Защита WordPress. Защита админки WordPress



Защита админки wordpress

Приветствую Вас на блоге inetmi.ru! Тема дня — Защита wordpress. Защита админки WordPress от взлома.

Недавно мой блог пытались взломать, путём подбора логина и пароля, используемый метод  называется «Брутфорс атака». Что это такое?

Представьте себе тот момент, когда Вы вызываете панель для входа в свою админку, набираете адрес в браузерной строке  -  Ваш сайт/wp-admin или вместо wp-admin прописывается /wp-login.php – это не важно.  Появляется поле для ввода данных... Любой, кто знает название Вашего блога, легко получает доступ к панели ввода логина и пароля — стандартная защита админки wordpress…

Методом подбора логина и пароля, взламывается блог. Только не нужно недооценивать взломщиков, думая, что никогда не подберут Вашу заветную фразу, уверяю, это лишь вопрос времени. Зайдя на страницу с формой для ввода данных, злоумышленник активирует программу по перебору или подбору логина и пароля. Маленькие «лапки» роботов будут делать своё дело… Читайте далее и всё поймёте!

Сейчас есть плагины, которые блокируют доступ, после нескольких неудачных попыток ввода логина и пароля. До сих пор многие используют  плагины типа «Login LockDown» и другие похожие ему .Казалось бы, установи плагин и всё, полная изоляция,  защита wordpress на высоте, можно ставить точку, но давайте пока не будем спешить…

Я уже говорил о том, что мой блог атаковали путём подбора логина и пароля. Всё дело в том, что обычные плагины от Брутфорс вторжений уже непригодны! Они блокируют нападающего по IP, после определённого количества попыток. Например, Какой-то хакер Вася три раза ввел неправильно данные, плагин запомнил его IP и на час-два закрыл ему доступ. Вася курит…

Сейчас вся фишка в новых видах атак! Как правило — это статичный IP адресс, то есть с одного места идёт вторжение. Но представьте себе на минуту, когда на тебя градом сыплются тысячи различных IPшек – и все адреса разные… Идёт около ста подборов в минуту! Защита админки wordpress построенная на стандартном плагине от брутфорс атак просто не реагирует! Даже если изменить настройки плагина, поставить блокировку на первую неудавшуюся попытку входа, всё равно плагин будет стоять в сторонке. Адреса то ведь разные! Смотрите скрин ниже.

Защита wordpress

Жаль, не смогу показать  всего списка, тогда точно сказали бы– дружище это всемирный заговор против тебя!

Перед глазами мелькали десятки флажков различных стран. Моя «бывшая» защита wordpress блога смотрела вместе со мной на весь этот беспредел — мы злились! Как это объяснить? Очень просто! Все действия происходят за одним компьютером, который управляет тысячами зомби-буков, расположенными Бог знает где. При помощи заданных программ идут целенаправленные попытки «вскрыть» очередную жертву – сегодня выбрали меня, а завтра кого?..

Итак, друзья, предлагаю перейти от теории к практике!

Надёжная защита WordPress. Защита админки WordPress — плагины

Сейчас, дорогие друзья предлагаю Вам рассмотреть несколько вариантов по защите wordpress, какой выбрать – решать Вам. Оба варианта исключают возможность подбора логина и пароля «роботами».

Защита WordPress при помощи — Captcha

Плагин так и называется – Captcha… Скачать его и проверить можно через свою админку, как это сделать написано здесь — Установка плагинов WordPress. Как проверить плагин

Защита админки блога

После активации, перейдём к настройкам, где всё на русском, но всё же поясню…

Защита админки wordpress

 

В самих настройках нужно поставить метку в чекбоксе «Форма логина». Остальные пункты на Ваш вкус. Интересным, на мой взгляд, является пункт – «Заголовок для капчи в форме», введите здесь фразу или предложение и это будет отображаться на самой форме ввода данных. Скриншот ниже.

Защита админки блога

Пункты с арифметикой и уровнем сложности – на Ваше усмотрение… После всех отметок не забываем нажать кнопку «Сохранить…»

Роботы не умеют читать картинки (пока ещё), поэтому они не могут заполнить поле с капчей, следовательно, подбор логина и пароля превращается в бессмысленную возню. Взломщик это понимает и отступает, хотя на его место всегда придёт другой…

Защита WordPress с помощью плагина Protected wp-login

Это очень простое и эффективное решение проблемы, связанное с подбором логина и пароля к админке блога. Особенностью данного плагина является – создание отдельной, секретной страницы для ввода логина и пароля! То есть, та страница, с формой ввода данных, которая есть сейчас, будет для хакеров :) — она стандартная и видна всем, другая же будет появляться при наборе Вашего секретного кода (!), только для Вас лично.

Сейчас объясню детальней…

Для начала скачайте плагин из админки блога и активируйте его.

Защита админки блога

В боковой панели, в параметрах выбираем «Защищённый вход»

Защита входа в админку

Здесь в одно единственное поле, нам нужно ввести придуманный Вами ключ, я для примера написал 111. Нажимаем «сохранить…»

Защита админки wordpress

На скриншоте видно сформированную ссылку, она служит для вывода секретной страницы, где будем прописывать свой логин и пароль — «Сохраняем».

worpress защита

Внимание! Скопируйте и сохраните ссылку (не мою, а свою), или запишите себе на бумагу – это Ваш ключ, или можно сказать пропуск. Теперь каждый раз, перед вводом логина и пароля, Вы должны сначала вставить ключ в браузерную строку и нажать «Enter»… Вставили? Нажали? Открывается похожая страница. Появляется точно такое же аналогичное поле для ввода личных данных – оно Ваше и никто не будет знать об этом!

Что будет, если попробовать ввести свой логин и пароль в поле ввода, без использования ключа? Смотрите скрин ниже…

Защита админки

Ну, вот и всё, вроде разобрались… Хочу сказать следующее – Уделяйте внимание построению защиты Вашего же блога, используйте новые решения безопасности… Тем, кто не знаком ещё, могу предложить свою статью — Защита wordpress от взлома. Там я рассказываю о новом защитном механизме, который блокирует огромное количество угроз!

На этой теме – «Защита wordpress. Защита админки WordPress» мы пока остановимся. На данный момент мною тестируется новый плагин комплексной защиты блога, вскоре будет статья на эту тему, или же книга в эл. формате – что именно будет ещё не решил. Скоро!..  Если у Вас возникнут какие-то вопросы или пожелания – пишите в комментариях, обговорим… Не забывайте подписываться по e-mail, что бы в дальнейшем не пропустить выхода новых и интересных статей!

На этом всё, до скорого!

 



Обратите внимание на следующие статьи...

65 Комментарии к статье “Защита WordPress. Защита админки WordPress
  1. Андрей, здравствуйте! Зашла к Вам через блог Валерия Евсеева. Меня заинтересовал отзыв, который Вы оставили под его статьёй о защите сайта. Я поставила плагин, рекомендованный Валерой, очень вовремя.Мой сайт не оставляют в покое вот уже несколько дней. Уже заблокировано 70 попыток несанкционированного входа в административную панель, при этом один урод из Люксембурга пытается входить через каждые 24 часа. Сейчас буду ставить тот плагин, что Вы протестировали. Как только поставлю, сообщу, как работает. Отныне я Ваш постоянный почитатель. А сейчас нажимаю все кнопочки без исключения, чтобы помочь и другим нормальным людям защищаться эффективно. :smile:

  2. Татьяна Задоя, здравствуйте! Наверняка Вы представляете определённый интерес для взломщика(ов), собственно, как и все развивающиеся блоги сделанные для людей. Всё зависит от тематики блогов! Больше шансов привлечь внимание хакеров, да и простых праздношатающихся «ломателей», у тех блогов/сайтов, где тема более конкурентна... Но, это не говорит о том, что одним нужно защищаться луче, а другим — так себе...

    «Защита» — это одна из тех тем, которая будет освещаться на этом блоге очень часто. Я постоянно ищу новые решения связанные с укреплением наших блогов, а в следствии и наших нервов :)

    Спасибо за Ваш комментарий и оказанное доверие!

  3. Андрей, плагин настроила и написала статью «Настойчивый IP из Люксембурга», где благодарю Вас и Валеру Евсеева за помощь. Как хорошо, что в нашем сообществе есть такие надёжные люди, как ВЫ!!! Подписываюсь на обновления Вашего сайта.

  4. Спасибо Татьяна за отзыв — читал его. А Люксембург теперь курит... :)

  5. Андрей спасибо за плагин, я давно хотела это сделать и вот попались вы на моем пути. Я благодарна за вашу нужную информацию. ➡

  6. Очень актуально. Уже обнаружила, что и к моей админке идет подбор. А как увидеть, откуда хакеры атакуют?

  7. Здравствуйте Ольга!

    Извините за задержку с ответом — ремонт линий у «интернет-провайдера»...

    Для этого существуют определённые плагины. Многие из них, к сожалению, долгое время не обновлялись и использовать их я бы не рекомендовал.

    У меня стоит целый «комбайн» — многофункциональный, а в нём некий «визор» активности... Так просто и не объяснить, к нему нужно руководство. Скорее всего, к концу летнего сезона будет книга с подробным описанием.

    Я на момент тестирования, потерял на какое-то время индексацию, всё дело в обширных настройках плагина.

  8. Хотела прочитать статью Настойчивый IP из Люксембурга и не нахожу странички. Подскажите.

  9. Здравствуйте Анастасия! Просто кликните на имя — «Татьяна Задоя» и всё...

  10. Андрей, большое спасибо за информацию, буду с нетерпением ждать выхода Вашей книги. Теперь у Вас на одного постоянного читателя больше.

  11. Ксения, приятного времяпровождения на этом полезном блоге! 😉

  12. Ксения, при переходе на ваш блог выводится предупреждение от антивир. системы: «Страница сайта info-vok.ru пытается загрузить данные с заражённого сайта odnaknopka.ru.»

  13. Здравствуйте!

    Ксения — спасибо за доверие, над книгой работаю, нужно многое протестировать...

    Денис — у меня всё норм... Предупреждений не вижу. 😉

  14. Денис, да я понял, что у Ксении. Заходил к ней, сообщений не было...

    У меня 2х уровневая защита — «Каспер» + Emsisoft Anti-Malware — никаких волнений :)

  15. OK! А как насчет сайта odnaknopka.ru/? Он тоже безопасен?

  16. Денис, а вот этот ресурс не безопасен!

    Но он нам и не нужен.

    В любом случае спасибо за реагирование.

  17. Почему не нужен, если он связан с сайтом info-vok и присутствует в исходном коде в виде «odnaknopka» в нескольких строках: 97, 122, 149, 175, 201, 227, 253 и ещё в 8 строчках!!! 😈

  18. Денис, не нужен потому, что комментарий Ксении не несёт за собой целенаправленный характер указывающий именно на этот ресурс.

    То есть, если бы было написано — вот здесь (ссылка) можно найти (что-то)... Это была бы прямая связь, что само по себе можно было бы расценивать как угрозу.

  19. Т.е. даже случайно нельзя перейти на этот ресурс? В каком виде тогда находится объект, с таким ресурсом на сайте info-vok? Элемент дизайна?

  20. Денис, войди в поисковую выдачу и посмотри, для чего служит данный сервис... Знаю сайты, которые пользуются им. Видимо произошло умышленное заражение-вредоносное вмешательство (от этого никто не застрахован) и возможно женщина, пользуясь их сервисом, стала косвенным соучастником...

    Ссылки указывающие на источник заразы очень негативно воспринимаются как людьми, так и поисковыми системами.

  21. Ok! Теперь сайт «info...» открывется без доп. предупреждений! Значит тот скрипт (одна кнопка всех сервисов и закладок) теперь безопасен!:arrow:

  22. На одном из сайтов было написано, что этот сервис и ранее (2012) был замечен пользователями в распространении «заразы»... Тогда возникает вопрос — что же это, плохо построенная защита сервиса и её может сломать даже школьник, или же плохо «сварганенный» код вывода кнопок, который вызывает опасения у поисковиков и стационарных антивирусов?..

  23. Сасибо, очень нужная информация. Скажите, а как определить, что вас пытаются взломать? 😮

  24. Здравствуйте Андрей!

    Для визуализации, то есть посмотреть, как к Вам ломятся и «лихорадочно подбирают пароль» — можно, если установить соответствующий плагин...

    Например, SIMPLE SECURITY его я описывал в своей книге — «Защита WordPress новый уровень».

  25. Спасибо, увидел. Я на новых сайтах обычно подписки даже не смотрю, я вот когда вижу, что действительно нужно, то уже сам их ищу. Плагин установил, частично настроил по фильму, но думаю в Вашей книге процесс подробно описан, сейчас почитаю. ❗

  26. Что-то не пойму-аж два раза подписался... а как Вашу книгу получить?

  27. Благодарю, настроил. Хочется увидеть и ОСОЗНАТЬ. Ну а дальше будем действовать. И еще вопрос что такое Файервол? Слышу это слово часто, а что это??? :mrgreen:

  28. Андрей, Смартреспондер высылает письмо подтверждение, после идёт второе письмо с ссылкой для скачивания. Иногда процесс со вторым письмом немного затягивается — от одной-две до несколько десятков минут. Извините, но я тут не причём :smile:

    Вот, например, сейчас сделал проверку сервиса, книгу получил через семь минут.

    По поводу «два раза подписался» — либо Вы, или я сам удалю один из адресов.

    Файервол, если кратко — предназначен отражать хакерские атаки, прощупывание Вашего ресурса различными методами и т.п.

  29. Удалите лучше Вы, а то я по незнанию и оба могу удалить...

  30. Объясните, пожалуйста, какой смысл в сложной капче, если самая простая робота уже остановит? А то навешают из двух импортных искаженных до неузнаваемости слов... Для людей со слабым зрением вообще непреодолимо. Я хоть и нормально вижу, но такую капчу просто ненавижу и добровольно с ней никогда и ничего ни комментировать ни спрашивать не стану.

  31. Меня самого «выбешивает» сложная капча, но она предназначена не только для того, чтобы остановить роботов, но и от спамеров (живых)... Депозитфайлс (файлообменник) любит подобного рода капчу, но что бы ценное там не находилось, я туда ни ногой! 👿

  32. сделал по Вашему методу(о ключе) всё равно взломал(Я программист, не бойтесь мне Ваш блог ни к чему, как и многих других). Как? Прописал файл, использовав стеки, брал их на англосайте разработчиков WP (и знаете это бОООльшой минус вот так их выкладывать, даже если WP на GPLincense), запарсил как необходимо, в итоге получился файл, который подключается к печенькам брайзеров и адресам админок WP (при желании можно использовать удалённо, хотя нужно повозиться). Можно сказать это и есть печенька, но работает на удалённом уровне(её добавил в системную папку «app data»(Windows). Все брайзеры создают в этой системной папке свои папки). Создал файлик. Один раз вошёл в админку(через брайзеры FireFox и Google) отлогинился. Потом вставил адрес до своей админки(уже в созданный файлик печньку), дабы подключить его(файл печеньку) снова авторизовался на сайте/отлогинился. Открыл чудо сборку(файлик печеньку и увидел свои конфид.данные) и с помощью них можно снова логаться 😀 . Андрей, в статье явно чего-то не хватает, надеюсь вы догадаетесь, хотя это очевидно.

    Спасибо за идеи, было весело, приложив к ним свои идеи создал защиту. Вообщем, таперча только так: God Bless WordPress 😆 !

  33. Ильдар Гер, приветствую!

    Спасибо и Вам за подробную инструкцию по взлому :) Я не являюсь программистом, поэтому отписался автору данного плагина (Alex Tim). Думаю, ему будет над чем поразмыслить...

    По поводу «чего-то не хватает»- это правда, забыл поставить точку 😀

    Всего доброго, заходите... Идей будет масса!

  34. А Вы не подскажете, установил плагин Protected wp-login, а придуманный ключ забыл. Доступ на сервер есть. Выход только переустановка ВордПресса?

  35. Константин, ключ не стоило составлять на 200, а то и более знаков :)

    Зайдите в папку с плагинами через FTP или через свой аккаунт на хостинге — удалите Protected wp-login...

  36. Спасибо за хорошую подсказку. Установила плагин. Сижу и тихо радуюсь. ❗

  37. Ольга, Вы правильно поступили! Пренебрегать защитой не стоит, тем более в наше-то время...

  38. Спасибо за инфу про защиту админки. Дело в том что мой блог хпкнули пару месяцов назад — и это на пике развития(( Я было дело бросил его так как все удалили а бекапа не было... Но теперь я все вернул трудом и потом и поставил много много защиты от всего что только можно)) И за это благодарю вас.

  39. Роман, хочу обрадовать — очень скоро появится сногсшибательная комплексная защита wordpress блога — не пропустите!!!

    А то, что хакнули и всё удалили — это не большая беда, о том, что страшнее скоро напишу.

    Вопрос — а много-много защиты это сколько??? :)

  40. Благодарю. Надеюсь, что плагины помогут. Особенно хороша возможность с ключем, да и капча неплоха. Вчера пытали целый день взломать админку негодяи. Защита админки WordPress — очень важный вопрос.

  41. Добрый день! установил плагин, который вы рекомендовали, который перенесит адрес для входа в админку с ключем, вчера все было номрально, а сегодня такая страница недоступна, ее не существует и по стандартному адресу войти в админку тоже нельзя уже. И что теперь делать? Как попасть в админку и убрать этот плагин.

  42. Дмитрий, возможно ключ вводите неправильно.

    Удалить плагин можно через FTP клиент или через панель своего хостинга. Папка с плагинами.

  43. И как быть??? в случае,если после вставки

    UrL и нажатия кнопки Enter? конец ссылки меняется к примеру:wp-login.php/wp-login.php?sk=111 и перенаправляется на

    wp-login.php/wp-login.php?pass=1 и в результате просто нету возможности войти на сайт?????? Ответь как быть в этом случае, если ты пишешь статьи то пиши их до конца объясни как войти на сайт? в этом случае. 👿 😡

  44. бипер,ответил бы раньше, да был в отъезде... Проверил у себя на двух блогах — всё работает! Мне не ясно, почему у тебя перестраивается ссылка, если нет возможности попасть в админку блога — удали плагин, как это сделать, думаю рассказывать не надо.

    Удачи! :)

  45. Андрей, спасибо за статью. У меня похожая была ситуация. Помню, был неприятно удивлен- скорость загрузки страниц резко упала и стала более 10 сек- безобразие просто. Плагинов было немного. Обратился к техподдержке хостинга и мне сказали что к сайту идет подбор логина и пароля- даже адрес дали, IP пробил, оказался статическим.

  46. Александр, сейчас очень часто нападают на блоги, сайты, пытаются их взломать... А что нам остаётся делать, кроме как защищаться!?

    Не, ну может в скором времени, будем их (взломщиков) по хаткам отлавливать и пресовать не по-детски! :)

  47. Спасибо за статью. Удалил свой Security Plugin, блокирующий IP и поставил «Защищенный вход». Надеюсь 503 больше не вылезет. А вообще можно ли как-то проверить был ли я взломан и не понаписали ли что-нибудь в скрипте...?

  48. Алексей, по поводу отслеживания я скоро напишу. Как правило, Если не заметил сам, а посетители молчат и не говорят — смотри, типа, а чо это такое... Можно считать, что всё норм... :)

  49. бесмыслено если у тебя на сайте много пользователей.

  50. Антон, бессмысленно писать ерунду, заканчивай ты с этим делом! :)

  51. поставил капчу на свои сайты, спасибо за полезный пост!

  52. Спасибо за статью. Поставил плагин с каптчей. Посмотрим, что будет дальше. Чем больше страниц в индексе Яши, тем больше накручивается счетчик «атак». Число попыток подбора уже перешло 10000. Но вот посещаемость по счетчику 4-8 уников в сутки...

  53. Долго дрюкался что бы найти этот плагин...

    Разве нельзя было написать как называется эта каптча?

    Их миллион в поисковике... все молчат...

    Вот ссылка на русскую ru.wordpress.org/plugins/captcha/

    Называется Captcha by BestWebSoft

    С нерусского не стал ставить возможно там английская версия.

    Так что вот вам качайте на комп и ставьте русскую версию.

    АВТОРУ СПАСИБО ЗА НАВОДКУ примерную...

    Вот народ...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *