W
Wmboard
Сегодня я поделюсь с вами одним полезным плагином для Wordpress. Я всегда считал и считаю, что безопасность вашего сайта это один из самых важных принципов, которые должны соблюдаться вебмастером.
Wordpress является достаточно защищенным движком, над которым постоянно работает команда разработчиков, но тем не менее взломы происходят, и очень часто причина взломов заключается не в движке, а в безответственности владельца сайта.
Плагины защиты Wordpress очень часто обходят вниманием блогеры, публикующие различные обзоры. А зря. На vBulletin, который является одним из лидеров разработок смс есть такая функция. Когда человек неправильно вводит пароль или логин, после пятой попытки его блокирует на определенное время. Аналогично работает и плагин для wordpress Login LockDown.
Довольно часто движки ломают через дыры у хочтера, через уязвимости самой смс, но бывает, когда злоумышленники получают доступ в админку путем брута: перебора в определенной последовательности символов до полного определения админского пароля. Разумеется делается это не в ручную, а с помощью специальной программы.
Плагин для wordpress Login LockDown исключает эту возможность.
На картинке видны значения, которые следует выставить:
Max Login Retries - количество попыток войти
Retry Time Period Restriction (minutes) - период времени за который человек должен набрать следующую комбинацию пароля
Lockout Length (minutes) - время блокировки при неправильном вводе
Lockout Invalid Usernames - учитывать или нет неправильный логин
Mask Login Errors - маскировать или нет ошибки ввода логина и пароля для злоумышленника
Currently Locked Out - список заблокированных IP
Все. Сохраняем настройки, и проверяем работу.
Но есть еще одна тонкость, которая отражена на второй картинке. При установке плагина на странице входа в админку отражается надпись, что блог находится под защитой плагина Login LockDown. А мы же ведь не хотим, чтобы злоумышленник знал об этом, не правда ли? Поэтому идем в админке в редактор плагинов, в файле loginlockdown.php находим строчку:
Удаляем ее, и сохраняем файл. Теперь все.
Wordpress является достаточно защищенным движком, над которым постоянно работает команда разработчиков, но тем не менее взломы происходят, и очень часто причина взломов заключается не в движке, а в безответственности владельца сайта.
Плагины защиты Wordpress очень часто обходят вниманием блогеры, публикующие различные обзоры. А зря. На vBulletin, который является одним из лидеров разработок смс есть такая функция. Когда человек неправильно вводит пароль или логин, после пятой попытки его блокирует на определенное время. Аналогично работает и плагин для wordpress Login LockDown.
Довольно часто движки ломают через дыры у хочтера, через уязвимости самой смс, но бывает, когда злоумышленники получают доступ в админку путем брута: перебора в определенной последовательности символов до полного определения админского пароля. Разумеется делается это не в ручную, а с помощью специальной программы.
Плагин для wordpress Login LockDown исключает эту возможность.
- Скачиваем плагин. Здесь последняя версия на данный момент.
- Распаковываем файл, и заливаем папку в папку с плагинами.
- В админке в плагинах активируем Login LockDown и идем в его настройки.
На картинке видны значения, которые следует выставить:
Max Login Retries - количество попыток войти
Retry Time Period Restriction (minutes) - период времени за который человек должен набрать следующую комбинацию пароля
Lockout Length (minutes) - время блокировки при неправильном вводе
Lockout Invalid Usernames - учитывать или нет неправильный логин
Mask Login Errors - маскировать или нет ошибки ввода логина и пароля для злоумышленника
Currently Locked Out - список заблокированных IP
Все. Сохраняем настройки, и проверяем работу.
Но есть еще одна тонкость, которая отражена на второй картинке. При установке плагина на странице входа в админку отражается надпись, что блог находится под защитой плагина Login LockDown. А мы же ведь не хотим, чтобы злоумышленник знал об этом, не правда ли? Поэтому идем в админке в редактор плагинов, в файле loginlockdown.php находим строчку:
Код:
<p>Login form protected by <a href='http://www.bad-neighborhood.com/login-lockdown.html'>Login LockDown</a>.<br /><br /><br /></p>Удаляем ее, и сохраняем файл. Теперь все.