WordPress взлом админки: Под прессом. Ломаем и защищаем WordPress своими руками / Журнал Хакер corporate blog / Habr – Ломаем и защищаем WordPress своими руками — «Хакер»

Содержание

Взломали WordPress. Что делать? | GB: Блог о WordPress и веб-разработке

Сегодня утром я был неприятно удивлен, когда зашел на свой блог, который работает на движке WordPress. На главной недвусмысленно написано — “Hacked by Seif Jelidi”. В админку естественно не попал, пароль и логин не подошли.К моему счастью, на контактную почту стоит такой пароль, что я сам его периодически забываю, поэтому штатными средствами я восстановил доступ. Но куда бежать и что делать, если взломали WordPress, как защитить блог — об этом я расскажу сегодня.

Восстановление доступа в админку WordPress

В WordPress есть опция восстановления пароля по E-mail, ей и воспользуемся:

Админка WordPress

Если взлом был целенаправленным (в моем случае это не так, к счастью), высока вероятность того, что адрес контактной почты тоже будет изменен и получить пароль таким образом будет невозможно. Или другой вариант — адрес не поменяли, но сменили пароль контактного почтового ящика и к нему тоже нет доступа (используйте разные пароли — проблем будет намного меньше).

Если удалось восстановить пароль таким образом — отлично. Меняем все пароли (админка сайта, почтовый ящик и желательно к панели управления хостингом) и делаем полный бэкап сайта. Если не удалось восстановить пароль — все немного хуже, но тоже не смертельно. Будем воздействовать напрямую на базу данных MySQL и редактировать таблицы. Готовы?

Восстановление пароля с помощью phpMyAdmin

Заходим в панель управления хостингом (Все смогли зайти? Я предупреждал о разных паролях) и находим там phpMyAdmin. Это такая чудесная штука, которая позволяет управлять таблицами базы данных вашего сайта. Находим таблицу “wp_users” и жмем кнопку “Обзор”.

Работа с phpMyAdmin

Видим список пользователей сайта. В моем случае пользователь один и пароль зашифрован. Да он нам собственно и не нужен, мы его поменяем.

Смена пароля в phpMyAdmin

Жмем кнопку “Редактировать” и попадаем в окно редактирования

Смена пароля

На картинке показан порядок действий. Да, небольшое уточнение — пароль вводим в нормальном, человеческом виде. Система сама зашифрует его, как нужно, используя указанное шифрование.

После сохранения нового пароля можно попробовать залогиниться в админку — все получится.

Доступ к сайту восстановили — меняем внутри контактный адрес электронной почты. Как восстанавливать доступ к почте — отдельный вопрос, который я рассмотрю в другой раз. Обычно достаточно привязать ящик к номеру мобильного и можно спать спокойно. Я с основным адресом так и сделал, чего и вам советую. Опять же, не забывайте делать своевременные бэкапы, это избавит в дальнейшем от многих проблем. Бэкап вообще хорошая штука

Отдельная тема для разговора — что делать для того, чтобы максимально усложнить жизнь взломщикам и прочим хулиганам?

  • Первое — использовать разные и максимально сложные пароли. Помните — пароль от административной части это фактически единственная защита сайта от злоумышленника. От серьёзного, заказного взлома не защитит, к сожалению, но заставит искать обходные пути, что может отпугнуть молодых “кулхацкеров”
  • Второе — сохраняйте резервные копии. Комментарии излишни.
  • Третье — периодически проверяйте компьютер, с которого происходит вход в админку, на наличие вирусов. Кейлоггеры — весьма вредная штуковина. При малейшем подозрении на вирус, троян или непонятных движениях на сайте (вход с неизвестных IP, непонятные файлы в корне) — полная смена паролей. Может быть это звучит несколько параноидально — зато очень успешно работает. Кстати, проверить файлы на изменение можно при помощи плагина к WordPress belavir (php MD5). Он проверяет контрольную сумму файлов и показывает, какие файлы менялись. И если вы их не меняли — это первый “звоночек” о необходимости проверки этих самых файлов.

Тему защиты от взлома я немного затронул в этой статье. Вот основные сведения, которые могут направить вас на верный путь. А еще лучше — не доводить до такого. Если что-то осталось непонятным или что-то не получается — вэлкам в комментарии или почту, постараюсь помочь с вашей проблемой

Удачного вам дня

Плагин Lockdown WP Admin — защита админки WordPress от взлома - Vervekin.Ru

О необходимости защиты блога на WordPress, наверное, задумывался каждый. Всесторонне и максимально содержимое блога (аккаунт на хостинге, базу данных, шаблон, код движка, контент и т.д.) от посягательств недоброжелателей защитить можно, для этих целей существует великое множество инструментов. Об одном из таких инструментов — плагине Lockdown WP Admin для защиты админки WordPress — мне и хотелось бы рассказать сегодня.

Нужна ли WordPress защита от взлома?

Казалось бы, WordPress — мощный движок, постоянно развиваемый и обновляемый, о защите которого заботятся профессиональные разработчики, «залатывая» уязвимости, приводя его в соответствие со стандартами безопасности. Но при этом долгие годы существования популярной блоговой CMS стандартный адрес входа в административную консоль остается неизменным: адрес_сайта/wp-admin/ (адрес_сайта/wp-login.php). И это обстоятельство не только прямо указывает на принадлежность сайта к конкретной системе управления контентом, но и делает уязвимыми все сайты на WordPress для ботов, автоматически подбирающих пароли на вход.

Современная реальность такова, что число персональных компьютеров, подключенных к мировой паутине, с каждым днем только увеличивается. При этом многие из пользователей попросту пренебрегают элементарной защитой своих компьютеров — до тех пор, пока необходимость этого не становится явной. В результате халатности пользователей огромное количество устройств без ведома хозяев значительную часть времени используется не по назначению.

Еще в 2013 году 3Dnews.Ru писал о появлении ботнетов (ботнет — совокупность устройств, зараженных вредоносным кодом и управляемых централизованно) из десятков тысяч компьютеров, используемых хакерами для атак на сайты под управлением WordPress путем подбора паролей. С тех пор ситуация в целом изменилась не в лучшую сторону. Сложный и достаточно «длинный» пароль, включающий в себя символы верхнего регистра и цифры, всего лишь увеличивает время, необходимое ботам для перебора комбинаций, а запас времени у них просто огромный, не говоря уже о ресурсах.

Если верить информации, периодически появляющейся в сети, значительная часть сайтов на WordPress уже взломана, причем их хозяева даже не подозревают от этом. Чаще всего на взломанных сайтах размещаются вредоносные коды, ссылки на другие ресурсы и коды ссылочных бирж, что отражается на посещаемости сайта и его позициях в поиске — ведь то, что не видит хозяин сайта, всегда видят поисковые системы. Мой блог за последние три года взламывали дважды, в последний раз он даже угодил под небезызвестный фильтр Яндекса АГС. Сложный пароль на вход в админку не спас его. По правде говоря, как и большинство блогов, мой блог очень долгое время вообще никак не был защищен.

А теперь задумайтесь о том, надежно ли защищен ваш блог? Есть ли у вас уверенность в том, что никто не сможет без вашего ведома войти в его админку? Необходима ли вашему блогу защита от взлома? Даже если он еще не успел набрать высокие ТИЦ и посещаемость, не нужно думать, что он не интересен взломщикам, и не нужно недооценивать их возможности.

Как защитить WordPress блог от ботов

Вариантов защиты от подбора пароля на вход в админку достаточно много, но подавляющее их большинство можно свести к нескольким основным группам:

  • блокировка ботов, «стучащихся» в админку, по сетевому IP-адресу;
  • капча на вход — поле, требующее дополнительных действий;
  • ограничение количества неправильных вводов логина/пароля;
  • скрытие страницы авторизации от всех, кроме хозяина сайта;
  • изменение адреса входа в админку WordPress.

Если что упустил, пишите в комментариях. Пока же предлагаю разобрать, «что есть что» и насколько способно обезопасить админку вашего блога от атак ботов.

Нередко предлагаемая на вебмастерских форумах блокировка различных ботов, равно как и спамеров, по IP через файл .htaccess — дело неблагодарное. Сетевые адреса всех спамеров и ботов можно вписывать бесконечно, т.к. в большинстве случаев атаки на сайты идут через программное обеспечение, использующее множество различных IP. Заблокировав несколько адресов, проблему вы не снимете.

Использование капчи на странице входа — тоже не всегда способно помочь, т.к. программы давно научились распознавать практически любые картинки, используемые капчами. Единственная известная мне на данный момент надежная капча — это Google Captcha (reCAPTCHA), полностью избавляющая и от спама в комментариях, но способная вызывать раздражение у посетителей (по этой причине мне пришлось отказаться от нее).

Ограничение на количество неверных вводов пароля в форме авторизации с помощью различных плагинов типа Login LockDown — не спасает от атак, ведущихся с множества различных IP. Эта мера способна защитить админку WordPress лишь от хакеров-самоучек.

Скрытие страницы авторизации от чужих глаз легко реализуется путем добавления в файл .htaccess следующего кода:
<Files "wp-login.php">
Order deny,allow
Deny from All
Allow from 00.00.00.00
— где вместо нулей необходимо вписать свой IP адрес. Решение практически идеальное, с одним существенным ограничением: если доступ в интернет реализован у вас через динамический IP, автоматически меняющийся каждый раз при подключении к сети, использование данной конструкции нецелесообразно.

Защита от взлома для WordPress с помощью изменения стандартного адреса формы авторизации на уникальный, на мой взгляд — наиболее простой и, что немаловажно, доступный способ избавиться от ботов.

Как изменить адрес админки WordPress

Простое и изящное решение для данной цели — использование WordPress плагина защиты админки Lockdown WP Admin

. Найти и установить его можно через меню консоли Плагины — Добавить новый.

Несмотря на то, что плагин не обновлялся уже год, как об этом свидетельствует надпись в его форме, работает он с последней версией WordPress исправно, вполне возможно, что в плагине на данный момент просто нечего обновлять.

После активации плагина его название появится в меню консоли, достаточно зайти в его настройки и задать необходимый, желательно уникальный, адрес для входа в админку. Плагин Lockdown WP Admin не русифицирован, но в его настройках разобраться несложно.

Первый блок настроек Hide WP Admin уведомляет владельца сайта о том, что адрес входа в админ-панель будет скрыт и по прежнему адресу будет отдаваться 404-я ошибка, а также предлагает подтвердить желание изменить адрес.

Следующий блок WordPress Login URL содержит поле для ввода нового буквенно-цифрового адреса и предупреждение о том, что тем, кто использует плагины кэширования, необходимо внести адрес новой страницы авторизации в список исключений, чтобы эта страница не кэшировалась.

Заключительный блок настроек HTTP Authentication

, насколько я понял из перевода, предназначен для включения/отключения аутентификации и организации доступа по учетным данным пользователей сайта. Если кроме вас, в админке сайта никто не работает, оставьте выбранным значение по умолчанию: Disable HTTP Auth.

Как следует из скриншота, в качестве примера мной выбран для авторизации адрес: http://vervekin.ru/qwerty. Остается только запомнить его, чтобы использовать в дальнейшем, и сохранить настройки.

Дополнение

Здесь же можно сказать и о том, что виджету META, появляющемуся на сайте при первой установке WordPress и содержащему ссылки на вход/выход и ссылку на разработчиков CMS — не место в сайдбаре (на каждой странице).

Простой способ от него избавиться: в консоли блога выбрать пункт меню Внешний вид — Виджеты и перетянуть мышкой этот виджет в зону неиспользуемых виджетов (влево и вниз), после чего он перестанет отображаться.

Расскажите об этой статье в соцсетях:

Как защитить вход в админку WordPress от взлома?

Вы наверняка уже знаете как можно попасть в админку WordPress?

Сделать это можно как минимум четырьмя способами, добавив к адресу вашего сайта следующее:

  1. /admin, т.е. так: http://вашсайт/admin
  2. /wp-admin
  3. /login
  4. /wp-login.php

В общем-то, все три первых варианта редиректом (перенаправлением) приведут вас всё равно на страницу: http://ваш_сайт/wp-login.php

Получается, что любой желающий сможет добавить к адресу Вашего сайта любую из четырёх выше описанных приставок и увидит вход админку:

Как защитить вход в админку WordPress? Примитивные меры и WPS Hide Login

 

Конечно же, это совсем не значит что этот любой желающий сможет также легко попасть в админку, ведь ему нужно еще знать Имя пользователя или Ваш e-mail и Ваш пароль.

Если Ваш пользователь-администратор имеет логин: admin, manager, root, administrator, user – то это совсем не осмотрительно с Вашей стороны и злоумышленнику останется только угадать или подобрать Ваш пароль.

Кроме того, вы увидели надпись: Имя пользователя или e-mail ? Да, да, именно e-mail WordPress может использовать как Имя пользователя. А Вы ведь могли где-нибудь на сайте указать E-mail адрес, который совпадает с E-mail пользователя-администратора. Получается первое, что может попробовать злоумышленник – это ввести Ваш E-mail и тут WordPress ему снова поможет, ведь если E-mail не подходит он увидит такое сообщение:

Как защитить вход в админку WordPress? Примитивные меры и WPS Hide Login

а если E-mail правильный, WordPress-напишет что пароль для него не верный:

Как защитить вход в админку WordPress? Примитивные меры и WPS Hide Login

В итоге, мы имеем ситуацию при которой потенциальному злоумышленнику для взлома Вашего сайта (доступа в админку) нужно будет только угадать или подобрать Ваш пароль.

Как же защитить вход в админку от потенциальной угрозы? Ответ прост – постараться увеличить количество неизвестных, необходимых для входа.

А теперь давайте подробнее:

  1. По возможности, сделайте так чтобы E-mail пользователя-администратора на сайте нигде не упоминался – публичный E-mail должен быть каким-нибудь другим.
  2. Ваш пароль должен быть не простым, при установке WordPress сам генерирует для вас сложный пароль, если не хотите его использовать придумайте какой-нибудь более менее сложный пароль, включающий в себя маленькие и большие символы, цифры и какие-нибудь символы типа -, ?, _ и т.д.
  3. Имя Вашего пользователя тоже не должно быть простым, никаких: admin, manager, root, administrator, user  и прочих простейших слов!
  4. И наконец, нужно ввести третью самую главную неизвестную – поменять URL-адрес входа в админку, для этого установите простой плагин:  WPS Hide Login

 

WPS Hide Login

Как защитить вход в админку WordPress? Примитивные меры и WPS Hide Login

Простой, бесплатный и довольно популярный плагин, позволяющий изменить URL-адрес входа в админку.

После установки и активации плагина, вам нужно перейти в раздел админки: Настройки / Общие, далее прокрутить страницу до самого низа и увидеть всего один параметр добавляемый этим плагином:

Как защитить вход в админку WordPress? Примитивные меры и WPS Hide Login

По умолчанию плагин предлагает использовать вход http://вашсайт/login – но это отнюдь не самый лучший вариант! Придумайте что-нибудь своё, например: yyy12_go )))

После изменения этого параметра не забудьте нажать на кнопку Сохранить изменения – иначе при активном плагине у вас будет вход через http://вашсайт/login

Обязательно попробуйте выйти и снова зайти в админку, но уже по новому адресу входа, который вы сами  придумали и главное не забудьте его!

После изменения точки входа в админку, при попытке зайти по стандартным URL-адресам пользователь будет получать 404 страницу ошибки.

Внимание! Если вдруг Вы забудете новый адрес входа в админку, вам нужно будет отключить данный плагин. Сделать это можно не попадая в админку при наличии доступа к папкам и файлам сайта. Нужно просто переименовать или удалить папку плагина wps-hide-login, которая будет в папке plugins ( папка plugins находится в папке wp-content ).

В итоге: после применения всех выше перечисленных мер мы должны получить защиту входа в админку с тремя неизвестными: E-mail / Имя пользователя, сложный пароль и свой уникальный URL-адрес входа – а это может значительно усложнить потуги юных хакеров )

Как защитить и спрятать админку WordPress от взлома и подбора пароля

Еще год назад у меня очень часто нагрузка на сервер превышала предел допустимого по тарифу лимита. При этом проблема была не в самих сайтах, а банальной атаке злоумышленников на админку, с целью получить доступ для каких-то своих целей.

Сегодня я расскажу как справился с проблемой, что советую и вам сделать на всякий случай у себя.

ВНИМАНИЕ!!! Рекомендую способ двойной авторизации, вместо представленного на этой странице.

Соль всей ситуации в том, что сам процесс перебора пароля создавал нагрузку на сервер, т.к. шло обращение к БД. Установленный плагин Login Lockdown справлялся со свое работой, но злоумышленники постоянно меняли свой IP.

Это стало известно после анализа файла логов сервера. Если вы так же в будущем будете анализировать данный файл, то не забудьте исключить свой компьютер из списка. Для начала узнайте как проверить ip в офисе и дома.

В результате было принято решение сменить адрес формы логина в админку, а так же прикрыть админку для всех посторонних, у кого не мой IP.

Стоит заметить, что некоторые хостинг-компании сами автоматически создали для всех пользователей новый адрес админки. Если вы пользуетесь услугами подобных хостингов, то дальше не читайте статьи и не тратьте время.

Как сменить адрес админки WordPress

Раньше публиковал такую статью Меняем URL страницы авторизации на WordPress. Здесь вроде бы и похожий результат, но эффект и назначение другие.

Не забываем делать резервные копии файлов, с которыми работаем.

  • Для начала скопируем файл wp-login.php из корня сайта (там где лежит wp-config.php) на ftp к себе на компьютер.
  • Переименовываем его как душе угодно. Например vhod.php
  • Открываем этот файл бесплатной программой Notepad++ (или чем вам удобнее редактировать) и подменяем все вхождения фразы wp-login.php на vhod.php.

Сделать это быстро можно нажатием сочетания клавиш CTRL+F в Notepad++. Ну а в появившемся окне вводим:

как защитить админку

Вот так за секунду я заменил во всем файле нужное мне вхождение фразы. Попадалось оно 12 раз.

Новый файл закидываем на ftp.

Аналогичную штуку нужно будет провернуть в файле general-template.php, который найдете в папке wp-includes тут же на ftp. Т.е. меняете вхождение фразы wp-login.php на vhod.php, а само название файла не меняете!

Теперь там же в корне сайта у вас есть файл .htaccess. Тоже копируем его к себе на компьютер и открываем на редактирование (можно обычным блокнотом Windows Notepad). Вставляем такой кусок кода, который блокирует доступ всем к файлу wp-login.php

<Files wp-login.php> Order Deny,Allow Deny from all </Files>

<Files wp-login.php>

Order Deny,Allow

Deny from all

</Files>

Именно данный шаг снял нагрузку, а так же спрятал форму авторизации. Нагрузка была снята за счет вставки представленного кода в .htaccess: если шло обращение к http://site.ru/wp-login.php, то отдавало 403 ошибку, а не 404.

Повторим кратко алгоритм работы:

  • Переименовываем файл wp-login.php на произвольное имя и подменяем в нем вхождения названия на новое.
  • Аналогично подменяем в файле general-template.php старое название wp-login.php на новое.
  • Прописываем в файле .htaccess запрет к доступу wp-login.php для всех

После обновления WordPress останется поправить только файл general-template.php. Но т.к. обновляется движок не так уж часто - это мелочь по сравнению с эффектом.

Ставим ограничение на вход по IP через .htaccess

В качестве дополнительных мер по защите сайта мною было принято ограничение на вход в админку по IP. Проблема решалась очень просто: создаем пустой файл .htaccess и добавляем в него такой код

order deny,allow allow from 192.168.0.1 deny from all

order deny,allow

allow from 192.168.0.1

deny from all

Файл сохраняем и закидываем в папку wp-admin там же в корне сайта.

Вместо моего IP из примера поставьте свой настоящий. Притом можно добавить несколько IP с новой строки каждый:

order deny,allow allow from 126.142.40.16 allow from 195.234.69.6 deny from all

order deny,allow

allow from 126.142.40.16

allow from 195.234.69.6

deny from all

Если IP динамический, то можете поставить цифры только до первой-второй-третьей точки:

order deny,allow allow from 126.142. allow from 195.234.69. deny from all

order deny,allow

allow from 126.142.

allow from 195.234.69.

deny from all

На этом все.

Защищаем и прячем админку через .htaccess

4.8 (95%)
Проголосовало: 4

Давай, оцени статью!

все про административную панель WordPress

Вступление

Админка WordPress или административная часть сайта WordPress, предназначена для управления содержимым сайта: редактирование статей, смена тем, размещение виджетов, управление медиафайлами, редактирование кода сайта, включая CSS внешнего вида.

Админка WordPress — вход

Все группы пользователей WordPress, кроме подписчиков, могут входить в административную панель сайта. Правда, у каждой группы пользователей, свои допуски к редактированию содржания.

Будем считать, что вы администратор и имеете все права на управление сайтом.

Однако, даже администратор, не может войти в админку WordPress без логина и пароля. Логин и пароль администратора, задается при установке WordPress. Там же, его стоит запомнить.

Стоит отметить, что в админку могут входить и другие пользователи, если им назначена соответствующая роль пользователя. Для разных ролей пользователей внешний вид админики меняется, убираются некоторые функции по управлению. О ролях пользователей подробно в статье Пользователи WordPress: группы и роли пользователей.

Адрес для входа в админку WordPress

URL для входа в незащищенную админку сайта, следующий:

  • http://ваш_сайт.ru/wp-login.php или
  • http://ваш_сайт.ru/wp-admin/

Как попасть в админку с сайта

Чтобы попасть в административную часть сайта с его лицевой части, нужно на сайте разместить виджет «Мета». Он имеет четыре ссылки: Вход, Регистрация, RSS записей, RSS комментариев, ссылка на WordPress. Три последние ссылки можно убрать. Читать: Редактируем виджет Мета.

Если вы забыли пароль и логин для входа в админку WordPress, дело неприятное, но не «смертельное». Есть несколько вариантов их восстановить.

Как восстановить пароль для входа в админку

Чтобы восстановить пароль администратора для входа в админку, можно воспользоваться одним из трех рекомендованных способов. О них читать в статье: Восстановить пароль администратора WordPress.

Как вспомнить логин администратора

Прежде всего, логин администратора из административной панели сайта изменить нельзя. Для смены имени администратора нужно «идти» в phpMyAdmin.  Как поменять имя администратора, я подробно писал в статье: Смена имени пользователя WordPress.

Как поменять пароль для входа в админку WordPress

Если вы вошли в админку и хотите поменять свой пароль администратора, откройте вкладку Пользователи →Ваш профиль. В строках: «Новый пароль» и «Повторите новый пароль», поменяйте пароль для входа в админку. Старый пароль удалите из КЭШа паролей браузера.

Вход в админку WordPress, через акаунт WordPress.com

Можно упростить вход в административную панель сайта, синхронизировав свой акаунт на сайте с акаунтов на  WordPress.com. Для синхронизации можно использовать плагин Jetpack. В 33 возможности плагина Jetpack входит модуль авторизации, через аккаунт WordPress.com.

админка WordPress Вход

Как уберечь админку WordPress от взлома

Взлом админок WordPress, одно из любимых занятий непонятно кого. Поэтому стоит сразу защитить свою админку WordPressот попыток взлома. Сделать это можно несколькими способами, коснемся нескольких из них. Самый простой способ, установить один из плагинов Captcha. О плагинах капчи статья: 13 Captcha плагины WordPress: плагины для вставки Капчи на сайт

Плагины безопасности WordPress

Установите на систему один из плагинов безопасности wordpress. Почти, во всех плагинах этого типа, есть модуль защиты админки от несанкционированного входа. Защищается админка по-разному: ограничивается количество неправильных попыток входа, меняется и/или шифруется адрес входа в админку и т.п. Подробнее в статьях:

 

Посмотрим на содержание админки WordPress.

Что входит в админку wordpress

Меню админки, со всеми ссылками на вкладки  управления расположено слева страницы.

Подробно о вкладках управления лучше почитать в подробной статье: Консоль WordPress. А здесь я расскажу, как настроить внешний вид админки.

Настраиваем внешний вид админки WordPress

Настройки внешнего вида админки, находятся вверху страницы на выезжающем экране. Называется она «Настройка экрана» и присутствует на каждой вкладке админки, со своими элементами настроек.

Посмотрим, как он меняет внешний вид админки на примере Консоли – главной страницы админки.

админка WordPress

Открываем «Настройки экрана» и в нужных чекбоксах ставим галочки. Отмеченные модули консоли появляются на странице консоли. Все просто. Количество модулей будет увеличиваться по мере установки новых плагинов.

Вывод

Дизайн админки WordPress со временем меняется. Недавно добавились новые цветовые гаммы (они на вкладке Пользовате—Ваш профиль), но принципиально она остается неизменной. Это левая панель консоли и верхнее техническое меню.

©www.wordpress-abc.ru

Другие статьи раздела: Администрирование WordPress

Похожие посты:

Как защитить WordPress от взлома? Подбор пароля к админке. Настройка Login Lock.

Привет! Вчера я написал статью о том, как сломали мой сайт на DLE и подсунули мне вредоносный код, вот сама статья DLE: как найти вредоносный код на сайте после взлома?. После этого случая, буквально через несколько дней, были попытки подобрать пароль к админке WordPress и взломать мой хороший, посещаемый сайт. Хоть эти два сайта находятся на одном хостинге, точнее находились, я не думаю что эти два случая как-то связаны между собой.

Все началось с того, что вечером я заметил повышенную нагрузку на хостинг. Посещаемость не увеличивалась, и другой необычной активности на сайтах я не наблюдал, все как всегда. Я сразу почему то подумал, что это сайт на DLE создает дополнительную нагрузку, тем более на нем недавно был обнаружен вредоносный код. Было уже поздно, и я решил, что на следующий день перенесу его на новый хостинг, точнее на новый аккаунт, от греха подальше.

Утром я увидел, что нагрузка уже была 50 единиц, это при 120 допустимых. Обычно у меня такая нагрузка наблюдается ближе к вечеру. Я быстро написал письмо в службу поддержки хостинга, у меня кстати ihc.ru и быстро начал переносить недавно купленный сайт на другой аккаунт.

Не успел я полностью перенести сайт, как пришло ответ от поддержки хостинга. В нем было написано, что к моему сайту,  который имеет неплохую посещаемость, пытаются подобрать пароль, это и создало такую большую нагрузку на CPU. Они указали IP адрес, с которого меня пытаются взломать и сказали, что они его заблокировали. Я в шоке и немного напуганный, первый раз блин такое :).

По сути, IP это не проблема, заблокировали один, будет другой. Нужно было быстро что-то делать. Я полез искать плагины для WordPress, для блокировки IP, если пароль был неверно введен несколько раз.

Нашел плагин Login Lock и даже с первого раза я не прогадал, везучий я  :). Плагин действительно классный, сейчас напишу как правильно его настроить.

После установки плагина Login Lock в моем случае, сразу снизилась нагрузка на хостинг и плагин начал блокировать другие IP, с которых меня все еще хотели взломать. В это же день, к вечеру, плагином  Login Lock было заблокировано три разных IP адреса, это при том, что у меня на сайте почти нет зарегистрированных пользователей.

Настройка плагина Login Lock на WordPress

Значит, скачиваем плагин и устанавливаем его. Активируем плагин и переходим на страницу настроек Login Lock, «Параметры» — «Login Lock».

Приступаем к настройке. Первым делом, нужно внести настройки в виденную желтым область, ну а можно оставить все как есть.

Я выделил первые три поля в желтой области цифрами:

1 — это количество попыток ввода пароля при входе в админ панель WordPress. То есть, если пароль будет неправильно введено три раза то IP будет заблокирован.

2 — время которое должно пройти между этими попытками.

3 — время, на которое будет заблокирована IP адрес, после трех неправильных попыток ввести пароль.

Вы можете указать другие значения, которые считаете нужными.

Дальше по пунктам:

Email all admins? — я поставил Yes, это значил, что при  блокировке IP адреса, администратору сайта будет отправлено письмо. Проверил, работает и очень удобно.

Enable the password policies shown below?  — это что-то по настройке паролей. Ставим Yes, потому что если поставить нет, то несколько пунктов ниже будут недоступны. А для полной безопасности они нам нужны.

Require password changes: — в поле ввода, можно указать количество дней, через которое, нужно будет сменить пароль вам и всем пользователям на сайте. Я отключил эту опцию, просто установив 0.

Minimum password length: — минимальное количество символов в пароле. Это по желанию.

Password strength: — допустимый уровень надежности пароля. Я установил High, сложный. Это значит, что пароли всех пользователей и ваш в том числе, должны быть сложными с использованием разных знаков, типа [email protected]#$%^&*. После включения этой опции, установить пароль 123456 у вас не получится.

Password recycling: — пароль переработки, ставим No.

Logout idle users — можно задать количество минут, по истечению которых, в случае простоя сайта, плагин будет выходить за вас. То есть нужно будет заново водить пароль и логин, что бы войти на сайт. Мне это не нравится, поэтому поставил 0.

Нажимаем кнопку «Update Settings» для сохранения настроек.

Ниже вы наверное заметили, еще настройки, выделены красным. А если красный, то значит осторожно!

Настройки в пункте Force Password Changes Now, дают возможность сменить пароли абсолютно всем пользователям. Это может пригодиться, если ваш сайт уже взломали. Без особой надобности, лучше не лесть.

И еще один пункт, Blocked IP Addresses в нем отображаются IP, которые заблокированы на данный момент. Есть возможность снять блокировку преждевременно.

Вот и все, это отличный способ защитить сайт на WordPress от взлома, а точнее от подбора пароля к админке. Конечно же, делать такое нужно сразу при создании нормального сайта, потому что никто не застрахован, ну а мы как всегда, делаем когда уже прижмет :). Удачи друзья!

Как защитить админку WordPress: на 100% проверенные способы

Админ-часть является наиболее уязвимой из всех разделов сайта. Так, попав сюда, злоумышленник получает полный доступ ко всему сайту и может делать все, что ему заблагорассудится (от простого сообщения, что сайт взломан, и до частичного нарушения работы или полного удаления контента).

Зачем защищать админку?

Часто владельцы сайтов не придают особого значения защите админки, о чем потом жалеют, когда становятся жертвами взлома. WordPress, в силу своих открытости и популярности во всем мире, находится под пристальным вниманием хакеров. Конечно, разработчики движка довольно оперативно исправляют найденные ошибки безопасности, но также быстро и находятся новые, от которых можно пострадать, пока они не будут исправлены.

Способы защиты

Существует ряд мер, приняв которые, Вы сможете на достойном уровне обезопасить Ваш сайт от недобросовестного влияния.

Выбираем правильные логин/пароль администратора

Самый первый шаг к защите – это правильные логин и пароль администратора. Крайне не рекомендуется использовать в качестве имени пользователя типа admin или administrator. Если у Вас уже создан админ-пользователь с “нежелательным” именем, то достаточно будет просто сменить логин пользователя. Не забудьте потом удалить пользователя admin или administrator.

Пароль должен быть от 8 до 10 символов и включать как строчные/прописные буквы, так и цифры, а также другие символы (точка с запятой, знаки вопроса/восклицания и др.)

Изменяем адрес админ-панели

По умолчанию, в WordPress для входа в административную панель используются адреса:

http://site.ru/wp-admin/
http://site.ru/wp-login.php

В силу популярности движка, эти адреса довольно сильно подвержены атакам. Для обеспечения безопасности всего сайта их следует изменить на те, которые будете знать только Вы. Для этого существует довольно простой в управлении плагин Rename wp-login.php. Благодаря ему, Вы можете сами задать, по какому адресу будете получать доступ в админ-панель.

Устанавливаем дополнительную форму авторизации через .htaccess

Файл .htaccess отвечает за настройку веб-сервера Apache и дает возможность конфигурировать работу сервера в директориях Вашего сайта (например, менять название индексных файлов, устанавливать права доступа к файлам/каталогам, выполнять редиректы). В данном случае файл установит дополнительную форму ввода логина и пароля перед тем, как попасть на авторизацию в админку. С примерами, установкой и настройкой файла .htaccess Вы можете ознакомится по ссылке.

Защита админ-панели от перебора паролей

Еще одна важная деталь защиты админки – ограничение количества ввода пароля. Так, если злоумышленник все-таки дошел до формы входа на сайт и пытается подобрать пароль, то логично будет после нескольких неудачных попыток его заблокировать. Для этого можно воспользоваться специальными плагинами. Одним из таких является плагин Limit Login Attempts. Для активации защиты плагин достаточно установить и активировать.

Итоги

Приняв вышеуказанный ряд мер, Вы сможете защитить свою админку от большинства возможных уязвимостей: теперь злоумышленнику ее сложнее будет обнаружить и подобрать к ней логин/пароль. Конечно, это не гарантирует Вам 100% защиты, так как всегда находятся новые уязвимости, нарушающие работу сайта. Но если не делать никаких шагов в сторону безопасности, то вероятность сбоя во много раз возрастает.

Если Вам понравилась статья — поделитесь с друзьями

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *