Попытки взлома админ-панели в WordPress

Категория Сервисы и сайты 5 комментарии

Сегодня хочется написать о хакерских атаках и защите вашего ресурса от них.

Защита WPУже несколько недель мой блог атакуют неизвестные с разных IP, пытаясь подобрать пароль от админ-панели. К счастью, то ли подбор у них плохой и медленный, или мой пароль слишком сложный, но им этого так и не удалось. Однако, всё бы ничего, если бы эти самые переборы паролей не создавали довольно ощутимую нагрузку. Про нагрузку я не шучу, многие известные хостеры забили тревогу из-за серьезности ситуации. Дело в том, что перебор паролей носит характер DDoS-атак, так как осуществляется многопоточно и с разных IP адресов.
Тем у кого стоит плагин Better WP Security, может приходить сообщение на почту с примерно таким содержанием:

Site Lockout Notification
A хост, 93.171.173.229(you can check the host at http://ip-adress.com/ip_tracer/93.171.173.229) был заблокирован сайт WordPress в http:// until Wednesday, July 17th, 2013 at 12:53:57 pm UTC из-заслишком много попыток входа. Вы можете войти на сайт вручную сняв блокировку, если необходимо.

Это значит, что ваша админка подвергается взлому.

Как защитить сайт от взлома если он создан на CMS WordPress?
Чтобы повысить защиту от способа описанного выше, есть один из самых простых и эффективных вариантов. Нужно установить http авторизацию на админ-панель Вашего блога/сайта, следуя несложной инструкции:
1. Создайте файл с названием .htpasswd в корне сайта и при помощи сервиса http://htaccesstools.com/htpasswd-generator/ создать содержание для него, а именно указать желаемый логин и пароль.
2. Если вы используете WordPress, то в файл .htaccess, который находится в корне сайта добавьте следующие строки (где "полный_путь_к_директории_сайта" - это абсолютный путь от корня файловой системы. Например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd) :

<Files wp-login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile /полный_путь_к_директории_сайта/.htpasswd
require valid-user
</Files>

Далее идем по ссылке /wp-login.php и если вы увидели вот такую авторизацию как на картинках снизу, значит всё сделано правильно и вы повысили защиту вашего блога или сайта.
http авторизация на админ-панель WordPress блога. Браузер Chromehttp авторизация на админ-панель WordPress блога. Браузер IEhttp авторизация на админ-панель WordPress блога. Браузер FireFox

Буду рад узнать о ваших методах борьбы со взломами.

Схожие по теме записи:

Автор F5Seo   @   6 Август 2013 5 комментарии

5 Комментарии

Комментарии
Авг 10, 2013
17:06
#1 Татьяна :

Спасибо, полезная статья, довольно таки просто реализуемый способ защиты, нужно будет сделать на сайтах wordpress

[Ответить]

Авг 10, 2013
17:19
#2 Татьяна :

Всё, замотивировали) Пошла сделаю, а то потом опять другие дела отвлекут…

[Ответить]

Авг 11, 2013
12:32
#3 благодарю :

спасибо, хороший метод

[Ответить]

Янв 18, 2014
12:09
#4 Владимир :

Мне каждый день система присылает письма, что пытались авторизоваться под логинами Админ, Admin, Administrator (не советую никому эти логины оставлять, так как для злоумышленников это половина дела уже сделана). Кроме этого я поставил плагин, который ограничивает количество авторизаций до 2 раз, после третьей плагин блокирует IP на год, чтобы отбить охоту возвращаться на сайт у этих умников.

[Ответить]

Оставить комментарий

Предыдущая запись
«
Следующая запись
»