Вступление
Содержание статьи:
Недавно, на один из моих сайтов WordPress, наблюдал нашествие спам регистраций в сочетании со шквалом попыток авторизоваться на сайте. Волны накатывали до нескольких десятков регистраций в час. После принятых мер атаки прекратились.
Базовая защита сработала
В раках базовой защиты WordPress я использую плагин Wordfence. На нашествие попыток незаконной авторизации плагин реагировал адекватно, согласно настройкам. Он блокировал незаконные авторизации, запрещая регистрацию с этих IP на 2 часа. Такие были мои настройки.
- Наблюдая такой мощный спам, я первым делом изменил время блокировки пользователей с незаконными попытками входа с 2 часов до 2-х месяцев. Настройка: Amount of time a user is locked out.
- Блокировку неудачных попыток входа, снизил до 3-х. Настройки: Lock out after how many login failures и Lock out after how many forgot password attempts.
- Вторым шагом я хотел заблокировать в настройках плагина диапазон IP адресов, с которых пытаются регистрироваться. Но они были слишком разбросаны по диапазону.
- Блокировать страны в бесплатной версии плагина Wordfence нельзя.
К сожалению ни эти, ни другие настройки плагина Wordfence атаки не прекратили. Пришлось думать дальше.
Примечание. Вероятно, можно было не обращать снимание на атаки и дать плагину отрабатывать свои задачи. Но уж очень раздражали эти попытки несанкционированного входа.
Выход найден
Стоит отметить, что не помогало ни отключение регистрации, ни отключение комментирования.
После пробы нескольких плагинов защиты (в частности IP Geo Block и других уже не помню каких), сработал очень простой плагин под названием «Protect Your Admin» (ru.wordpress.org/plugins/protect-wp-admin/).
Protect Your Admin плагин
Данный плагин скрывает страницу wp-admin, переименовывая её URL (например, /wp-admin или /wp-login.php).
Protect Your Admin исправляет явную дыру в безопасности в сообществе WordPress: хорошо известная проблема URL панели администратора.
Все знают, где находится админ-панель, в том числе и хакеры. Защита WP-Admin решит эту проблему, позволив администратору настроить URL-адрес своей панели администратора и заблокировав URL консоли по умолчанию.
Установив плагин «Protect WP-Admin» я смог быстро изменить URL-адрес страницы входа «sitename.ru/wp-admin» на что-то вроде «sitename.com/nevoydesh»/, настройка: New admin url slug.
После этого любой пользователь, в том числе и администратор (если вы не внесли его в фильтр по ID пользователя в настройке «Advance Settings») при попытках открыть дефолтную страницу авторизации, будет перенаправлен на домашнюю страницу сайта.
У плагина есть некоторые дополнительные фильтры доступа, позволяющие Администратору ограничивать доступ гостей и зарегистрированных пользователей к wp-admin, на тот случай, если вы захотите, чтобы некоторые из ваших редакторов вошли в систему классическим способом. Вкладка настроек Advance Settings.
Важно, создавая новую ссылку для страницы авторизации, не забудьте её скопировать и сохранить. Иначе уход от хакерской атаки на сайте WordPress закончится потерей вашего входа на сайт.
Если вы потеряли новый URL авторизации, по FTP переименуйте (не удаляйте) папку с этим плагином и войдите классическим способом через /wp-admin или /wp-login.php.
Итог
Как видите отбиться от хакерской атаки на сайте WordPress не трудно. Однако, как я только отключаю этот плагин, попытки спам входов возобновляются, через некоторое время.
Источник: www.wordpress-abc.ru