Домены

Шпаргалки для блогера ► Шаг 20-й. Плагин Limit Login Attempts. Защищаем админку от перебора паролей

Сегодня мы познакомимся с плагином Limit Login Attempts. Если вы заглянете в Яндекс.Словари и посмотрите значение слова attempt, то увидите, что оно переводится как пытаться, стараться, пробовать, прилагать усилия. Нетрудно сообразить, что плагину Limit Login Attempts не случайно дали такое название — он устанавливает лимит входа в админку и тем самым защищает ее от перебора паролей.

Когда я предложила вам шпаргалку по защите наших блогов от взлома, то рассчитывала, что блогеры все же прислушаются к совету удалить стандартную учетную запись adminа и поменяют ее на другую.

Ага, все прям побежали выполнять уроки. Например, Сергей Гвоздев откровенно написал в комментариях, что «процедура понятная. Только проделывать её пока не буду. Мне почему-то не хочется это делать» .

Как все просто и незатейливо — а не хочу и точка! Конечно, хозяин-барин, если блогер не хочет беспокоиться о безопасности своего блога, то кто ж его заставит? Только жизнь.

Хочешь мира, готовься к войне

Я уговаривать никого не собираюсь, просто скажу, что даже если у вас совсем завалященький бложик, который, на ваш взгляд, никому не нужен, на самом деле это не так. Вы никогда не слышали про брутфорс-атаки? Да должны были слышать, в прошлом могу хостеры даже письма всем рассылали с рекомендациями принять меры безопасности.

А вы знаете, что в этом году уже была парочка подобных атак, одна в январе, а последняя буквально неделю назад? Вот что сообщает по этому поводу сайт wordfence.com:

сайт wordfence.com знает все об атаках на Вордпресс

Начало в 11 утра EST это утро мы увидели примерно в 30 раз увеличить объем брутфорс-атаки через WordPress сайты под управлением WordPress.org программное обеспечение. Атака росло так быстро, что мы изначально поставили под сомнение данные, которые мы видели, и немедленно развернуты код, чтобы убедиться, что отчетах, которые мы получали, были точны и не нападение на наших собственных систем. Через несколько секунд стало ясно, что атака была на самом же деле, и сообщается со всей вселенной WordPress веб-сайтов.

Источникhttp://www.wordfence.com/blog/2014/02/

Перевод, естественно, машинный, но понятно, что атака была неслабая. Не знаю, как сильно была затронута российская блогосфера, в админке хостинга я увидела, что средняя нагрузка за 7 дней составляет 31.19 CP. Это в пределах нормы, но по графику видно, что в январе она почти вышла за ее пределы:

админка хостера, график нагрузки на блог

Чем это вызвано? Честно скажу, не разбиралась, каких-то претензий от хостера по этому поводу не получала. Но в планах себе пометила, что нужно поподробнее узнать про нагрузку на сервер и как ее снизить.

Вот как повысить разрешенную нагрузку я уже знаю 🙂

У хостинг провайдера Бегета, где квартируются мои блоги, это просто — достаточно принять участие в партнерской программе и привлечь рефералов.

Кстати, если ваш блог тоже на Бегете, не забудьте, что сейчас там проходит акция и можно купить 10 доменов всего по 50 рублей. Поспешите, количество дешевых доменов ограничено, сейчас заглянула в свою админку и увидела, что осталось 1230 доменов.

админка хостинга, управление доменами

Впрочем, я отвлеклась, давайте вернемся к нашим баранам, то бишь к bruteforce-атакам.

Брутфорс- атака или полный перебор (метод «грубой силы», англ. bruteforce) — метод решения математических задач. Относится к классу методов поиска решения исчерпыванием всевозможных вариантов. Сложность полного перебора зависит от количества всех возможных решений задачи.

Вы, наверно, поняли, что суть этих атак заключается в том, что к нашим админкам методом перебора пытаются подобрать логин и пароль.

Конечно, это им нужно не для того, чтобы зайти и сказать — здрасьте, как поживаете? Цели у них в основном меркантильные, — насовать каких-нибудь рекламных ссылок, вставить вредоносный код и потихоньку смыться.

broken-open

Мы можем даже не подозревать о таких непрошенных гостях, до тех пор, пока однажды хостер не пришлет гневное письмо, что с вашего блога рассылается спам или что блог создает чрезмерную нагрузку на сервер.

О том, как создаются ботсети, которые участвуют в таких атаках, как расправляются с неугодными конкурентами и сколько на этом зарабатывают, вы можете почитать в Интернете. Наша задача сегодня — научиться защищаться от непрошенных гостей. И поможет нам плагин, который называется Limit Login Attempt.

Плагин Limit Login Attempt на страже админки


Вообще-то таких плагинов несколько, например, есть еще плагин Login LockDown, такую же задачу решает и плагин Semisecure Login Reimagined.

Но, к сожалению, они уже давно не обновлялись, о чем нас предупреждают на сайте http://wordpress.org/, так что смысла ими пользоваться нет.

сайт wordpress.org предупреждает, что плагин устарел

Поэтому я на свои блоги ставлю плагин Limit Login Attempts, который ограничивает количество попыток входа с одного IP-адреса.

Давайте сначала посмотрим, как обстоят дела с входом на наш блог без этого плагина. Мы заходим по знакомому адресу http://ВАШ ДОМЕН/wp-login.php и видим:

Вордпресс, вход в административную панель

Ввели логин или пароль с ошибкой и тут же выскакивает другое окно:

Вордпресс, ошибка входа в административную панель

Да, да, потеряли! Помогите Христа ради, — можем взмолиться мы и Вордпресс тут же внял нашим мольбам:

Вордпресс, ошибка входа, потеряли пароль

А теперь посмотрим, как все это выглядит в случае, если на блоге установлен плагин от перебора паролей Limit Login Attempts.

Вордпресс сразу предупреждает, что попыток осталось не так и много (кстати, их количество вы можете изменить в настройках и, если хотите, вообще не давать злоумышленникам даже малейшего шанса):

плагин Limit Login Attempts говорит, что неверно введен пароль или логин

Когда даже после нескольких попыток подобрать логин/пароль не удалось, нам предлагают передохнуть минут 20 (время для такого «перекура» вы тоже можете изменить в настройках).

Limit Login Attempts предупреждает, что лимит попыток авторизации превышен

Limit Login Attempt: установка и настройка

Тут проблем никаких. Как обычно вводим название плагина в строку поиска:

установка плагина Limit Login Attempts

Загружаем, активируем. Плагин будет доступен во вкладке «Параметры»:

Плагин Limit Login Attempts во вкладке Параметры

По умолчанию в плагине Limit Login Attempts все настройки уже установлены, единственное, я бы поставила галку, чтобы отчеты о попытках проникнуть в вашу админку приходили на почтовый ящик:

Настройки плагина Limit Login Attempts

И последнее. Как узнать, пытались войти в вашу админку или нет?

Плагин вам все расскажет и покажет. Для этого нужно посмотреть логи в вашей админпанели:

плагин Limit Login Attempts. Логи

Естественно, я же должна была проверить работу плагина? Должна! Допроверялась до того, что мне тоже предложили «перекурить». 🙂

Но проблема решается просто. Поскольку я пользуюсь Мегафоном, а он выдает динамический IP-адрес, мне достаточно было отключиться и подключиться заново.

Наверно, хакеры об этой уловке тоже знают, но каждый раз переподключаться из-за какого-то блога запаришься, проще найти кучу других, на которых не установлено никаких плагинов от перебора паролей.

Но даже если нам «повезет» и попадется настырный малый с терпением, как у кошки, мы все равно сдаваться не намерены. Чтобы хакеру жизнь раем не казалась, завтра мы разберем еще один способ, который поможет защитить административную панель Вордпресса от назойливых гостей.

Всем удачи и хорошего трафика!
Елена Олейникова

Словарь блогера

Анализ сайта — комплекс мероприятий, позволяющий выявить проблемные места с точки зрения поисковой оптимизации.

Блог (англ. blog, от web log) — интернет-дневник или онлайн-дневник. Основное содержимое такого веб-сайта — регулярно добавляемые записи, содержащие текст, изображения или мультимедиа.

Блогер (блоггер) — автор блога (интернет-дневника, онлайн-дневника).

WordPress — система управления содержимым сайта (CMS или движок) с открытым исходным кодом.

Школа блогера: подписаться на рассылку

Домен и хостинг для блога

Домены
 
Поделись ссылкой, добавь в закладки:

Мои комментаторы 6 комментариев

Мои комментаторы

Они уже здесь общаются, присоединяйтесь и вы! И друзей своих зовите!
  • Сергей Гвоздев Дед:

    Установил я этот плагин. Но меня смутила фраза на странице настройки этого плагина:

    "Данные настройки недействительны. Пожалуйста проверьте их. Дополнительная информация доступна ....... "

    Пошел туда, где она доступна. Но там так много чего то непонятного написано на родном английском. Не переварить это.

    Попов предлагал для такой защиты установить плагин Better WP Security. Я его установил на salg36.ru . Пока жалоб не было. Но жить этому блогу (salg36.ru) осталось один день. А на бегете пусть стоит уж Limit Login Attempt.

    [Ответить]

    Елена Олейникова Ответ:

    На эту запись "Данные настройки недействительны. Пожалуйста проверьте их. Дополнительная информация доступна ....... " не обращайте внимания. Я же написала, что все настройки стоят по умолчанию, единственное, галку можно поставить, чтобы отчеты на почту приходили. Так все работает, проверяла.

    У плагина Better WP Security множество функций и он на английском. Я как-то пробовала его поставить, но что-то не понравилось. Впрочем, у нас блог же тестовый, так что можно все перепробовать 🙂

    А почему salg36.ru остался один день? Вы же домен в январе зарегистрировали? Разместили на Макхосте. По-видимому, тестовым периодом воспользовались? Так перенесите его к себе на sprinthost.ru. Напишите письмо хостеру, они должны вам помощь в этом деле.

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Плагин WordPress Firewall 2 — защищаемся от атак. Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

  • Сергей Гвоздев Дед:

    На mchost.ru закончился тестовый период. Домен оплачен до 3 января 2015. Мне легче потерять остаток 99 рублей, чем морочиться с переходами. Достаточно тестового блога, чтобы там упражняться.

    [Ответить]

    Елена Олейникова Ответ:

    А домен через Макхост покупали?

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Плагин wSecure Authentication. Прячем URL админки. Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

  • Сергей Гвоздев Дед:

    Домен покупал на 2domains.ru

    [Ответить]

    Елена Олейникова Ответ:

    Это хорошо, что не у хостера, значит, сможете на этом домене другой сайт сделать.

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Структура CMS WordPress. Пошаговая инструкция создания бесплатного блога. 

    [Ответить]

Есть вопросы? Задавайте!

ДОБРО ПОЖАЛОВАТЬ!

Елена Олейникова - автор Школы блогера

RSS-подписка
RSS-лента Школы блогера

Введите ваш адрес электронной почты:

ВСЁ для БЛОГЕРА

Анализ блога

Проверка Траста

Домен для блога

Регистрируй домен и зарабатывай
Наш адрес не дом и не улица...
Домен на 50 процентов дешевле
Бегет: как изменить домен?
Домен для блога

Регистратор доменов

Хостинг для блога

Фото для блога

Depositphotos

Книжная полка

CMS WordPress
ВЕК ЖИВИ — ВЕК УЧИ:
СОФТ для БЛОГЕРА

Купить The Bat

Фотошоп-онлайн
Транслитераторы
Клавиатурные тренажеры
 
софт в Allsoft.ru
поиск программ
 
СТАТИСТИКА