Главная / Создание и продвижение сайтов / САЙТОСТРОЕНИЕ / WordPress / Плагин Lockdown WP Admin — защита админки WordPress от взлома

Плагин Lockdown WP Admin — защита админки WordPress от взлома

О необходимости защиты блога на WordPress, наверное, задумывался каждый. Всесторонне и максимально содержимое блога (аккаунт на хостинге, базу данных, шаблон, код движка, контент и т.д.) от посягательств недоброжелателей защитить можно, для этих целей существует великое множество инструментов. Об одном из таких инструментов — плагине Lockdown WP Admin для защиты админки WordPress — мне и хотелось бы рассказать сегодня.

Нужна ли WordPress защита от взлома?

Казалось бы, WordPress — мощный движок, постоянно развиваемый и обновляемый, о защите которого заботятся профессиональные разработчики, «залатывая» уязвимости, приводя его в соответствие со стандартами безопасности. Но при этом долгие годы существования популярной блоговой CMS стандартный адрес входа в административную консоль остается неизменным: адрес_сайта/wp-admin/ (адрес_сайта/wp-login.php). И это обстоятельство не только прямо указывает на принадлежность сайта к конкретной системе управления контентом, но и делает уязвимыми все сайты на WordPress для ботов, автоматически подбирающих пароли на вход.

Современная реальность такова, что число персональных компьютеров, подключенных к мировой паутине, с каждым днем только увеличивается. При этом многие из пользователей попросту пренебрегают элементарной защитой своих компьютеров — до тех пор, пока необходимость этого не становится явной. В результате халатности пользователей огромное количество устройств без ведома хозяев значительную часть времени используется не по назначению.

Еще в 2013 году 3Dnews.Ru писал о появлении ботнетов (ботнет — совокупность устройств, зараженных вредоносным кодом и управляемых централизованно) из десятков тысяч компьютеров, используемых хакерами для атак на сайты под управлением WordPress путем подбора паролей. С тех пор ситуация в целом изменилась не в лучшую сторону. Сложный и достаточно «длинный» пароль, включающий в себя символы верхнего регистра и цифры, всего лишь увеличивает время, необходимое ботам для перебора комбинаций, а запас времени у них просто огромный, не говоря уже о ресурсах.

Если верить информации, периодически появляющейся в сети, значительная часть сайтов на WordPress уже взломана, причем их хозяева даже не подозревают от этом. Чаще всего на взломанных сайтах размещаются вредоносные коды, ссылки на другие ресурсы и коды ссылочных бирж, что отражается на посещаемости сайта и его позициях в поиске — ведь то, что не видит хозяин сайта, всегда видят поисковые системы. Мой блог за последние три года взламывали дважды, в последний раз он даже угодил под небезызвестный фильтр Яндекса АГС. Сложный пароль на вход в админку не спас его. По правде говоря, как и большинство блогов, мой блог очень долгое время вообще никак не был защищен.

А теперь задумайтесь о том, надежно ли защищен ваш блог? Есть ли у вас уверенность в том, что никто не сможет без вашего ведома войти в его админку? Необходима ли вашему блогу защита от взлома? Даже если он еще не успел набрать высокие ТИЦ и посещаемость, не нужно думать, что он не интересен взломщикам, и не нужно недооценивать их возможности.

Как защитить WordPress блог от ботов

Вариантов защиты от подбора пароля на вход в админку достаточно много, но подавляющее их большинство можно свести к нескольким основным группам:

  • блокировка ботов, «стучащихся» в админку, по сетевому IP-адресу;
  • капча на вход — поле, требующее дополнительных действий;
  • ограничение количества неправильных вводов логина/пароля;
  • скрытие страницы авторизации от всех, кроме хозяина сайта;
  • изменение адреса входа в админку WordPress.

Если что упустил, пишите в комментариях. Пока же предлагаю разобрать, «что есть что» и насколько способно обезопасить админку вашего блога от атак ботов.

Нередко предлагаемая на вебмастерских форумах блокировка различных ботов, равно как и спамеров, по IP через файл .htaccess — дело неблагодарное. Сетевые адреса всех спамеров и ботов можно вписывать бесконечно, т.к. в большинстве случаев атаки на сайты идут через программное обеспечение, использующее множество различных IP. Заблокировав несколько адресов, проблему вы не снимете.

Использование капчи на странице входа — тоже не всегда способно помочь, т.к. программы давно научились распознавать практически любые картинки, используемые капчами. Единственная известная мне на данный момент надежная капча — это Google Captcha (reCAPTCHA), полностью избавляющая и от спама в комментариях, но способная вызывать раздражение у посетителей (по этой причине мне пришлось отказаться от нее).

Ограничение на количество неверных вводов пароля в форме авторизации с помощью различных плагинов типа Login LockDown — не спасает от атак, ведущихся с множества различных IP. Эта мера способна защитить админку WordPress лишь от хакеров-самоучек.

Скрытие страницы авторизации от чужих глаз легко реализуется путем добавления в файл .htaccess следующего кода:
<Files "wp-login.php">
Order deny,allow
Deny from All
Allow from 00.00.00.00
— где вместо нулей необходимо вписать свой IP адрес. Решение практически идеальное, с одним существенным ограничением: если доступ в интернет реализован у вас через динамический IP, автоматически меняющийся каждый раз при подключении к сети, использование данной конструкции нецелесообразно.

Защита от взлома для WordPress с помощью изменения стандартного адреса формы авторизации на уникальный, на мой взгляд — наиболее простой и, что немаловажно, доступный способ избавиться от ботов.

Как изменить адрес админки WordPress

Простое и изящное решение для данной цели — использование WordPress плагина защиты админки Lockdown WP Admin. Найти и установить его можно через меню консоли Плагины — Добавить новый.

Установка плагина Lockdown WP Admin

Несмотря на то, что плагин не обновлялся уже год, как об этом свидетельствует надпись в его форме, работает он с последней версией WordPress исправно, вполне возможно, что в плагине на данный момент просто нечего обновлять.

После активации плагина его название появится в меню консоли, достаточно зайти в его настройки и задать необходимый, желательно уникальный, адрес для входа в админку. Плагин Lockdown WP Admin не русифицирован, но в его настройках разобраться несложно.

Настройки плагина Lockdown WP Admin

Первый блок настроек Hide WP Admin уведомляет владельца сайта о том, что адрес входа в админ-панель будет скрыт и по прежнему адресу будет отдаваться 404-я ошибка, а также предлагает подтвердить желание изменить адрес.

Следующий блок WordPress Login URL содержит поле для ввода нового буквенно-цифрового адреса и предупреждение о том, что тем, кто использует плагины кэширования, необходимо внести адрес новой страницы авторизации в список исключений, чтобы эта страница не кэшировалась.

Заключительный блок настроек HTTP Authentication, насколько я понял из перевода, предназначен для включения/отключения аутентификации и организации доступа по учетным данным пользователей сайта. Если кроме вас, в админке сайта никто не работает, оставьте выбранным значение по умолчанию: Disable HTTP Auth.

Как следует из скриншота, в качестве примера мной выбран для авторизации адрес: http://vervekin.ru/qwerty. Остается только запомнить его, чтобы использовать в дальнейшем, и сохранить настройки.

Дополнение

Здесь же можно сказать и о том, что виджету META, появляющемуся на сайте при первой установке WordPress и содержащему ссылки на вход/выход и ссылку на разработчиков CMS — не место в сайдбаре (на каждой странице).

Виджет Meta

Простой способ от него избавиться: в консоли блога выбрать пункт меню Внешний вид — Виджеты и перетянуть мышкой этот виджет в зону неиспользуемых виджетов (влево и вниз), после чего он перестанет отображаться.

Расскажите об этой статье в соцсетях:

29 комментариев

  1. Валентина

    Я и не думала, что с ботами всё так серьёзно. Спасибо за статью, Константин. Установлю этот плагин.

    • Валентина, нужно будет добавить новый адрес входа в настройках плагина Hyper Cache: вкладка Исключения, пункт Точный адрес URL исключить, чтобы избежать проблем со входом в админку.

  2. Виктор Пелевин

    Проще закрыть вход в админку вообще для всех, в том числе и для себя, по стандартному адресу. Берется файл wp-login.php, меняется его название с сохранением расширения php. Затем внутри него также меняются все встретившиеся «wp-login.php» на новое название. Кидаем этот файлик в корень сайта и входить в админку можно будет по нему. Не надо никакого плагина, да и имя файлу можно подобрать любое.

    • Описываемый в статье способ это и делает: закрывает админку по стандартному адресу. Только без вмешательства в файлы движка, наиболее простым для большинства технически неподкованных блогеров. И название для страницы входа тоже можно придумать любое, и менять его хоть раз в неделю — в течение нескольких секунд.

  3. Светлана

    У меня этот плагин установлен изначально. Слава богу.

    • Да, плагин отличный. Жалею, что раньше мне не попадался, скольких проблем можно было бы избежать.

  4. Ирина и Игорь

    В наше время защита безусловно нужна, причем на всех интернет-ресурсах или приложениях. Столько разных мошенников, ботов и очень хитрых людей развелось. Диву даешься.

  5. Всегда использую капчу. Но в последний месяц снял и тут как налетели левые IP, которые пытаются залогиниться.. Видимо пора возвращать

    • Ну, или как вариант, попробовать спрятать от ботов адрес админки с помощью описываемого в статье плагина )

      • Хорошо. Надо бы попробовать)
        А подскажите, пожалуйста. У меня в последнее время на блоге стали пачками появляться комментарии от иноязычных комментаторов
        Боты или просто спам?
        Стоит ставить капчу на комментирование или просто не обращать внимания?
        P.S. Когда ставил капчу — ругались обычные посетители

        • Сталкивался с подобным, если не ошибаюсь, резал англоязычный спам простым плагином English Spam, но сейчас им не пользуюсь. Капча — как вариант. Или нужен хороший антиспам-плагин без капчи — такие есть, но их редко кто «светит», пока они со своими задачами справляются.

  6. Вервекин, вы большой молодец, но старайтесь не лить воды. Заходите уж слишком издалека, пока до сути доберешься, желание что-то делать пропадет ))

    • Для тех, кто с WordPress на ты, достаточно было написать: Друзья, защищайте свои сайты, прячьте вход в админку от ботов. Для этого есть отличный плагин Lockdown WP Admin.

      Весь остальной текст — для тех, кому необходимо обоснование )) Ну и еще немного — для поисковых систем )

  7. Виктория

    Плагин от взлома действительно очень нужный и должен быть на каждом WP. Пользуемся Lockdown больше двух лет и тьфу-тьфу. А до этого была головная боль от англоязычных ботов

  8. Капчу часто рекомендуют в качестве защиты. Но как же начинают сердиться обычные добропорядочные комментаторы.
    А на ограничении количества неправильных вводов логина / пароля сама несколько раз погорела, потом замучилась приводить все в порядок.

    • Идеальный вариант для блога — невидимая для посетителей капча, которую не в состоянии обойти боты. Ограничение количества попыток на ввод пароля тоже когда-то ставил, проблем вроде не было )

  9. Константин, у моей приятельницы взламывали блог не единожды. порекомендовала ей этот плагин. Хотя блог совсем молодой. Буду ждать её ответ.

  10. Здравствуйте, Константин! Я та приятельница, о которой писала Наталья в предыдущем комментарии, она же дала ссылку на Ваш блог. У меня уже (после взлома и восстановления) стоит плагин All In One WP Security. У него похожие функции и пока он меня устраивает. Но есть одно НО: каждый день мне на почту приходят отчеты плагина, что боты-спамщики пытаются проникнуть в мою админ панель. Это длится 24 часа в сутки. Меня это очень раздражает. И хотя я изменила все: пароль сложный из 15 символов, изменена ссылка на вход и имя пользователя. Эти боты все-равно пытаются проникнуть. А вчера они пытались взломать мой совсем новый блог, на новом домене, только хостинг тот же. На том блоге еще ничего нет, кроме плагинов. Но и туда пытались зайти, правда всего раз. Я хочу спросить Вас как более опытного блогера: что в этой ситуации сделать? Не обращать внимание на ботов, удалить блог, переждать какое-то время? Может им надоест и они отстанут? Что Вы можете посоветовать?

    • Ирина, удаление блога и выжидание ничего не изменит. Боты от этого никуда не денутся, времени у них вечность. Подобные атаки идут на все сайты 24 часа в сутки. Вы защитили админку — это хорошо. На всякий случай можно скачать сайт и проверить его на предмет вредоносных скриптов AI-Bolit’ом, чтобы точно знать, что в шаблоне и плагинах тоже нет уязвимостей.

  11. Александр

    У меня тоже давно стоит Login LockDown. Хороший плагин, правда не знаю защищал ли он хоть раз мой сайт :)

    • Ну, как минимум, адрес входа в админку от ботов он прячет. Это уже хорошо.

      • Надежда Суптеля

        Ой Констатин, ошиблась немного — извините пожалуйста. Плагин Lоgin Lock Down, я установила интервал давно по IP задержку — на 12 часов по моему — не помню. Не рыпаются.

        И еще Константин у меня вопрос к Вам такой: что за плагин у Вас стоит в ответах на комментарии, что можно перевести ползунок Ответы на мои комментарии или Ответ на все комментарии. Спасибо Вам заранее за ответ.

        • Надежда, это плагин подписки на комментарии «Subscribe to Comments Reloaded».

          • Надежда Суптеля

            Я Константин удалила этот плагин, а потом забыла его установить. Получается, что я отвечаю на комментарии, а на почту людям не приходит сообщение. Спасибо ВАМ. Вовремя я на Вашей статье оказалась с вопросом.

          • Надежда Суптеля

            Установила плагин, а у меня оказывается он вшит в шаблон. Вот такие дела, значит шаблон у меня просто нормальный от Александры и Володи.

  12. Надежда Суптеля

    где вместо нулей необходимо вписать свой IP адрес) Вот в этом и вопрос у меня Константин. Я на модеме Билайн и тут уже никуда не попрешь. Вроде бы. Но мне ребята спецы помогли: на хостинге файлы переписали, закрыли многое, теперь у меня два файла — не буду говорить какие. У меня стоит просто Ljgin Lock Down — вход в админку. Плюс ко всему у меня пароль для входа сейчас по моему больше 50-ти символов, но я регуляно изменяю пароль для входа в админпанель. От англоспама я избавилась благодаря плагину, статья есть у меня на блоге об этом плагине.

    Но русские спамеры не дремлют, правда не 200- 400 в сутки спам комментариев, бывает 2-3 за неделю, а последнее время русские спамщики заметно активизировались, до 18ти комментариев за трое суток, но это не так уж много. Но я их себе на пользу перевела. Смешно самой иногда от собственных художеств, немного разгребусь на блоге, поделюсь смешным опытом о спамерах. А если честно, ничего не трогаю на блоге: не переписываю, не меняю — все ровно, стоит ли портить, когда все хорошо. Спасибо Константин за статью.

    • Надежда, подход разумный: когда все настроено и работает без сбоев, зачем что-то менять? А по поводу спамеров — не думаю, что из автоматического спама можно извлечь какую-то пользу. Лучший вариант — когда спам вообще не появляется в админке.

      • Надежда Суптеля

        Абсолютно согласна с Вами Константин, когда все настроено, не стоит придумывать и изобретать. А по поводу спамеров… Я списалась с некоторыми, оказались не боты, у нас такая интересная переписка получилась, они кое — какие косяки блога прислали и показали: как и что изменить — вообще супер контроль получился. Подсказали одну вещь, как поднять трафик. Спасибо им. Вот такую пользу я получила. А ведь писала им, не надеялась на ответы. Без спама редкий блогер живет по моему.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *