Последнее обновление 20 июня 2024 года Жером Кервьель
Ограничение попыток входа в систему в WordPress очень важно для повышения безопасности вашего сайта. Вот пошаговое руководство о том, как это сделать:
Хотя WordPress сам по себе является безопасной платформой, это не делает ваш сайт защищенным от взлома. Одной из самых распространенных атак является попытка хакеров-людей или ботов пробиться на вашу страницу входа, пробуя различные комбинации имени пользователя и пароля, пока что-нибудь не сработает. Чтобы не допустить их, вы можете использовать плагин WordPress для ограничения попыток входа.
Ограничивая количество попыток с определенного IP-адреса в течение определенного периода времени, вы можете блокировать чрезмерные попытки доступа, повышая уровень безопасности.
В этом посте мы расскажем вам о настройке этой функции безопасности с помощью бесплатного плагина, обсудим ее преимущества и недостатки. Давайте погрузимся!
1. Используйте плагин безопасности
Один из самых простых способов ограничить попытки входа в систему - использовать плагин безопасности. Такие плагины, как Wordfence, iThemes Security или Limit Login Attempts Reloaded предлагают надежные функции для защиты вашего сайта.
Шаги:
- Установите и активируйте выбранный вами плагин.
- Перейдите к настройкам плагина.
- Настройте ограничения на количество попыток входа в систему в соответствии с вашими предпочтениями (например, блокировать IP после трех неудачных попыток).
например, установите "Ограничение попыток входа в систему перезагружено" плагин
Для большинства пользователей плагин WordPress limit login attempts является лучшим вариантом для ограничения попыток входа в систему. Существует несколько качественных вариантов, но мы рекомендуем бесплатный плагин Limit Login Attempts Reloaded, потому что он:
- Она предлагает бесплатную версию.
- Популярный - активен на более чем 2 миллионах сайтов, по данным WordPress.org.
- Отличная оценка - 98%.
- Простота в использовании.
После активации плагина вы можете открыть его, и вы попадете на панель управления плагином. Здесь вы получите полный обзор, включая общее количество неудачных попыток входа в систему за последние 24 часа, а также панель настроек.
Шаг 2: Настройте параметры плагина
Прежде всего, зайдите на сайт "Настройки". Для начала стоит выбрать "Соблюдение требований GDPR" в самом верху. Это отобразит сообщение о безопасности на странице входа в систему администратора WordPress, сохраняя прозрачность. Кроме того, активируйте опцию "Уведомление о блокировке". Таким образом, вы будете получать уведомления по электронной почте каждый раз, когда кто-то пытается и не может войти в систему слишком много раз, причем порог "слишком много попыток входа" вы определяете сами.
Ниже этого места находится "Местное приложениеРаздел " позволяет точно настроить правила для попыток входа в систему, в том числе установить количество попыток, разрешенных для блокировки, продолжительность блокировки пользователя после нескольких неудачных попыток, а также указать продолжительность и увеличение блокировки для постоянных нарушителей.
Если вы не уверены в правильности настроек, можете смело использовать значения по умолчанию.
Нет необходимости корректировать данные, содержащиеся в "Доверенные IP-адреса" поля, поэтому нажмите на кнопку "Сохранить настройки". Чтобы проверить, работает ли плагин, просто перейдите на страницу входа на сайт и введите неверные данные для входа. Появится сообщение о том, что были введены неверные данные для входа, а также о том, сколько попыток у вас осталось. Также на ваш электронный адрес будет отправлено письмо с информацией о неудачных попытках. Конечно, вы всегда можете проверить неудачные попытки входа в систему на панели управления:
Какие преимущества дает ограничение попыток входа в систему?
Не все методы защиты подходят для каждого сайта, и этот метод имеет как потенциальные преимущества, так и недостатки. Давайте рассмотрим преимущества ограничения попыток входа:
- Это не позволяет людям и автоматизированным ботам перебирать сотни (или тысячи) комбинаций имени пользователя/пароля, пока они не найдут нужную.
- Временной блокировки часто бывает достаточно, чтобы предотвратить атаку, поскольку хакер или бот перейдет к следующей вероятной цели.
- Большинству ваших легитимных пользователей потребуется всего одна попытка входа в систему, или, возможно, несколько, если они забудут или неправильно введут свои учетные данные.
А что насчет недостатков?
Реализация плагин для wordpress Ограничение попыток входа в систему не лишено сложностей. Рассмотрим следующие недостатки:
- Добавление плагина на ваш сайт. Хотя этот плагин очень легкий, это может оттолкнуть владельцев сайтов, которые хотят уменьшить количество плагинов (по соображениям безопасности или производительности).
- Конечно, недостатком является то, что время от времени настоящий пользователь может столкнуться с трудностями при входе в систему и оказаться заблокированным.
2. Настройка файла .htaccess
Для тех, кто хорошо разбирается в кодах и имеет доступ к файловой системе своего сервера, изменение .htaccess
файл - это эффективный способ ограничить попытки входа в систему и защитить ваш Сайт WordPress от атак грубой силы. Сайт .htaccess
файл является мощным файл конфигурации, используемый веб-сервером Apache для управления различными настройками сервера, включая конфигурации безопасности. Вот подробное руководство по настройке вашего .htaccess
файл, чтобы ограничить количество попыток входа в систему:
Шаги по изменению файла .htaccess:
1. Доступ к файлам вашего сайта
- Использование FTP-клиента:
- Загрузите и установите FTP-клиент (например, FileZilla).
- Подключитесь к серверу вашего сайта, используя свои учетные данные FTP.
- Перейдите в корневой каталог вашей установки WordPress, который обычно называется
public_html
или аналогичный.
- Использование панели управления хостингом:
- Войдите в панель управления хостингом (например, cPanel).
- С помощью инструмента File Manager перейдите в корневую директорию вашего сайта WordPress.
2. Резервное копирование файла .htaccess
Прежде чем вносить какие-либо изменения, необходимо создать резервную копию текущего .htaccess
чтобы иметь возможность восстановить файл, если что-то пойдет не так.
- Скачать
.htaccess
файл на локальный компьютер с помощью FTP-клиента или файлового менеджера панели управления хостингом.
3. Редактирование файла .htaccess
Откройте .htaccess
файл с помощью текстового редактора (например, Notepad++ или встроенного редактора в панели управления хостингом).
4. Добавьте код для ограничения попыток входа в систему
Добавьте следующий фрагмент кода в файл .htaccess
файл, чтобы ограничить количество попыток входа в систему:
<IfModule mod_rewrite.c>
RewriteEngine На сайте
RewriteBase /
RewriteCond %{REQUEST_METHOD} ПОСТ
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$
RewriteCond %{REMOTE_ADDR} !^123\.456\.789\.000$
RewriteCond %{REMOTE_ADDR} !^111\.222\.333\.444$
RewriteCond %{REMOTE_ADDR} !^555\.666\.777\.888$
RewriteRule ^(.*)$ - [F,L]
</IfModule>
Пояснение к кодексу:
- RewriteEngine On: Включает механизм переписывания во время выполнения.
- RewriteBase /: Устанавливает базовый URL для перезаписи по каталогам.
- RewriteCond %{REQUEST_METHOD} POST: Применяет правило только к POST-запросам (которые используются для попыток входа в систему).
- RewriteCond %{REQUEST_URI} ^(.)?wp-login.php(.)$: Применяет правило к запросам на
wp-login.php
файл. - RewriteCond %{REMOTE_ADDR} !^123.456.789.000$: Исключает определенные IP-адреса из правила. Заменить
123.456.789.000
с фактическими IP-адресами, к которым вы хотите разрешить доступ. Добавьте как можно большеRewriteCond
строк для каждого разрешенного IP-адреса. - RewriteRule ^(.*)$ - [F,L]: Отказывает в доступе (возвращает статус 403 Forbidden) и не позволяет обрабатывать дальнейшие правила.
5. Сохраните и загрузите файл
- Сохраните изменения в
.htaccess
файл. - Загрузите измененный файл обратно на сервер с помощью FTP-клиента или сохраните его напрямую, если используете редактор панели управления хостингом.
6. Протестируйте изменения
- Попробуйте зайти на свой сайт WordPress с неразрешенного IP-адреса, чтобы убедиться, что правило работает правильно. Вы должны получить ошибку 403 Forbidden.
- Убедитесь, что вы по-прежнему можете войти в систему с разрешенных IP-адресов.
Дополнительные советы:
- Внесите свой IP в белый список: Всегда следите за тем, чтобы ваш IP-адрес был внесен в белый список в
.htaccess
файл, чтобы не заблокировать себя. - Динамические IP-адреса: Если ваш IP-адрес часто меняется, воспользуйтесь VPN со статическим IP или сервисом DynDNS, чтобы сохранить доступ.
- Регулярные обновления: Периодически пересматривайте и обновляйте файл .htaccess, чтобы убедиться, что он соответствует вашим требованиям безопасности потребностей и учитывает любые изменения в IP-адресах.
Изменение .htaccess
файл для ограничения попыток входа - это надежный и гибкий метод повышения безопасности вашего сайта WordPress. Хотя это требует некоторых технических знаний, процесс прост и обеспечивает дополнительный уровень защиты от попыток несанкционированного доступа. Всегда помните о необходимости создания резервных копий .htaccess
файл перед внесением изменений и тщательно протестируйте его, чтобы убедиться, что ваш сайт остается доступным для авторизованных пользователей.
Заключение
Несмотря на то, что это не является обязательным, установка плагина для ограничения попыток входа в систему - разумный и активный шаг для защиты вашего WordPress-сайта. Это небольшое вложение вашего времени, которое окупится за счет защиты вашего сайта от атак методом грубой силы - излюбленной тактики хакеров, нацеленных на щедрую базу пользователей WordPress.
Кроме того, изменение .htaccess
Ограничение попыток входа в систему - надежный и гибкий метод повышения безопасности вашего сайта. Хотя этот подход требует некоторых технических знаний, процесс прост и обеспечивает дополнительный уровень защиты от попыток несанкционированного доступа. Всегда помните о необходимости создания резервных копий .htaccess
перед внесением изменений и тщательно протестируйте, чтобы убедиться, что ваш сайт остается доступным для авторизованных пользователей. Комбинируя оба метода - использование плагина и настройку .htaccess
файл- может обеспечить комплексную безопасность вашего сайта WordPress.