В этом уроке речь пойдет о плагине, который мы использовали для ограничения числа попыток входа для пользователей. Не так давно нам вновь напомнили о данном плагине, так что теперь мы расскажем о нем немного подробнее. Этот плагин называется Limit Login Attempts и применяется он для ограничения числа попыток входа на сайт для пользователей.

У вас нет проблем, если ваш проект не пытаются взломать недоброжелатели или хакеры, подбирающие пароль администратора для вашего сайта. Но к сожалению, такие люди никогда не переведутся, поэтому в данной статье речь пойдет о том, как отрегулировать число попыток входа на ваш сайт под паролем администратора или конкретного пользователя вашего сайта на основе WordPress.

Почему стоит ограничить число попыток входа на сайт для пользователя с учетной записью WordPress?

Иногда хакер может предположить, что знает ваш пароль, и разработать скрипт для подбора пароля путем повторных попыток. В этом случае и возникает необходимость ограничить число попыток входа на вашем сайте.

Достижение лимита неудачных попыток входа на сайт приведет к блокировке пользователя после того, как он превысит установленное число попыток авторизации на вашем сайте. Такой пользователь будет заблокирован на указанный вами период времени.

Настройки плагина блокировки доступа можно контролировать в панели администратора сайта. Эта панель также даст вам возможность проследить число и частоту появления тех людей, которые хотят взломать ваш сайт. Если вы заметите повторяющийся IP адрес, с которого к вашему сайту пытаются получить админ доступ, вы сможете забанить такой IP-адрес.

Как ограничить количество попыток входа для WordPress?

Для этого просто установите и активируйте плагин Limit Login Attempts.

Если вы не знаете, что такое плагины и как их устанавливать, посмотрите этот урок.

Далее перейдите в настройки установленного плагина: Параметры → Limit Login Attempts. Заполните поле с числом допустимых ошибочных попыток входа на сайт, а также продолжительность блокировки пользователя по времени и сохраните заданные настройки.

Также в логе вы сможете увидеть, сколько было провальных попыток входа на сайт, и сможете получать на свой электронный ящик уведомления о том, как часто конкретный пользователь пытался зайти на ваш сайт в учетную запись.

Фильтрация доступа к консоли WordPress по IP адресу

Помимо блокировки пользователя по провальным попыткам входа на сайт возникает вопрос фильтрации пользователей по конкретному IP-адресу.

В качестве меры предосторожности можно ограничить доступ к сайту путем фильтрации IP-адресов в файле wp-login.php. К примеру, мы уже ограничили доступ к директории wp-admin путем фильтрации по IP. Поэтому мы предлагаем вам ознакомиться еще и с тем, как ограничить доступ по IP к вашему файлу wp-login.php в WordPress. Заметим, что приведенное руководство — не совсем для новичков, так как требует некоторого опыта в настройке сайта на WordPress.

Откройте файл .htaccess и добавьте в него указанный ниже код в верхней части файла до того, как далее идет остальной код самого файла:

<Files wp-login.php>
        order deny,allow
        Deny from all

# whitelist West Palm Beach IP address
allow from xx.xxx.xx.xx

#whitelist Gainesvile IP Address
allow from xx.xxx.xx.xx

</Files>

Не забудьте при этом заменить указанные значения адресов IP вашими собственными. Единственным недостатком может стать наличие у вас динамического IP-адреса. В противном случае сбоев и проблем в работе такого фильтра не возникнет. Также после добавления кода собьется стиль для wp-login.php, но в вопросах защиты вашего сайта это не главное. Мы же ведь хотим просто ограничить число ошибочных попыток доступа к файлу и сайту.

Источник: WPBeginner

Вам понравился материал?

Добавить комментарий

Такой e-mail уже зарегистрирован. Воспользуйтесь формой входа или введите другой.

Вы ввели некорректные логин или пароль

Извините, для комментирования необходимо войти.

4 комментария

сначала новые
по рейтингу сначала новые по хронологии
Леонид

Скажите, пожалуйста, насколько необходима установка этого плагина на сайте WordPress, на котором пользователи регистрируются всего лишь по своему e-mail?

Скажем так, необходимость в этом методе защиты появляется тогда, когда у вашего сайта вырастает посещаемость до того уровня, когда он становится привлекательным для спам-ботов, которые начинают ломиться на ваш сайт и пытаться на него зайти путем перебора пароля. До тех пор необходимости в этом плагине особой нет.

Установка плагина: Duplicator 0.5.12

Загрузка архива с https://downloads.wordpress.org/plugin/duplicator.0.5.12.zip

Fatal error: Maximum execution time of 30 seconds exceeded in C:xampphtdocswordpresswp-includesclass-http.php on line 1589

вот такое сообщение при попытке установить плагин. Что это? И очень медленно почему выполняется каждая операция(

Екатерина

Большое спасибо! Очень полезная информация