Limit Login Attempts — защита сайта WordPress

Здравствуйте, уважаемые читатели! Сегодня я представлю описание плагина Limit Login Attempts, который призван защитить блог или сайт WordPress путем ограничения попыток авторизации. То есть вы сможете сами определить, сколько попыток позволить сделать злоумышленнику, чтобы попытаться проникнуть в святая святых - админ панель вашего ресурса.

Надо сказать, что я уже описывал плагин Login Lockdown для защиты WordPress, который выполняет практически те же функции и делает это вполне успешно. Однако, во-первых, всегда необходимо иметь запасной вариант, поскольку не все плагины обновляются с одинаковым постоянством; во-вторых, возможны несовместимости с другими расширениями, ведь все мы используем различные комплекты.

Прежде, чем продолжить, напомню, что я уже писал о том, как защитить ваш сайт или блог WordPress от взлома здесь. Считаю, будет вполне уместным предложить еще один вариант защиты блога, тем более, что безопасность - наиважнейшая составляющая оптимизации WordPress. Так же в целях подстраховки от форс-мажора не забывайте делать копии базы данных и файлов блога или вебсайта, я уже рассказывал, как сделать бэкап сайта на сервис Дропбокс, как осуществить резервное копирование посредством BackWPup и создать резервную копию БД при помощи phpMyAdmin.

Так как это касается общей безопасности пользования интернета, в том числе защищенности вашего ресурса, не могу не упомянуть про такое средство как генератор сложных паролей KeePass (тут о менеджере Кипас изучайте материал), который дает возможность хранить в своей базе практически неограниченное количество данных и полностью автоматизирует процесс прохождения авторизации.

Настройки Limit Login Attempts

Как всегда, устанавливаем и активируем плагин одним из описанных способов. Далее переходим в левой стороне админки WordPress «Параметры»→«Limit Login Attempts». Здесь нам открываются достаточно просто настраиваемые опции, где даже комментарии излишни, поскольку интерфейс на русском языке:

Все-таки позволю дать некоторые объяснения, ориентируясь на начинающих вебмастеров, ведь в основе своей этот блог им и предназначен. Так вот:

1. Всего изоляций - думаю, здесь все понятно. Через некоторое число попыток злоумышленник будет изолирован.

2. Опции - тут можно проставить, по вашему усмотрению, количество попыток (по умолчанию: 4), после которых последует изоляция на заданное время (например,20 мин). Если настырный взломщик будет и дальше испытывать прочность обороны, то определенное количество этих изоляций (4) приведет к тому, что  IP-адрес, с которого производились попытки входа,  будет заблокирован на какое-то время (например, 24 часа). Ну и, если совершено какое-то количество неудачных попыток, то сброс изоляций опять же наступит через определенное время (12 часов).

3. Подключение к сайту - если у вас постоянный IP-адрес, то есть, например, работаете со стационарного компьютера, а выход в интернет осуществляется через провайдера, то оставляйте «прямое подключение». В общем случае, это справедливо для подавляющего большинства. Если желаете получить дополнительную информацию, то кликните по ссылке «здесь».

4. Обрабатывать кукис логина -  если вы работаете с сайтом в одном браузере и с одного компьютера , то необходимо поставить «Да». В целях безопасности так и должно быть.

5. Сообщать об изоляциях - опять же в целях обеспечения максимальной эффективности плагина Limit Login Attempts рекомендую отметить обе галочки.

Если все-таки вас интересует мое мнение, то у меня в настройках стоят значения, которые видны на выше расположенном скриншоте, то есть значения по умолчанию. Спустя какое-то время можно проверить надежность работы плагина. Например, сутки спустя я зашел в раздел настроек и увидел следующую картину:

Как видите, кто-то уже пытался проникнуть в админку моего блога за это время. Поэтому не теряйте время и быстро устанавливайте этот плагин, это значительно повысит безопасность проекта. Кроме того, как видите, несанкционированная попытка проникновения осуществлялась под логином “админ”, который я давно сменил на более сложный. Оставляя логин по умолчанию, вы серьезно ослабляете защиту. Так что, кроме установки данного расширения, придется побеспокоиться сменой логина для входа в админку; о том, как поменять логин и установить более сложный пароль, я писал тут.

В заключение хочу сказать, что если кто-то случайно закроет себе доступ на свой сайт при пользовании Limit Login Attempts (бывает и такое!), обращайтесь в комментариях или через форму обратной связи, постараюсь помочь. А вообще старайтесь хранить все пароли в надежном месте, чтобы не испытать разочарования. Успехов всем! Вас еще ждет немало любопытных публикаций, поэтому не забывайте подписываться на получение новых материалов блога.

Еще статьи по данной теме:
Самые интересные публикации из рубрики: Создание сайтов

50 отзывов

  1. Максим

    Полезная инфа, спасибо. У меня уже стоит этот плагин, просто хотел подробней почитать про настройки.
    Лично я поставил более жёсткие значения:
    2 дополнительные попытки
    9999 изоляция в минутах (больше просто не поставить)
    2 изоляции повысят время изоляции до 240 часов
    1440 часов до сброса кол-ва попыток
    И да, на мыло уже несколько раз приходили письма об изоляциях.

  2. Игорь

    Да, Максим, это хоть и не 100-процентная гарантия, тем не менее существенный шаг к обеспечению безопасности. Только будьте поосторожней, такими жесткими настройками Вы сами себе можете закрыть доступ в админку на долгое время. Впрочем, даже из этой ситуации можно найти выход. А вот скажите мне, Вы действительно нашли в статье то, что искали? Мне крайне важно это знать. Спасибо за комментарий.

  3. Максим

    Да, нашёл. Не до конца понимал принцип работы, подробные объяснения оказались полезны.
    У меня впн от hideme.ru, так что доступ себе не закрою. В htaccess прописан доступ в директорию wp-admin только с 1 ip, сегодня так получилось что плагин заблокировал мой ip - пришлось несколько минут повозиться. Удалил блокировку в htaccess, зашёл в админку с другого ip, почистил список изоляций, снова прописал блокировку в htaccess и зашёл в админку с рабочего ip.
    Кстати сайт не оповестил меня по емейл о том, что вы ответили на мой комментарий - увидел просто потому что лажу сейчас по вашему сайту. Возможно оповещение не работает или работает с опозданием.

  4. Игорь

    Спасибо, Максим, за предупреждение. Обязательно проверю глюк с оповещением, Вы правы, возможна задержка.

  5. Svargan

    Здравствуйте Игорь. Вопрос по поводу смены логина admin. Как это делается? В профиле написано, что поменять нельзя!

  6. Игорь

    Почитайте, здесь все подробно описано: http://goldbusinessnet.com/optimizatsiya-wordpress/bezopasnost-wordpress-zashhita-sajta-ot-vzloma-login-lockdown/#login-parol

  7. Svargan

    Благодарю! Еще вопрос. Как использовать архив базы данных который присылает вордпресс?
    Хочу его использовать для восстановления.
    С ув. Дмитрий

  8. Игорь

    Дмитрий, для того, чтобы дать Вам совет по восстановлению из бэкапа, я должен знать все исходящие параметры. У Вас действительно повреждена базы данных и файлы? Или только база данных? Если только база данных и если Вы делали бэкап с помощью phpMyAdmin, то лучше всего с помощью того же phpMyAdmin сделать восстановление, об этом можете почитать здесь. Если же у Вас произошел худший сценарий и необходимо восстановить базу данных вместе с файлами с сервиса Дропбокс, то это процесс посложнее и в двух словах я не смогу ответить, потому что там есть нюансы. Не хочу, чтобы по моей вине Вы столкнулись с проблемами. Возможно, проще будет сделать следующий шаг: свяжитесь с поддержкой Вашего хостинга и попросите помощь с восстановлением. Каждый уважающий себя хостер по идее должен делать резервное копирование сайтов, по крайней мере, на моем хостинге это так. Если же у них нет резервных копий, то сообщите, постараюсь в ближайшее время написать статью о полном восстановлении с сервиса Дропбокс.

  9. sashkacorr

    Вот решил поделиться инфой с любителями CS
    Сервак обычный 193.26.217.34:27117 но есть некоторые удобные плагины
    И сейчас проходит акция и можно получить VIP-ку со скидкой 50%
    При покупке ВИП-ки сообщите админу "Я по акции 11012" и скидка гарантирована

  10. Андрей

    Ну как это не сто процентная гарантия, вы обо всем будете оповещены, а значит можете принять меры.

  11. Игорь

    Андрей, стопроцентную гарантию в нашей жизни может дать только Господь Бог, к сожалению. Но то, что плагин выполняет определенные действия по защите сайта, это факт.

  12. Рафаэль

    Возникла проблема. Я новичок в этом деле и не всем пока разбираюсь. Установил Limit Login Attempts. Около года все было отлично. И вот теперь пытаюсь войти на свой сайт а мне пишут ВНИМАНИЕ: превышен лимит попыток авторизации. Пожалуйста попробуйте через 15 часов и т.п. Хотя я абсолютно уверен, что никто посторонний не пытался войти с моего компьютера и я сам всегда вводил правильные логин и пароль. Да и это было несколько раз. То могу войти на сайт, то не могу. Научите, что сделать, чтобы хоть я сам мог работать в своем сайте.

  13. Игорь

    Рафаэль, прежде всего проверьте, не конфликтует ли Limit Login Attempts с другими. Попробуйте отключить все остальные плагины и зайти на свой сайт. Если все будет нормально, поочередно включайте по одному, пока не найдете виновника. Дело также может быть в том, что плагин не обновлен и не соответствует текущей версии Вордпресс. У меня этот плагин работает нормально.

  14. Рафаэль

    Вспомнил, что за неделю до возникших проблем установил плагины WP-FileManager и WP System Health. Грешу на них. Удалил. Буду наблюдать. Спасибо за подсказку.

  15. Сергей

    Здравствуйте. Помогите решить проблему разблокировки. Так получилось, что сам попался в свою ловушку - поставил 1 попытку и блокировку на 2-е суток. Ждать долго, а вдруг опять что-то не то получится и опять на 2- суток. :))) Если поможете, уже буду знать, как потом исправить положение. Спасибо!

  16. Игорь

    Сергей, так поставьте в настройках побольше попыток, например 2. Ну, а так просто зайдите с другого IP-адреса, поскольку плагин блокирует по IP, почистите лог изоляций в настройках, после чего можете войти уже со своего рабочего IP.

  17. Сергей

    Зайти с другого IP-адреса - это как? С другого компьютера? Такой возможности нет. А лог изоляции в настройках - это список заблокированных IP-адресов? :))) Я пока ещё плохо этот плагин изучил...

  18. Игорь

    Ну да, с другого компьютера, если Вы уверены, что он надежен. От друга, от соседа и т.д. Там можно сделать проще. Просто после входа в админку деактивируйте плагин, затем спокойно зайдите со своего IP.

  19. Сергей

    Игорь, спасибо за поддержку! Я сделал проще - нашёл в инете он-лайн сервис, чтобы зайти хоть куда и к себе на сайт под чужим IP-адресом!Я из дома уже зашёл к себе на сайт минуя блокировку! Сбросил и изменил настройки, только где этот лог смотреть?
    Получается, что с помощью этого сервиса можно запросто миновать блокировку и подбирать наши пароли сколько угодно??????
    Сначала я написал здесь ссылку на этот сервис, но сейчас удалил её! НЕБЕЗОПАСНО.
    Как мне её вам передать-поделиться?
    Да и хозяину сайта тоже!

  20. Игорь

    Сергей, не переживайте, Вы просто использовали какой-нибудь прокси-сервер, который скрывает истинный IP, это вполне обычное дело. Никто не сможет обойти блокировку, если пароль достаточно сложный. Ведь если пароля и логина не знаешь, с какого IP не зайди, он будет все-равно заблокирован при неправильном вводе данных. Я сразу хотел предложить Вам такой вариант, просто не было под рукой ссылок с подобными сервисами.

  21. Степка

    Если у меня IP меняется, мне нужно «подключение к сайту» устанавливать — “За прокси (reversy proxy)”

  22. Игорь

    Если это вопрос, то ответ на него положительный.

  23. Светлана

    А мне вот интересно, что означает милая фраза "Данные настройки не действительны"?
    Обнаружила, что кто-то пытается на два моих сайта подобрать пароли, используя при этом настоящие мои логины (а не какие-то там админ или менеджер, как было раньше). Хотя логины на сайтах нигде не засвечены. Только имя и фамиия. Меня это настоожило, и я решила от греха подальше увеличить время для повторных попыток. Тут-то и увидела эту фразу. Возможно, когда плагин устанавливала, просто не обратила на это внимания, а сейча сижу и чешу репу: "Что бы это значило?".

  24. Сергей

    Поддерживаю, плагин очень даже хороший. Одно время ко мне повадились "гости", пытались пароль подобрать, я в этом плагине поставил 1 попытку и блокировку на 3-е суток. Таким образом отвадил любопытных. А через некоторое время сам же и попался в свою ловушку - набрал пароль на русском языке. Пришлось ждать. А потом ещё раз попался! Тут уже ждать не стал 3-е суток, через поиск вышел на сайт, где и посоветовали - зайти под другим IP и сбросить настройки. Дали ссылку на сайт, с которого можно заходить под другим IP. Всё получилось. Больше не стал рисковать, настройки вернул. :)))
    Сергей.
    http://v-skazku.ru/

  25. Сергей

    Извиняюсь!!! Я же сюда и обращался за помощью! :)))
    Вы меня в тот раз очень выручили - большое спасибо!!!

  26. Игорь

    Да не за что, Сергей. Главное, хороший человек не остался в беде. А насчет гостей Вы правы, они регулярно наведываются. 🙂

  27. Игорь

    Светлана, не переживайте, плагин работает нормально. По крайней мере, я им пользуюсь уже более года и он исправно выполняет свою работу. Я так думаю, просто немного некорректно составлен перевод. Автор, видимо, имел ввиду, что можно следить за обновлениями и ознакомиться с популярными вопросами по плагину. Там и ссылка соответствующая рядом.

  28. Наталия

    Здравствуйте! Спасибо за описание плагинов-защитников))) Мой сайт похоже был атакован, вечером я установила плагины. Но на следующее утро, мне опять был заблокирован доступ в админ-панель.
    Помогите разобраться, пожалуйста, а то ничем другим не могу заняться)))

  29. Игорь

    Уважаемая Наталия, если у Вас заблокирован доступ в админ панель, я тут ничем помочь не могу, не зная, так сказать, привходящих факторов. Попробуйте обратиться к Вашему хостинг провайдеру. Не думаю, что Ваш молодой сайт подвергся атаке, думаю, все гораздо банальнее и не так страшно для Вас.

  30. София

    Спасибо! Все просто и понятно. В избранное!

  31. Агент 00x

    В Better WP Security есть та же функция. Лучше использовать его, потому что там очень много полезного, вот например: смена префикса БД, смена админского логина и ИД, мониторинг изменения файлов и прочее. Считаю этот плагин просто необходимым для защиты от взлома.

  32. Игорь

    Спасибо, очень хорошо, когда читатели добавляют полезную информацию.

  33. Диана

    Добрый вечер, Игорь. Вы обещали помочь, если вдруг ваш читатель заблокирует сам себе вход на сайт. Помогите пожалуйста. Только сегодня днем поставила сей чудо-плагин и выключила комп. Вечером включила - не пускают меня "домой". Как зайти в админ-панель и удалить все? Я в отчаянии, да еще и новичок.

  34. Игорь

    Диана, не унывайте! Попробуйте для начала зайти в админ-панель с другого IP-адреса, только с надежного компьютера и деактивируйте плагин. Потом попробуйте зайти уже со своего IP, активируйте снова плагин и очистите лог изоляций в настройках Limit Login Attempts, там есть соответствующая кнопка. Не забудьте нажать кнопку «Изменит настройки». И обязательно в целях безопасности смените свой логин и пароль для входа в админку, в статье есть ссылка на соответствующий материал. Потом отпишитесь, как все прошло. Не переживайте, у всех бывают какие-то проблемы, тем более у новичков.

  35. Диана

    Спасибо, что не оставили в беде :))) Подождала пару часиков, плагин снял с меня все санкции и зашла-таки в админку. Удалила там все сгоряча, а сегодня нашла информацию о плагине BulletProof Security, он защиту в комплексе осуществляет. Не пробовали такой? Настраивать его вот только сложновато чайничку вроде меня 🙂

  36. Игорь

    Нет, Диана, не пробовал. Все знать просто нереально. Думаю, если есть плагин, найдется и дельное описание для начинающих. 🙂

  37. Ольга

    У меня IP всё время разный (динамический ?). Есть ли смысл ставить этот плагин?
    Ведь я сама не смогу попасть на сайт.

  38. Игорь

    Ольга, плагин блокирует по IP, но лишь тех, кто неправильно вводит данные. Если Вы правильно вводите свои логин и пароль с какого угодно адреса, то на каком основании он Вас заблокирует? Хотя теоретически существует, конечно, вероятность блокировки более ранней попытки проникновения, но она чрезвычайно мала.

  39. Юрий

    Здравствуйте, ситуация такая, установил плагин, и он мне за сутки работы насчитал 160 изоляций.
    Проблема вот в чем: отображается только ip, а логин под которым пытались войти не указан!
    Почему так происходит?

  40. Игорь

    Юрий, к сожалению, я не могу ответить конкретно на Ваш вопрос, у меня плагин работает исправно и указывает логины. Да и 160 изоляций за сутки это перебор, не знаю, что и посоветовать, наверное, подыскать альтернативный плагин.

  41. Юрий

    Провел эксперимент, и вот что получилось:
    Когда ставлю опцию "обрабатывать кукис логина" в положение "нет", изоляции вообще не появляются.

  42. Игорь

    Юрий, ну это естественно, ведь идентификация происходит по кукам. Я, если честно, до конца не разобрался, зачем здесь предусмотрен такой выбор.

  43. Baloo

    Подскажите. В каком файле плагин Limit Login Attempts хранит логи изоляций и попыток входа? Хотелось бы получить возможность заходить в него и удалять строки с айпи-адресами, которые там не должны находиться. Чистить весь лог файл самого плагина в админке не интересно, ибо удаляются все изолированные хацкеры, что не есть хорошо. Кто знает? В папке самого плагина не нашёл.

  44. Игорь

    А ведь действительно, Baloo, Вы правы, эта возможность будет совершенно не лишней в плане безопасности и удобства обращения. Странно...навскидку я тоже ничего похожего на папку с логами не нашел в директории плагина. Может быть, действительно кто-то из комментаторов подскажет?

  45. Michael

    Добрый,
    В базе это все хранится в таблице wp_options
    Сам сегодня попался на свои же 9999 часов 🙂
    Кто-то под моим логином ломился и меня заблокировало.
    Пришлось в базе найти строки начинающиеся с limit_login и почистить попытки, изоляции, ...
    После чего пустило 🙂

  46. Александр

    Не совсем понятно как работать если у меня провайдер выдает динамический IP. Какие настройки ставить "Подключение к сайту"?

  47. Игорь Горнов

    Александр, насколько я знаю, плагин работает и при стандартных настройках 'Прямое подключение'.

  48. геннадий

    У меня проблема как зайти в админку сайта?
    на почту пришло сообщение:
    4 неудачных попыток авторизации (2 изоляция(ий)) с адреса IP: 127.0.0.1

    Последняя попытка пользователя: {login}

    IP заблокирован для 720 часов

  49. Игорь Горнов

    Геннадий, это Ваш IP? Если это так, то просто войдите с другого IP в админку и измените настройки.

  50. Александр

    Ох как помог скинуть блокировку Limit Login Attempts, а то у меня новостной портал, и заблокировал вход на 12 часов)))

    Более подробно чуток распишу:
    Нужно зайти в базу через Crtl+F найти "wp_options", жмем на нее, после этого нам нужно найти "limit_login_lockouts", жмем карандаш и в поле "option_value" удаляем все, ну или тот айпи который нужно.

    Что бы было проще найти "limit_login_lockouts", посоветую сверху над таблицей в поле "Количество строк:" ввести ну например 500, и у вас в таблице выведется 500 строк, жмем Crtl+F и ищем limit_login_lockouts

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Чтобы ввести любой код, вставьте его между [php] и [/php]. Ссылка (URL), помещенная в текст комментария, не будет активной. C целью ее выделения и более удобного копирования можно заключить ее между тегами <pre> и </pre>.