Здравствуйте, уважаемые читатели!
В сегодняшней статье мы продолжим рассмотрение особенностей входа в админку WordPress, а точнее, ее защите.
Нам осталось рассмотреть три вопроса:
- Защита админки от брутфорс-атак;
- Ограничение входа с помощью блокировки ip-адреса;
- Смена логина и пароля через php MyAdmin.
Защита админки от брутфорс-атак.
Брутфорс-атаки – это метод взлома сайта подбором логина и пароля. Конечно, такой взлом осуществляет не конкретный человек. Перебирать тысячи вариантов логинов и паролей под силу только компьютерной программе, которая может работать быстро и не имеет ограничений по времени. Такая программа, установленная на каком-то удаленном компьютере, может непрерывно «стучаться» в админку вашего сайта, пробуя различные варианты.
Используя специальные плагины, можно ограничить количество таких попыток. Для таких целей можно использовать плагин Limit Login Attempts.
Каковы его возможности?
Во-первых, после нескольких неправильных попыток входа с некоторого ip-адреса, этот адрес блокируется на заданное время. Во-вторых, если после этого неправильные попытки продолжаются, то этот адрес блокируется окончательно. Вы можете настроить и количество неправильных попыток и время блокировки.
Плагин Limit Login Attempts используется очень широко, несмотря на то, что он давно не обновлялся.
Но такими же функциями обладают и некоторые другие плагины. Например, плагин iThemes Security, о котором я уже писал. (Скачать руководство по его настройке можно здесь). Этот универсальный плагин имеет более 30 функций для защиты сайта на WordPress, в том числе и ограничение попыток входа в админку.
Еще один плагин, ограничивающий вход в админку WordPress – WordFence Security. Однако его недостатком считается то, что он слишком нагружает сервер. Его лучше использовать периодически для проверки сайта, а не постоянно.
Ограничение входа с помощью блокировки ip-адреса.
Еще один метод, с помощью которого админка WordPress защищается от посторонних посетителей, использует блокировку ip-адресов.
Каждый компьютер в сети имеет свой уникальный ip-адрес, состоящий из четырех чисел, разделенных точками, и вы можете запретить вход в админку WordPress со всех ip-адресов, кроме своего. Этот способ немного сложней, чем простое использование плагинов. Для его применения нужно уметь работать с файлами на вашем сервере.
Во-первых, сначала нужно узнать свой ip-адрес. Для этого можно воспользоваться онлайн-сервисом 2ip.ru.
Во-вторых, создать файл .htaccess в папке wp-admin.
В-третьих, в этом файле прописать следующий текст:
1 2 3 | Order deny,allow Deny from all Allow from ***.***.***.***, |
где вместо звездочек ставится ваш ip-адрес. Обратите внимание, слова «deny,allow» пишутся без пробела.
Этот файл можно создать с помощью онлайн-редактора, обычно предоставляемого хостингом, или сначала создать его на своем компьютере с помощью текстового редактора Notepad++, и потом закачать на сервер.
Однако этот способ не всегда применим в полной мере. Дело в том, что ip-адреса бывают статические и динамические. Если у вас адрес статический, то есть не меняется со временем, вы его прописываете в файл .htaccess и тем самым закрываете вход в админку для посторонних. Но чаще всего интернет-провайдеры предоставляют пользователям динамические ip-адреса, которые изменяются при каждом новом подключении. Что же делать в этом случае? Обычно провайдеры имеют определенный диапазон ip-адресов, образующий свою подсеть. Ее мы можем оставить открытой, а остальные адреса заблокировать. Для этого в файл .htaccess вписываем только первые два числа ***.***. с точками из определенного вами ip-адреса.
Смена логина и пароля через php MyAdmin.
Логин и пароль для входа в админку WordPress хранятся в базе данных вашего сайта, и изменить их можно с помощью программы php MyAdmin, которая служит для управления БД.
Для того чтобы это сделать, нужно зайти в панель управления вашим аккаунтом на хостинге. Эти панели на разных хостингах выглядят по разному, но всегда есть пункт php MyAdmin. Щелкнув на нем, мы попадаем в панель управления базами данных. Выбираем вкладку Базы данных, в списке баз находим свою и открываем ее.
Кстати, если вы не знаете название вашей БД, или для входа в нее от вас потребуют пароль, их предварительно можно найти в файле wp-config.php, находящемся в корневой папке сайта на сервере.
База данных состоит из нескольких таблиц, среди которых находим ту, в которой хранятся логин и пароль. По умолчанию она называется wp-users, но если вы каким-то образом, например, с помощью плагина iThemes Security, изменяли префикс, то вместо wp будет другой набор символов.
После открытия этой таблицы вы увидите логин и пароль. Не удивляйтесь, что вместо известного вам пароля будет другой. Дело в том, что в базе пароль хранится в зашифрованном виде. Теперь вы можете изменить свои данные. Для этого щелкаем на кнопке Изменить и в поле логин вводим новое имя. Прежде чем вводить пароль, в выпадающем списке перед паролем нужно выбрать MD5 для того, чтобы новый пароль был также зашифрован. После этого сохраняем изменения и пробуем войти в админку WordPress с новыми данными.
На этом пока заканчиваю. В следующей статье будет краткий обзор админ-панели WordPress. Подпишитесь на обновления блога, чтобы не пропустить ее и последующие материалы.
Напишите, была ли статья полезной для вас. Поделитесь с другими, используя кнопки социальных сетей.
Спасибо большое за отличную статью и информацию!!! Ставил плагин по защите админки и настраивал по айпи адресу…замучился сам блокировка идет через какое то время и сам на свой блог и админку попасть не могу=)))) снес его просто пока поставил сложный из 24 символов пароль=)) сейчас в поиске…
Александр, спасибо за кучу комментариев!
По-моему, самый лучший плагин для защиты сайта — iThemesSecurity.Он содержит целый комплекс защитных функций.