Меню

Настройка limit login attempts



Плагин Limit Login Attempts — ограничение попыток авторизации

Этот небольшой пост о плагине Limit Login Attempts, позволяющем защитить взлом админпанели блогов на вордпресс. Плагине, позволяющем ограничить количество попыток взломщиков блогов — хакерам, пытающимся войти в админпанель и овладеть блогом. Способов и плагинов, для защиты от взлома довольно много и среди них есть очень серьезные. Но молодому блогу, с низкой посещаемостью и авторитететом как правило, ничто не угрожает. До поры — до времени. А вот установить Limit Login Attempts можно даже еще не для очень «крутого» блога, каким я отношу, на данный момент, и свой скромный вебресурс.

Вы удивитесь, но после того, как я установил себе этот плагин, я с удивлением обнаружил, что в мой блог пытался проникнуть взломщик под именем admin, который после неудачных попыток, был с помощью плагина был заблокирован на 24 часа. А прошло всего несколько часов после его установки!

Ниже — скрин части письма, которое я получил вчера на свою электронную почту:

Невольно вспомнилось то, как я обнаружил и устранял «дыру» в теме блога позволяющую определять настоящий логин для входа в админпанель. А если бы я все оставил видимым или выбрал логин admin и взломщик подобрал бы пароль?

Надеюсь, что я убедил вас, уважаемые вебмастера, что такой, хоть и очень простой, но легкий плагин не помешает вашему блогу.

Кратко про установку и настройки плагина Limit Login Attempts

Все абсолютно просто: плагин достаточно найти поиском в админпанели по соответствующему названию, установить и активировать.

Затем из Параметров, выбрав плагин, перейти в настройки. В принципе, менять здесь ничего не нужно, но я рекомендую установить «галочку», позволяющую одной из функций Limit Login Attempts отправлять на ваш e-meil сообщения о попытках проникновения хакеров. Эта функция функция плагина позволит получать оперативную сводку о попытках взлома.

Принцип работы плагина Limit Login Attempts

основан на ограничении доступа входа в админпанель сайта при вводе логина и пароля. Иначе говоря, он создает лимит количества попыток авторизации, включая поддержку куки, по IP адресу пользователя интернетом. Совершать администратору сайта каждый раз выход из панели, да еще постоянно чистить куке-файлы — крайне неблагодарная функция. В данном случае, плагин Limit Login Attempts — просто незаменим.

Плагин, кроме всего прочего, предоставляет IP-адрес взломщика и по нему возможно вычислить и наказать хакера всеми доступными средствами.

Дополнительные средства от взлома

Эта статья — как я указывал выше, уже не единственная о безопасности сайтов на Вордпресс. В своем, более раннем, но более подробном мануале о безопасности сайтов -«Безопасность сайта на WordPress — рекомендации от взлома«, — я так же затронул тему плагинов, предназначенных для подобной функции. В частности, об еще двух плагинах, которые могут работать в связке. Это плагины Login LockDown + Anti-XSS attack (наверное аналогично будет работать и связка Limit Login Attempts + Anti-XSS attack), о работе которых рассказывает Алексей Козымаев в своем видео уроке. Ролик я решил разместить и на этой странице.

Как дополнительное средство от посягательств на сайт, попутно рекомендую плагин, о котором я ни разу не упоминал в своих сообщениях. Называется он Block Bad Queries (BBQ); этот плагин автоматически защищает сайт от вредоносных запросов URL. Установка — через поиск в админпанели, настроек не требует.

Источник

Настройка плагина Limit login Attempts

WP плагин Limit login Attempts – это один из самых необходимых плагинов,так как защищает сайт от такого хакерского приёма, как brute-force атака.

Суть этого приёма в том, что злоумышленник пытается проникнуть в админку, путём подбора пары логин-пароль.

Все уже, наверное, сталкивались с предупреждением: «У Вас осталось три попытки», возникающем при входах с введением пароля. Вот именно эту работу и делает данный плагин.

После его установки и активации, в консоли, в разделе параметры, появиться строка с названием этого модуля.

Пройдя по по ней мы окажемся на странице настроек.

Настройки тут простые, да и на русском языке. На картинке показаны настройки по умолчанию. Давайте посмотрим, что тут можно изменить.

Читайте также:  Страница скрыта настройками приватности и доступна только администраторам группы

В первом поле выставляется количество дополнительных попыток. Я у себя оставил 3.

Во втором — ставится продолжительность первой изоляции. Думаю 20-30 минут нормально.

В следующем поле выставляется число изоляций, после которого время изоляции будет увеличено до 24 часов, или более, на Ваше усмотрение.

Я оставил 1, потому, что кто же кроме злоумышленника будет ошибаться трижды, а потом, через полчаса — ещё трижды. Нужно быть конченым склеротиком, чтоб без умысла такое проделать.

Подключение к сайту оставим «Прямое подключение».

Обрабатывать куки логина. «Да» в этой строке, выбирается в том случае, если Вы всю работу по сайту выполняете в одном браузере. Я же, к примеру, использую четыре браузера, и по этому выбрал «Нет».

Сообщать об изоляции — лучше поставить обе галочки, хотя mail пока вроде ни к чему, но и не повредит. В дальнейшем, если Вы продолжите интересоваться программированием, эти адреса можно будет подвергнуть анализу.

На этом настройки плагина Limit login Attempts закончены. Теперь, если через день или два вернуться на эту же страницу, можно увидеть следующую картинку в разделе статистика.

Это будет означать, что кто-то усиленно пытался проникнуть в Вашу админку при помощи специального скрипта, но это у него не получилось. Можно «Очистить лог».


Перемена

Человечеству угрожают три беды: невежество священников, материализм учёных, отсутствие совести и бесчинства демократов. Пифагор

Источник

Защита блога от взлома

Урок №34

Сегодняшний урок будет посвящен защите блога от взломов. Не думайте что это вам не нужно, очень даже нужно. Ваш блог будут пытаться взломать каждый день! Ниже я вам это докажу и покажу. Я уже с этим сталкивался, один мой сайт уже взламывали, поверьте — это очень не приятно.

Зачем взламывают сайты ?

Для чего воришкам может понадобится ваш блог? Тут есть несколько причин :

  • во первых, конкуренты могут заказать (ну дай бог что бы ваш блог стал таким популярным :)), ну а там уже напакостить. По вставлять свои ссылки, закинуть вирус, попортить контент;
  • во вторых, абсолютное большинство взломов происходит автоматически, ботами и прогами. После чего с вашего блога может полететь куча спама по всем вашим контактам и профилям. Так же вы обязательно получите парочку вирусов, которые будут атаковать посетителей;
  • в третьих, если вы не восстановите контроль, вы потеряете блог навсегда. Его просто могут продать;

Вы конечно можете всё быстро восстановить, и контент и шаблон. Ведь я не зря вам рассказывал о резервном копировании . Но урон может быть не приятным. Все вызванные проблемы могут спровоцировать ваше понижение в рейтингах поисковых систем, в плоть до карантина или фильтра. Лучше обезопасить себя сразу, чем доводить до беды.

Как защитить блог от взлома

Ну во первых не стоит кому либо сообщать свои логин и пароль. А для защиты от незаконного проникновения в админ панель, я предложу вам два плагина: Anti-XSS attack и Limit Login Attempts. Скачать их можно тут и тут

Плагин Anti-XSS attack

Большинство из нас не разлогиневается (нажать кнопку — выход) после работы с блогом, и этим пользуются злоумышленники. Они пишут проги и подключают к вашему блогу, если вы не выходите как положено, то они создают ещё одного админа и проникают к вам в админку. Ну это в 3х словах :).

Вот от чего защищает Anti-XSS attack. Всё что вам нужно, это скачать и установить плагин. Никаких настроек не требует, просто активируйте.

Плагин Limit Login Attempts

Русское название плагина — ограничение попыток авторизации. Как вытекает из название, плагин ограничивает попытки доступа в админке.

Если вас пытаются взломать просто подбором логина и пароля, то после определённого количества попыток, они получают БАН ip.

Как настроить Limit Login Attempts

Работать с этим плагином довольно просто, так как он полностью русифицирован. Вы его скачиваете и активируете. Подскажу, что в списке плагинов он может быть подписан по русски — ограничение попыток авторизации. Затем переходите в раздел: параметры — Limit Login Attempts. И устанавливаете необходимые для вас ограничения.

Читайте также:  Настройка apache под modx

Как видите вы можете установит число попыток входя, я обычно ставлю 4.

Затем время изоляции, это время которое придётся подождать после 4х неверных попыток зайти. Затем после 3х изоляций, я увеличил время изоляции до 24 часов. Как вы понимаете такое время ожидания сводит шансы на взлом к нулю. Не стоит выставлять время месяцами и годами, потому что вы и сами можете попасть в эту изоляцию. Случаи всякие бывают, забыли пароль, неправильный регистр или сбой какой нибудь.

Так же этот плагин нам показывает число попыток взлома, ip нарушителя и какой он пытался использовать при этом логин:

Поверьте, это происходит каждый день. Как видно на картинке, почти все попытки взломать происходят по двум логинам: admin и administrator. Отвечу почему.

В интернете есть 2 самых популярных движка: WordPress и Joomla. После установки движка при первом входе в админку, вам предлогают заполнить форму. И там по умолчанию уже вписан логин, для WP- admin, для Joomla — administrator. Вот поэтому многие боты и настроены на эти логины. Так как многие не изменяют этот логин. Так что знайте: если ваш логин для входа в админку — admin измените его!

О том как сменить логин и пароль админки WordPress я напишу в следующем уроке. Ко всему выше описанному есть ещё одна дополнительная защита сайта, она ограничивает доступ к вашей админке. Зайти в панель сможете только вы, если интересно, то читаем мой урок №42, дополнительная защита сайта.

Источник

Безопасность блога- плагин Limit Login Attempts

Сегодня хочу поговорить о безопасности блога, а именно о плагине Limit Login Attempts.

Ни для кого не секрет, что в интернете вопросы безопасности становятся все более актуальными. И есть люди которые профессионально занимаются взломом всевозможных систем безопасности, есть так же и любители которые действуют буквально ради интереса.

Что касается именно данного блога плагин Limit Login Attempts я установил примерно пол года назад, за все это время было 778 попыток взлома админки WordPress.

И если посмотреть следующий скриншот, можно видеть что здесь присутствует именно подбор имени пользователя:

Каков же принцип работы плагина? А принцип очень прост- данный плагин просто блокирует доступ ко входу после нескольких неудачных попыток доступа. Блокируется IP- адрес, с которого были попытки авторизации, на определенное время. Плагин русифицирован и не сложен в настройках.

Процедура установки плагина стандартная- через админ панель блога или с помощью FTP- клиента . Плагин качаем по этой ссылке http://wordpress.org/extend/plugins/limit-login-attempts/ . Активируем и переходим к настройкам.

В списке выбираем «Limit Login Attempts».

Вот так выглядит панель настроек плагина.

  • Вначале видим Статистику изоляций, здесь у Вас будет 0 и выставлять здесь ничего не нужно.
  • Настройки делаем в Опциях. В таком виде идут настройки «По умолчанию», которые вы можете изменить. Первая позиция количество неудачных попыток ( по умолчанию) можно выставить больше или меньше. Следующий пункт время изоляции (по умолчанию 20 мин.). Далее количество изоляций после которых IP- адрес, с которого делались попытки взлома, блокируется на 24 часа (по умолчанию). Эти цифры можно менять на свое усмотрение. Еще можно выставить сброс изоляции ( по умолчанию 12 часов).
  • Подключение к сайту- как правило это прямое подключение.

  • Обрабатывать кукис логина — ставим «Да», если вы используете один браузер и работаете с одного компьютера.
  • Сообщать об изоляциях- лучше поставить обе галочки, Вы будете получать письмо на e- mail при попытках взлома.
  • Лог изоляций- здесь будут отображаться все IP- адреса с которых пытались авторизоваться, логин- который подбирался и количество изоляций.

В заключении хочу напомнить после установки плагина Limit Login Attempts запишите и запомните свои данные для входа, потому что можно самому попасть под изоляцию.

Источник

Limit Login Attempts — защита сайта WordPress

Здравствуйте, уважаемые читатели! Сегодня я представлю описание плагина Limit Login Attempts, который призван защитить блог или сайт WordPress путем ограничения попыток авторизации. То есть вы сможете сами определить, сколько попыток позволить сделать злоумышленнику, чтобы попытаться проникнуть в святая святых — админ панель вашего ресурса.

Читайте также:  Ascr в настройках монитора asus что это

Надо сказать, что я уже описывал плагин Login Lockdown для защиты WordPress, который выполняет практически те же функции и делает это вполне успешно. Однако, во-первых, всегда необходимо иметь запасной вариант, поскольку не все плагины обновляются с одинаковым постоянством; во-вторых, возможны несовместимости с другими расширениями, ведь все мы используем различные комплекты.

Прежде, чем продолжить, напомню, что я уже писал о том, как защитить ваш сайт или блог WordPress от взлома здесь. Считаю, будет вполне уместным предложить еще один вариант защиты блога, тем более, что безопасность — наиважнейшая составляющая оптимизации WordPress. Так же в целях подстраховки от форс-мажора не забывайте делать копии базы данных и файлов блога или вебсайта, я уже рассказывал, как сделать бэкап сайта на сервис Дропбокс, как осуществить резервное копирование посредством BackWPup и создать резервную копию БД при помощи phpMyAdmin.

Так как это касается общей безопасности пользования интернета, в том числе защищенности вашего ресурса, не могу не упомянуть про такое средство как генератор сложных паролей KeePass (тут о менеджере Кипас изучайте материал), который дает возможность хранить в своей базе практически неограниченное количество данных и полностью автоматизирует процесс прохождения авторизации.

Настройки Limit Login Attempts

Как всегда, устанавливаем и активируем плагин одним из описанных способов. Далее переходим в левой стороне админки WordPress «Параметры»→«Limit Login Attempts». Здесь нам открываются достаточно просто настраиваемые опции, где даже комментарии излишни, поскольку интерфейс на русском языке:

Все-таки позволю дать некоторые объяснения, ориентируясь на начинающих вебмастеров, ведь в основе своей этот блог им и предназначен. Так вот:

1. Всего изоляций — думаю, здесь все понятно. Через некоторое число попыток злоумышленник будет изолирован.

2. Опции — тут можно проставить, по вашему усмотрению, количество попыток (по умолчанию: 4), после которых последует изоляция на заданное время (например,20 мин). Если настырный взломщик будет и дальше испытывать прочность обороны, то определенное количество этих изоляций (4) приведет к тому, что IP-адрес, с которого производились попытки входа, будет заблокирован на какое-то время (например, 24 часа). Ну и, если совершено какое-то количество неудачных попыток, то сброс изоляций опять же наступит через определенное время (12 часов).

3. Подключение к сайту — если у вас постоянный IP-адрес, то есть, например, работаете со стационарного компьютера, а выход в интернет осуществляется через провайдера, то оставляйте «прямое подключение». В общем случае, это справедливо для подавляющего большинства. Если желаете получить дополнительную информацию, то кликните по ссылке «здесь».

4. Обрабатывать кукис логина — если вы работаете с сайтом в одном браузере и с одного компьютера , то необходимо поставить «Да». В целях безопасности так и должно быть.

5. Сообщать об изоляциях — опять же в целях обеспечения максимальной эффективности плагина Limit Login Attempts рекомендую отметить обе галочки.

Если все-таки вас интересует мое мнение, то у меня в настройках стоят значения, которые видны на выше расположенном скриншоте, то есть значения по умолчанию. Спустя какое-то время можно проверить надежность работы плагина. Например, сутки спустя я зашел в раздел настроек и увидел следующую картину:

Как видите, кто-то уже пытался проникнуть в админку моего блога за это время. Поэтому не теряйте время и быстро устанавливайте этот плагин, это значительно повысит безопасность проекта. Кроме того, как видите, несанкционированная попытка проникновения осуществлялась под логином “админ”, который я давно сменил на более сложный. Оставляя логин по умолчанию, вы серьезно ослабляете защиту. Так что, кроме установки данного расширения, придется побеспокоиться сменой логина для входа в админку; о том, как поменять логин и установить более сложный пароль, я писал тут.

В заключение хочу сказать, что если кто-то случайно закроет себе доступ на свой сайт при пользовании Limit Login Attempts (бывает и такое!), обращайтесь в комментариях или через форму обратной связи, постараюсь помочь. А вообще старайтесь хранить все пароли в надежном месте, чтобы не испытать разочарования. Успехов всем! Вас еще ждет немало любопытных публикаций, поэтому не забывайте подписываться на получение новых материалов блога.

Источник

Adblock
detector