите в минутах сколько будет длиться блокировка. Указывайте по больше, так как нормальным пользователям будет показано сколько у них осталось попыток для входа. А роботы пусть тусуются по дольше.

– Delay in seconds when a login attempt has failed (to slow down brute force attack), укажите задержку в секундах между неудачными попытками, для снижения нагрузки на сайт. 3-5 секунд я думаю нормально будет.

– Inform user about remaining login attempts on login page, информировать пользователя об оставшихся попыток входа в систему на странице входа. Очень полезная функция для нормальных пользователей. Ставьте галочку.

 Send email to administrator when an IP has been blocked, если поставите галочку, то при каждой блокировки, администратору сайта будет приходить письмо на email.

– Message to show to blocked users (leave empty for default message), оставьте поле пустым, здесь можно указать сообщение для заблокированных пользователей, не обязательно, роботы не умеют читать :-))

– .htaccess file location, здесь указан путь к файлу .htaccess

В конце Сохраняем настройки – Save.

 

15-11-2015 20-49-47_mini

 

Внизу страницы вы сможете вручную либо заблокировать, либо добавить в белый список ip-адрес. Просто добавьте в специальное поле ip-адрес и нажмите на кнопку рядом с полем.

– Blocked IPs, заблокировать IP адреса.

– Whitelisted IPs, одобрить, добавить в белый список.

 

15-11-2015 21-03-12_mini

 

Вот и всё, теперь ваш сайт в безопасности. Если у вас простой пароль для входа в админ-панель, то рекомендую заменить его на более сложный с различными символами. На сегодня всё, удачи и до новых встреч ! Вопросы оставляйте в комментариях.