Плагин Login LockDown для WordPress
Безопасность сайта, является приоритетным пунктом разработки веб-проекта, и защита WordPress не станет исключением. Попытки несанкционированного доступа к управлению блогом дело, хоть и не повсеместное, но имеет место быть в жизни вебмастера…
Чтобы оградить свой веб-сайт от грубого взлома, путём подбора входных данных, можно ограничить доступ к административной панели. Для этого можно запретить доступ к /wp-admin, оставив приоритет только для доверенных IP-адресов, либо установить лимит на количество ошибок авторизации.
Содержание статьи:
Login LockDown
Популярным инструментом блогеров в борьбе с подбором, является бесплатный плагин — Login LockDown. Это узкоспециализированное дополнение, направлено на отслеживание попыток авторизации, то есть входа в консоль WordPress.
Особенностью плагина можно назвать гибкость настроек, позволяющих администратору отсрочить каждую попытку входа, лимитированную указанным числом, после чего заблокировать злоумышленника (его IP-адрес) на длительный срок!
Установка и активация
Проинсталлировать дополнение можно по средствам FTP доступа, перед этим скачав архив с плагином — https://wordpress.org/plugins/login-lockdown/
или перейдите в раздел админки «Плагины», щёлкните сверху пункт «Добавить новый», после чего введите название в строку поиска и нажмите клавишу «Enter». Первый результат устанавливаем, а после и активируем.
Настройки плагина
Как ранее замечено, количество опций LoginLockDown невелико, и представляет собой лишь функциональные параметры. После активации плагин начинает действовать со значениями по умолчанию, предпочтительными для большинства пользователей.
В панели разверните раздел «Настройки», где обнаружится пункт «Login LockDown», кликаем и переходим на страницу настроек «Login LockDown Options»:
- Max Login Retries – количество попыток авторизации, после которых адрес блокируется. По умолчанию указано 3 (не рекомендуем устанавливать более 5 попыток).
- Retry Time Period Restriction (minutes) – число минут между попытками авторизоваться, по умолчанию 2 минуты (лучше сократить, чтобы пользователь смог в скором времени повторить вход).
- Lockout Length (minutes) – число минут блокировки IP-адреса, по умолчанию 120 (2 часа), вполне можно увеличить при должном уровне опасности.
- Lockout Invalid Usernames? – опция для отключения функций плагина для незарегистрированных имён (логинов). Включаем по своему усмотрению, так как подбор несуществующей пары логин-пароль не несёт опасности.
- Mask Login Errors? – опция отключения ошибок авторизации. Пользователю не будут отображаться уведомления о неверном имени пользователи или пароле.
- Show Credit Link? – опция отображения ссылки на оф.сайт плагина (реклама разработчиков Login LockDown). Отображается по умолчанию, для отключения кликните третий четбокс.
- Update settings – кнопка обновить настройки, нажимаем в конце для сохранения внесённых изменений.
- Currently Locked Out – область со списком заблокированных адресов. Имеется возможность очистить IP для доверенных лиц, не получивших доступ к админке.
Вместо послесловия
Таким образом, можно ненавязчиво ограничить доступ к админке WordPress, исключая автоматический или ручной подбор. Плагин Login LockDown периодически обновляется, что указывает на совместимость с актуальными версиями CMS.