Всем привет, в этой статье и покажу, как ограничить количество попыток авторизации на сайтах на движке Wordpress!
В статье о безопасности сайтов на Wordpress, я уже упоминал о данном способе безопасности, сегодня я покажу, как это можно сделать.
Для чего это нужно?
Вообще, что это такое и зачем это нужно делать? Если мы ограничим количество попыток, например, до 3, то это будет значить, что если кто-то (например, злоумышленник) 3 раза введет неверный логин или пароль при входе в админку, то его IP будет заблокирован на определенное время (вы сами его устанавливаете). И только по истечению этого времени, он снова сможет попробовать авторизоваться.
Данный способ защиты подойдет для тех случает, когда кто-то будет пытаться подобрать логин и пароль с одного и того же IP.
Чем меньше дополнительных попыток авторизации (минимум 0) и чем больше время блокировки, тем выше защита, так как взломщику потребуется больше времени на подбор.
Как сделать ?
Сделать это очень просто, в этом нам поможет замечательный плагин под названием Limit Login Attempts!
Установка плагина
Находясь в админ панели, в левом меню выберите Плагины -> Добавить плагин:
Далее в поиск вбиваем Limit Login Attempts:
и нажимаем Enter.
Самым первым должен вылезти наш плагин (такой зеленый), устанавливаем его, нажав, Установить сейчас:
Теперь необходимо произвести настройку плагина.
Настройка
В левом меню переходим в Настройки и выбираем наш только что установленный плагин:
Идем сверху вниз, нас интересуют настройки изоляции:
Здесь необходимо заполнить 5 полей – пройдемся по каждой строчке:
- разрешено дополнительных попыток – цифра 2 означает, что если человек неправильно введет логин или пароль, то он сможет попробовать сделать это еще 2 раз, если эти 2 дополнительные попытки тоже будут неудачными, то он (его IP) будет заблокирован;
- изоляция в минутах – здесь указываем количество минут, которое придется ждать до разблокировки IP адреса;
- изоляций повысят время изоляции до – это значит, если человек 4 раза будет заблокирован (это надо 12 раз неправильно ввести данные), то время изоляции повысится с 30 минут до 24 часов, то есть после 12 неудачных попыток, злоумышленнику придется ждать целый день, после чего он сможет попробовать снова;
- часов до сброса количества попыток – это значит, что через 48 часов (через 2 дня) все попытки сбросятся, и человек будет пробовать авторизоваться так, как будто он делает это впервые, и никаких изоляций не было.
Здесь, вы уже сами должны выставить значения так, как удобно именно вам, но, на мой взгляд, оптимальным будет выставить 3 дополнительных попытки авторизации и 10 дней (240 часов) до сброса количества попыток.
Далее идут настройки подключения к сайту, здесь ставим – За прокси (reversy proxy):
Далее ставим – Да рядом с “Обрабатывать кукис логина” и, по желанию, можете поставить галочку записи IP адресов (в самом низу страницы будет список IP адресов, а напротив них логин и количество изоляций).
Если хотите, можете поставить галочку для отправления письма на вашу почту в случае определенного количества изоляций. Это очень полезно, когда нужно проверить, с какого IP и под каким логином пытаются попасть в админ панель вашего сайта.
Если поставите эту галочку, то, скорее всего. вам каждый день будут приходить письма об изоляциях разных пользователей, так как сайты на движке wordpress, благодаря своей популярности и открытости исходного кода, очень часто подвергаются хакерским атакам.
После всех настроек нажмите на кнопку – Изменить настройки:
Все, настройка завершена.
Следуем понимать: это не гарантирует вам 100% защиты от взлома, но значительно повышает безопасность вашего сайта!
Также, не забывайте делать резервные копии, чтобы даже в случае взлома вы всегда смогли восстановить все данные.
На этом у меня все, надеюсь, данный урок будет для вас полезен, желаю удачи, пока!