Как защитить админку Wordpress от взлома

Вопрос безопасности сайта всегда стоит достаточно остро. Один из наиболее распространенных способов взлома консоли Wordpress — подбор логина и пароля при помощи специальных программ. Поэтому. чтобы защитить веб-портал, мы воспользуемся плагином Limit Login Attempts, который ограничивает количество попыток входа в консоль Wordpress.

Установка плагина

Поскольку наш сайт абсолютно “новый” (мы только установили движок его на хостинг https://s-host.com.ua), сразу же добавим Limit Login Attempts к уже имеющимся плагинам. Чтобу установить новое расширение, перейдите на старницу "Консоль"/"Плагины"/"Добавить новый", а затем через поиск найдите нужный объект. После активации плагина в консоли появится пункт "Настройки"/Limit Login Attempts. Кликните на него, чтобы перейти к настройкам.

Настройка плагина

На странице настроек плагина вы увидите два блока. В блоке “Статистика” представлено поле “Всего изоляций”, которое сейчас пустует, однако  по мере того, как плагин будет “пресекать” попытки взлома, данные будут появляться и обновляться. В блоке “Опции” собраны следующие параметры:

“Изоляция”: здесь задаются ключевые параметры такие как количество допустимых попыток входа, время изоляции (в минутах), количество попыток входа, увеличивающих время изоляции (в часах) и время до “отмены” изоляции;

“Подключение к сайту”: при прямом подключении к интернету отмечается соответствующий пункт (настройка по умолчанию), тогда как при использовании проси нужно выбрать “За прокси (reversy proxy)”;

“Обрабатывать кукис логина”: данная опция положительно влияет на качество работы плагина, поэтому рекомендуется оставить в настройках “Да”;

“Сообщать об изоляциях”: отметив галочкой пункт “Записывать IP”, вы будете получать IP-адреса заблокированных пользователей/тех, кто пытался взломать админку сайта; ниже можно указать количество изоляций, после которого на email администратора будет прислано уведомление о попытке взлома:

Стоит отметить, что этот плагин лучше установить сразу после загрузки движка на хостинг. Так вы гарантированно обезопасите свою консоль. Теперь при вводе неверных данных для входа в админку будет появляться сообщение о том, что логин или пароль прописан неверно, а также будет указываться количество оставшихся попыток:

 

Установка пароля на доступ к файлу wp-login.php

 

Стандартные средства веб-сервера Apache позволяют устанавливать пароль на доступ к определенным файлам. При помощи них можно заблокировать файл, при запросе которого загружается форма логина и пароля – wp-login.php.

Для начала нужно сгенерировать сам файл. Это можно сделать при помощи htpasswd-generator, онлайн версию которого легко найти через поисковую систему. Проследовав простым инструкциям и выполнив генерацию, понадобится вначале загрузить созданный файл на компьютер, а затем залить его на сервер. Лучше всего размещать его не в том же самом каталоге, где находится сайт, а поместить, например, в директорию Home (справедливо для VPS или выделенных серверов).

Затем понадобится в директории, в которую был помещен файл .htpasswd создать еще один файл - .htaccess. В него нужно вписать:

"ErrorDocument 401 "Unauthorized Access"

ErrorDocument 403 "Forbidden"

<FilesMatch "wp-login.php">

AuthName "Authorized Only"

AuthType Basic

AuthUserFile /.htpasswd

require valid-user

</FilesMatch>"

Где /.htpasswd – это путь, который ведет к ранее загруженному файлу .htpasswd. Так оба этих файла размещены в одной директории, то полный адрес указывать не нужно – сервер сам поймет, где располагается файл.

Дополнительные меры по защите админки

Важно создать такой пароль для панели администратора Wordpress, который сложно было бы подобрать как при помощи словаря, так и простым перебором. Лучше если он будет состоять минимум из 16 символов и содержать в себе буквы разных регистров, цифры и спецсимволы.

Также для защиты админки можно изменить стандартное местоположение самого файла wp-login.php. Для этого нужно просто переименовать соответствующий файл, открыть его, изменить все записи вида wp-login.php на использованное-имя.php и сохранить изменения. Также понадобится изменить записи вида wp-login.php на выбранное имя в файле wp-includes/general-template.php.

 

 

Наши аналитики