Wordpress: защита от подбора паролей к админке

23 Января 2014
Posted in Полезные материалы - IT новости

Капитан Очевидность утверждает, что большинство логинов админов к вордпресс — это admin. Поэтому для хакеров остается только перебором распространенных вариантов пароля, типа 1111, 123132 или qwerty найти ключик к сайту.

И понятное дело, что подбор будет идти многопоточно со всех возможных проксей. Если посмотреть в настройки плагина, то увидим следующее: в статистике зафиксировано 126 попыток подбора пароля, 119 айпишников заблокированы в данный момент.

Что нужно настроить:

• 1 allowed retries- 1 разрешенная попытка (1-2 максимум)
• 9999 minutes lockout — блокировка на 9999 минут при неверном пароле
• 1 lockouts increase lockout time to 9999 hours - еще одна блокировка увеличивает время блокирования еще на 9999 часов.
• Site connection- тип соединения админа с сайтом (прямое или через прокси)
• Handle cookie login— отслеживать куки. Кстати, если в настоящий момент Вас интересует поисковая оптимизация сайта, обращайтесь на intelsib.ru.
• Notify on lockout- в случае блокировки записать айпи и срочно намылить админу об этом факте.

Важно! Если вы сами ошибетесь при вводе пароля, доступ с вашего айпи на сайт будет заблокирован.

Из этой ситуации есть два выхода. Первый, удалить по фтп папку с плагином и снова зайти на сайт. Однако при переустановке плагина вас снова заблокирует, т.к. информация о блокировке осталась в базе данных. Чтобы удалить информацию о блокировке, необходимо сделать в phpMyAdmin запрос к БД сайта "UPDATE wp_options SET option_value= '' WHERE option_name

= 'limit_login_lockouts'"

Самые маленькие это предложение могут смело пропустить :-) Второй способ — зайти на сайт с другого айпи и очистить список блокировки кнопкой Restore Lockouts.

Кстати!

Список айпи адресов, с которых долбят сайт в попытке подобрать пароль, может пригодиться вам в разделе руководства, посвященному настройкам блокировок доступа по айпи. Пример уведомлений на почту — типичная атака на клиентский сайт.