Безопасность WordPress: защита сайта от взлома с помощью плагина Login LockDown

Здравствуйте, уважаемые читатели! Вы, наверное, не раз слышали о взломе ресурсов в интернете и какие последствия наступают в результате таких действий злоумышленников, поэтому сегодня я начинаю цикл статей по обеспечению безопасности сайта или блога WordPress и защиты от взлома, призвав на помощь плагин Login LockDown.

По большому счету, действия по обеспечению безопасности необходимо производить сразу после установки WordPress, чтобы всякие редиски (нехорошие люди) не смогли воспользоваться результатами вашего кропотливого труда по раскрутке и продвижению ресурса. Представьте, как будет обидно, если добьетесь великолепных результатов, раскрутив свой проект по максимуму благодаря своим знаниям и способностям, а какие-то хакеры воспользуются этим и оставят вас ни с чем.

Если даже и восстановите спустя некоторое время контроль над сайтом, ущерб в виде потерянного времени и сгоревших нервных клеток будет невозможно восстановить, поэтому выполните все, о чем написано в этой статье, тем более, что это не займет много времени. Кстати, я уже описывал некоторые мероприятия по поводу того, как защитить свой сайт WordPress от взлома.

Кстати, если уж организовывать защиту своего проекта на высшем уровне, то делать это нужно со всех сторон. Поэтому воспользуйтесь отличным бесплатным генератором паролей KeePass, который способен хранить в базе данных практически неограниченное количество пасвордов, к тому же ускоряет процесс авторизации.


Обеспечение безопасности WordPress путем смены логина и пароля

Первое, что нужно сделать, это поменять логин «admin», который выдается по умолчанию при установке Вордпресс, а также заменить пароль, применив при этом большое количество цифр и букв, используя к тому же возможность смены регистра (большие и маленькие буквы). Чтобы быть до конца спокойным, используйте в пароле знаков 20. Такие шаги значительно затруднят несанкционированный доступ к админке WordPress.

Чтобы поменять логин и пароль, необходимо воспользоваться доступом в phpMyAdmin через панель управления вашим хостингом. Там должна быть ссылка «phpMyAdmin». Выбираете текущую базу данных MySql вашего сайта. Перед администрированием БД (любых действий с ними) необходимо сделать бэкап (резервное копирование) баз данных, чтобы в случае каких-то форс-мажорных обстоятельств спокойно воспользоваться сохраненной копией. Кстати, с помощью плагина Backup to Dropbox можно сделать полный бэкап сайта, как и посредством BackWPup осуществить резервное копирование файлов и БД. Итак, нажав на соответствующую ссылку с базой данных, находите таблицу wp-users:

Далее левой кнопкой мыши кликаете по иконке, выделенной на скриншоте зеленым (при наведении курсора появится надпись «Обзор». В результате этих манипуляций переходим к редактированию:

Жмем на изображение карандаша и попадаем непосредственно на страницу редактирования:

Здесь напротив полей «user_login» и «user_pass» вводим свои логин (вместо admin) и новый пароль (предварительно удалите старый код пароля). Внимание! Обязательно в колонке «Функция» после ввода нового пароля из выпадающего меню выберите «MD5». После этого жмем внизу кнопку «ОК». Все, процесс завершен, безопасность блога WordPress повысилась сразу на несколько порядков.

Однако, возможно, безопасная комбинация в виде надежных пароля и логина, не остановит сверхупрямого хакера и он все-таки попытается путем бесконечного подбора букв и цифр взломать ваш сайт. Хотя это и маловероятно, все-таки надо учесть, что, чем более развит ресурс, чем выше его популярность и трастовость, тем более лакомым куском он является.

Усиление безопасности WordPress c помощью плагина Login LockDown

Поэтому, не откладывая дело в долгий ящик, еще более усложним задачу взлома сайта для злоумышленников. Это призван сделать плагин Login LockDown. Этот плагин фиксирует точное время и IP-адрес, с которого была сделана попытка входа в аккаунт WordPress и после совершения за определенный срок нескольких неудавшихся попыток блокирует вход на заданное время.

Скачайте, установите и активируйте плагин, как это делать, во всех подробностях описано тут. После установки заходим в раздел редактирования: «Параметры»→«Login LockDown»:

Теперь рассмотрим, что означает каждый из пунктов настроек плагина Login LockDown. Их здесь немного, так что много времени я не отниму.

  • Max Login Retries - максимальное количество попыток входа в админ панель блога WordPress
  • Retry Time Period Restriction (minutes) - период времени, отводимый для осуществления повторной попытки.
  • Lockout Length (minutes) - время, на которое доступ в адинку Вордпресс будет заблокирован
  • Lockout Invalid Usernames  - учитывать ли неверный ввод логина. Для усиления безопасности, думаю нелишним будет отметить «Yes».
  • Mask Login Errors  - маскировать ошибки ввода логина. В этом случае злоумышленник не будет знать, что его действия под контролем.
  • Currently Locked Out - разблокировать. Список заблокированных IP-адресов и указано время блокировки. На скриншоте списка не видно, потому что таких IP-адресов просто еще нет в наличии. Полагаю, эта функция нужна, если вы ведете блог не один, например, и тогда можно разблокировать IP-адрес партнера. Просто при появлении заблокированного IP отметьте его галочкой и нажмите «Release Selected».

Таким образом, если вы оставите настройки по умолчанию, то в случае попытки взлома аккаунта, он будет заблокирован на 60 минут, если были совершены 3 попытки входа в течении 5 минут. Теперь нам необходимо немного подредактировать код плагина Login LockDown с тем, чтобы убрать ссылку, которая появляется после его активации при входе в админку Вордпресс:

Конечно, эту ссылку можно не убирать. Здесь есть этический момент, ведь этот линк ведет на сайт разработчика, который вложил свой труд и заслуживает компенсации. С другой стороны, оставляя ссылку, мы даем лишнюю информацию злоумышленникам. Тут каждый решает для себя сам. Дальнейшие инструкции предназначены тем, кто решит все же убрать этот линк.

Можно легко отредактировать код плагина в админке WordPress, для этого достаточно зайти на страницу изменения плагинов, следуя по пути: «Плагины»→«Редактор» и там из выпадающего меню выбрать нужный Login LockDown и нажать «Выбрать». При этом под надписью «Изменение плагинов» вы увидите «Редактирование login-lockdown/loginlockdown.php». Это и есть нужный нам файл. Затем изменить следующую строку, удалив из нее выделенное красным содержание:

Затем сохранить сделанные изменения. Однако лучше, и я на этом настаиваю, воспользоваться редактором notepad++ и произвести необходимые изменения там. Дело в том, что notepad++ позволяет возвращаться назад на бесконечное число шагов вплоть до исходного вида файла, что гарантирует в случае “косяков” восстановить его прежнее содержание. К тому же использование этого инструмента очень удобно со всех точек зрения и я советую как можно быстрее взять его на вооружение и редактировать с его помощью все HTML и PHP файлы.

Так, на сегодня, пожалуй, все. Надеюсь, вы предпримете описанные в статье шаги по обеспечению необходимой безопасности блога WordPress и защиты его от нехороших дяденек, применив плагин Login LockDown. Я со своей стороны еще не раз вернусь к теме безопасности, поэтому не пропустите выход свежих материалов.

Еще статьи по данной теме:
Самые интересные публикации из рубрики: Создание сайтов

21 отзыв

  1. Александр

    Данный плагин я использую, время от времени сообщает о попытках взлома, но на ссылки внизу не обращал внимания. Там у меня высвечивается и другой плагин защиты WordPress Security, которым я пользуюсь. Спасибо, исправлю код плагина. Второй мой плагин WordPress Security, также код исправляется.

  2. DivaDii

    А какой смысл в изменении логина Admin?
    Ведь Вы ведете блог под своим ником. (ну или одним из ников). Так этот ник узнать очень легко. 🙂 Для этого надо всего лишь уметь читать. 🙂 И найти в блоге статью с парой комментов.

    И я смотрю - Вы не поменяли логин admin на другой... 🙂

    То есть всю первую часть Вашего поста можно заменить на следующее предложение:
    "Устанавливайте сложный пароль".
    А что дает функция MD5 ?

    1. Игорь

      Уважаемый DivaDii! Смысл изменения логина admin в том, чтобы НЕ СТАВИТЬ вместо него свой ник или имя, а проставить совершенно никому не известный сложный набор букв с изменением регистра, который Вы нигде больше использовать не будете! Как Вы можете понять, поменял я логин или нет? Вы же заходите в свою админ панель. Я как раз поменял его на очччень сложный набор знаков. Поэтому вся Ваша язвительность по поводу того, что можно заменить первую часть статьи на одну фразу, неуместна. Выбирая MD5, вы кодируете свой пароль в базе данных. Если не используете эту функцию, могут быть проблемы со входом в админ панель. Надеюсь, Вы получили исчерпывающие ответы.

  3. Максим

    Спасибо ,ссылку убрал все супер))

  4. Владимир

    Полезная информация. Заботиться о безопасности сайта очень важно.

  5. David

    Проверял данный плагин, как он влияет на нагрузку сервера. Оказалось, что он вообще не грузит его, совсем немного, но это не будет заметно (увеличивает загрузку сайта на 0.0013 мсекунд).

    1. Игорь

      Ну да, некоторые плагины не оказывают серьезной нагрузки, я и пытаюсь предлагать их, за исключением, быть может, самых необходимых.

  6. Елена

    Игорь, сменила по вашей рекомендации пароль в админе.
    Я не утверждаю, что именно после этого действия (в этот день устанавливала еще плагины), но в разделе Пользователи, появился какой то Подписчик с электронным адресом. Кто это может быть?

    1. Игорь

      Елена, изменение пароля в админке не должна влиять на появление подписчиков, это совершенно разные функции WordPress. Сделайте вот что. Зайдите в админ панель Вордпресс 'Параметры' - 'Общие' и напротив строки 'Членство' у Вас должна стоять галочка. А напротив следующей строки 'Роль нового пользователя' в выпадающем списке должно быть указано 'Подписчик'. Вот этот подписчик у Вас и указан в качестве пользователя. Эта функция нужна, когда на ресурсе существуют закрытые страницы, на которых необходима регистрация. Но Ваш блог, как я вижу, обычный, поэтому данная функция излишняя и Вы можете спокойно снять галочку. Дело в том, что по утверждению опытных админов, собаку съевших на обеспечении безопасности ресурсов, активация данной функции на сайтах WordPress создает дополнительную лазейку для нечистоплотных деятелей. Я не знаю, насколько серьезна эта опасность, но лучше не рисковать. Со своей стороны могу Вам сказать, если это Вас интересует, что на своем блоге я эту функцию не использую, то есть галочка напротив функции 'Членство' у меня снята.

  7. Елена

    Игорь, галочку убрала, но в пользователях все равно стоит eldersmith92 , e-mail prem.torpedo@gmail.com. Это опасно? Как вообще эти данные появились? Их как то убрать можно? Или без галочки этот пользователь опасности не представляет?
    Игорь, спасибо вам за отзывчивость!

    1. Елена

      Если я поставлю галочку - удалить пользователя (раздел пользователи), этого будет достаточно?

      1. Игорь

        Елена, конечно, после того, как Вы убрали галочку, пользователь не исчезнет. Его надо удалить, Вы правильно сообразили.

    2. Игорь

      Елена, просто удалите пользователя и все. После того, как Вы убрали галочку, не забудьте сохранить изменения. Вообще после каждого редактирования любых опций или настроек не забывайте сохранять осуществленные изменения. Сверх угрозы безопасности Вашего сайта нет, но если у Вас нет закрытых страниц, которые требуют регистрации, зачем рисковать? Так что не сомневайтесь и закрывайте регистрацию так, как я Вам посоветовал.

  8. Елена

    Даже не знаю как вас благодарить. Вы мне очень помогли, спасибо вам, Игорь!

  9. NetFox

    Просто шёл мимо, почитал. Да, Вы добросовестно работаете с клиентами! Респект Вам и Уважуха!! Главное не запороть начатое. Потом, обычно, когда у человека появляется пара сотен сайтов, очень сложно оставаться вежливым, и тем более успевать всем отвечать по существу! Благодарю за внимание!

  10. NetFox

    Смотрю у Вас активна система Граватар. У меня тоже самое в блоге, но видимо проблема в том, что без регистрации аватарку не видно, а подставляется стандартный значёк. Может в данных случаях имеет место активировать монстер АйДи?

  11. Юрий

    Может быть попробовать Login LockDown? Попробовал его на денвере, там он у меня почему то не заработал, может на настоящем сервере будет работать, не знаю.

    1. Игорь

      Юрий, я бы не советовал. К сожалению, Login LockDown уже длительное время не обновлялся, поэтому в новых версиях Вордпресс, скорее всего, работать не будет. Да и с безопасностью будут проблемы, это все-таки плагин для защиты.

      1. Андрей Бас

        Согласен с Игорем!
        Не стоит использовать то, что давно не обновляется. Тем более есть отличные аналоги устаревшим плагинам... Можно поставить и комплексную защиту - было бы желание.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Чтобы ввести любой код, вставьте его между [php] и [/php]. Ссылка (URL), помещенная в текст комментария, не будет активной. C целью ее выделения и более удобного копирования можно заключить ее между тегами <pre> и </pre>.