Последнее обновление 20 июня 2024 года Жером Кервьель

Ограничение попыток входа в систему в WordPress очень важно для повышения безопасности вашего сайта. Вот пошаговое руководство о том, как это сделать:

Хотя WordPress сам по себе является безопасной платформой, это не делает ваш сайт защищенным от взлома. Одной из самых распространенных атак является попытка хакеров-людей или ботов пробиться на вашу страницу входа, пробуя различные комбинации имени пользователя и пароля, пока что-нибудь не сработает. Чтобы не допустить их, вы можете использовать плагин WordPress для ограничения попыток входа.

Ограничивая количество попыток с определенного IP-адреса в течение определенного периода времени, вы можете блокировать чрезмерные попытки доступа, повышая уровень безопасности.

В этом посте мы расскажем вам о настройке этой функции безопасности с помощью бесплатного плагина, обсудим ее преимущества и недостатки. Давайте погрузимся!

1. Используйте плагин безопасности

Один из самых простых способов ограничить попытки входа в систему - использовать плагин безопасности. Такие плагины, как Wordfence, iThemes Security или Limit Login Attempts Reloaded предлагают надежные функции для защиты вашего сайта.

Шаги:

• Установите и активируйте выбранный вами плагин.
• Перейдите к настройкам плагина.
• Настройте ограничения на количество попыток входа в систему в соответствии с вашими предпочтениями (например, блокировать IP после трех неудачных попыток).

например, установите "Ограничение попыток входа в систему перезагружено" плагин

Для большинства пользователей плагин WordPress limit login attempts является лучшим вариантом для ограничения попыток входа в систему. Существует несколько качественных вариантов, но мы рекомендуем бесплатный плагин Limit Login Attempts Reloaded, потому что он:

• Она предлагает бесплатную версию.
• Популярный - активен на более чем 2 миллионах сайтов, по данным WordPress.org.
• Отличная оценка - 98%.
• Простота в использовании.

После активации плагина вы можете открыть его, и вы попадете на панель управления плагином. Здесь вы получите полный обзор, включая общее количество неудачных попыток входа в систему за последние 24 часа, а также панель настроек.

Шаг 2: Настройте параметры плагина

Прежде всего, зайдите на сайт "Настройки". Для начала стоит выбрать "Соблюдение требований GDPR" в самом верху. Это отобразит сообщение о безопасности на странице входа в систему администратора WordPress, сохраняя прозрачность. Кроме того, активируйте опцию "Уведомление о блокировке". Таким образом, вы будете получать уведомления по электронной почте каждый раз, когда кто-то пытается и не может войти в систему слишком много раз, причем порог "слишком много попыток входа" вы определяете сами.

Ниже этого места находится "Местное приложениеРаздел " позволяет точно настроить правила для попыток входа в систему, в том числе установить количество попыток, разрешенных для блокировки, продолжительность блокировки пользователя после нескольких неудачных попыток, а также указать продолжительность и увеличение блокировки для постоянных нарушителей.

Если вы не уверены в правильности настроек, можете смело использовать значения по умолчанию.

Нет необходимости корректировать данные, содержащиеся в "Доверенные IP-адреса" поля, поэтому нажмите на кнопку "Сохранить настройки". Чтобы проверить, работает ли плагин, просто перейдите на страницу входа на сайт и введите неверные данные для входа. Появится сообщение о том, что были введены неверные данные для входа, а также о том, сколько попыток у вас осталось. Также на ваш электронный адрес будет отправлено письмо с информацией о неудачных попытках. Конечно, вы всегда можете проверить неудачные попытки входа в систему на панели управления:

Какие преимущества дает ограничение попыток входа в систему?

Не все методы защиты подходят для каждого сайта, и этот метод имеет как потенциальные преимущества, так и недостатки. Давайте рассмотрим преимущества ограничения попыток входа:

• Это не позволяет людям и автоматизированным ботам перебирать сотни (или тысячи) комбинаций имени пользователя/пароля, пока они не найдут нужную.
• Временной блокировки часто бывает достаточно, чтобы предотвратить атаку, поскольку хакер или бот перейдет к следующей вероятной цели.
• Большинству ваших легитимных пользователей потребуется всего одна попытка входа в систему, или, возможно, несколько, если они забудут или неправильно введут свои учетные данные.

А что насчет недостатков?

Реализация плагин для wordpress Ограничение попыток входа в систему не лишено сложностей. Рассмотрим следующие недостатки:

• Добавление плагина на ваш сайт. Хотя этот плагин очень легкий, это может оттолкнуть владельцев сайтов, которые хотят уменьшить количество плагинов (по соображениям безопасности или производительности).
• Конечно, недостатком является то, что время от времени настоящий пользователь может столкнуться с трудностями при входе в систему и оказаться заблокированным.

2. Настройка файла .htaccess

Для тех, кто хорошо разбирается в кодах и имеет доступ к файловой системе своего сервера, изменение .htaccess файл - это эффективный способ ограничить попытки входа в систему и защитить ваш Сайт WordPress от атак грубой силы. Сайт .htaccess файл является мощным файл конфигурации, используемый веб-сервером Apache для управления различными настройками сервера, включая конфигурации безопасности. Вот подробное руководство по настройке вашего .htaccess файл, чтобы ограничить количество попыток входа в систему:

Шаги по изменению файла .htaccess:

1. Доступ к файлам вашего сайта

• Использование FTP-клиента:
  • Загрузите и установите FTP-клиент (например, FileZilla).
  • Подключитесь к серверу вашего сайта, используя свои учетные данные FTP.
  • Перейдите в корневой каталог вашей установки WordPress, который обычно называется public_html или аналогичный.
• Использование панели управления хостингом:
  • Войдите в панель управления хостингом (например, cPanel).
  • С помощью инструмента File Manager перейдите в корневую директорию вашего сайта WordPress.

2. Резервное копирование файла .htaccess

Прежде чем вносить какие-либо изменения, необходимо создать резервную копию текущего .htaccess чтобы иметь возможность восстановить файл, если что-то пойдет не так.

• Скачать .htaccess файл на локальный компьютер с помощью FTP-клиента или файлового менеджера панели управления хостингом.

3. Редактирование файла .htaccess

Откройте .htaccess файл с помощью текстового редактора (например, Notepad++ или встроенного редактора в панели управления хостингом).

4. Добавьте код для ограничения попыток входа в систему

Добавьте следующий фрагмент кода в файл .htaccess файл, чтобы ограничить количество попыток входа в систему:

<IfModule mod_rewrite.c>
RewriteEngine На сайте
RewriteBase /
RewriteCond %{REQUEST_METHOD} ПОСТ
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$
RewriteCond %{REMOTE_ADDR} !^123\.456\.789\.000$
RewriteCond %{REMOTE_ADDR} !^111\.222\.333\.444$
RewriteCond %{REMOTE_ADDR} !^555\.666\.777\.888$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

Пояснение к кодексу:

• RewriteEngine On: Включает механизм переписывания во время выполнения.
• RewriteBase /: Устанавливает базовый URL для перезаписи по каталогам.
• RewriteCond %{REQUEST_METHOD} POST: Применяет правило только к POST-запросам (которые используются для попыток входа в систему).
• RewriteCond %{REQUEST_URI} ^(.)?wp-login.php(.)$: Применяет правило к запросам на wp-login.php файл.
• RewriteCond %{REMOTE_ADDR} !^123.456.789.000$: Исключает определенные IP-адреса из правила. Заменить 123.456.789.000 с фактическими IP-адресами, к которым вы хотите разрешить доступ. Добавьте как можно больше RewriteCond строк для каждого разрешенного IP-адреса.
• RewriteRule ^(.*)$ - [F,L]: Отказывает в доступе (возвращает статус 403 Forbidden) и не позволяет обрабатывать дальнейшие правила.

5. Сохраните и загрузите файл

• Сохраните изменения в .htaccess файл.
• Загрузите измененный файл обратно на сервер с помощью FTP-клиента или сохраните его напрямую, если используете редактор панели управления хостингом.

6. Протестируйте изменения

• Попробуйте зайти на свой сайт WordPress с неразрешенного IP-адреса, чтобы убедиться, что правило работает правильно. Вы должны получить ошибку 403 Forbidden.
• Убедитесь, что вы по-прежнему можете войти в систему с разрешенных IP-адресов.

Дополнительные советы:

• Внесите свой IP в белый список: Всегда следите за тем, чтобы ваш IP-адрес был внесен в белый список в .htaccess файл, чтобы не заблокировать себя.
• Динамические IP-адреса: Если ваш IP-адрес часто меняется, воспользуйтесь VPN со статическим IP или сервисом DynDNS, чтобы сохранить доступ.
• Регулярные обновления: Периодически пересматривайте и обновляйте файл .htaccess, чтобы убедиться, что он соответствует вашим требованиям безопасности потребностей и учитывает любые изменения в IP-адресах.

Изменение .htaccess файл для ограничения попыток входа - это надежный и гибкий метод повышения безопасности вашего сайта WordPress. Хотя это требует некоторых технических знаний, процесс прост и обеспечивает дополнительный уровень защиты от попыток несанкционированного доступа. Всегда помните о необходимости создания резервных копий .htaccess файл перед внесением изменений и тщательно протестируйте его, чтобы убедиться, что ваш сайт остается доступным для авторизованных пользователей.

 

Заключение

Несмотря на то, что это не является обязательным, установка плагина для ограничения попыток входа в систему - разумный и активный шаг для защиты вашего WordPress-сайта. Это небольшое вложение вашего времени, которое окупится за счет защиты вашего сайта от атак методом грубой силы - излюбленной тактики хакеров, нацеленных на щедрую базу пользователей WordPress.

Кроме того, изменение .htaccess Ограничение попыток входа в систему - надежный и гибкий метод повышения безопасности вашего сайта. Хотя этот подход требует некоторых технических знаний, процесс прост и обеспечивает дополнительный уровень защиты от попыток несанкционированного доступа. Всегда помните о необходимости создания резервных копий .htaccess перед внесением изменений и тщательно протестируйте, чтобы убедиться, что ваш сайт остается доступным для авторизованных пользователей. Комбинируя оба метода - использование плагина и настройку .htaccess файл- может обеспечить комплексную безопасность вашего сайта WordPress.