Трёхуровневая защита блога на WordPress

Всем здрасьте! У вас хромает защита блога на WordPress? Повысьте её с помощью трёх отличных плагинов: Captcha, Login LockDown и Rename wp-login.php.

Установить эти плагины вы можете в своей админке. Для этого необходимо перейти в раздел «Плагины», далее вверху нажать на кнопку «Добавить новый», вбить в поиск название первого плагина и нажать кнопку «Поиск плагинов». В открывшемся списке находим наш плагин, после чего нажимаем на кнопку «Детали», где необходимо проверить совместимость плагина с вашей версией WordPress. Если всё нормально, то устанавливаем плагин. То же самое проделываем с оставшимися двумя плагинами.

Теперь более подробно о каждом из установленных плагинов защиты WordPress.

Плагин Captcha

Этот плагин предназначен защитить ваш блог от массированной атаки ботов. И надо признать, справляется с этим Captcha весьма успешно, т.к. боты пока ещё не научились производить арифметические действия с числами, что уж говорить про слова, которые также доступны в этом плагине.

Переходим к настройке плагина Captcha. Как видно внизу на картинке, капча у нас должна отображаться только для формы логина, то бишь для админки нашего сайта. Отображение капчи для формы регистрации и восстановления пароля для блогов неактуально. Также необязательно отображение капчи для формы комментариев, если у вас установлен плагин Akismet, который защищает от спама.

Далее в настройках идёт блок BuddyPress, который я опущу по той простой причине, что он нам совершенно не нужен. К тому же, этот блок доступен только в платной версии плагина Captcha.

Двигаемся ниже. Заголовок для КАПЧИ в форме можете придумать любой какой хотите. Символ, отображающий обязательное поле, я не трогал. В арифметических действиях для КАПЧИ я везде поставил галочки. Также я поступил и с уровнем сложности КАПЧИ. После выполнения настроек нажимаем кнопку «Сохранить изменения».

С этой минуты плагин Captcha у нас настроен и уже работает. Можете проверять плагин, заодно выполняя несложные арифметические вычисления. А мы переходим к настройке следующего плагина.

Плагин Login LockDown

Чтобы настроить плагин Login LockDown, нам необходимо найти в админке раздел «Параметры». Наводим на этот раздел и справа от него всплывут подразделы, где находим подраздел Login LockDown и жмём на него. Далее мы попадаем на страницу с настройками плагина Login LockDown.

Здесь разберём всё по пунктам.

Max Login Retries — максимальное количество попыток ввода логина и пароля. Я поставил две попытки, после чего доступ к админке с IP, пытающегося зайти в админку будет закрыт на 16,5 часов.

Retry Time Period Restriction (minutes) — время, в течение которого можно пытаться ввести логин и пароль.  Двух минут вполне достаточно для двух попыток.

Lockout Length (minutes) — время, через которое посторонний с заблокированного IP может снова сделать целых две попытки для доступа в вашу админку. Здесь я поставил 1000 минут, что равняется 16,5 часам, о которых было упомянуто в первом пункте.

Lockout Invalid Usernames — засчитывать ли неверный ввод логина в общее число попыток. Ставим «Да», т.к. лишней защиты не бывает. Таким образом, если хакер ошибётся и с логином, и с паролем, то это будет его единственная попытка, после чего его IP будет заблокирован на 16,5 часов.

Mask Login Errors — маскировка неверно введённых данных. Также ставим «Да» и взломщик не поймёт вообще, вводит ли он хоть что-то правильно.

Currently Locked Out — здесь выводятся все заблокированные IP и время до их разблокировки. Если по каким-то причинам вам потребуется разблокировать заблокированный IP, то необходимо перед ним поставить галочку в чекбоксе и нажать ниже кнопку Release Selected.

После этого сохраняем наши настройки, нажимая по кнопке «Update Settings». Плагин теперь на страже вашего блога.

Плагин Rename wp-login.php

Ну и самое интересное блюдо у нас, конечно же, в самом конце. Этот плагин изменяет стандартный адрес для входа в админку WordPress на любой другой. Благодаря этому злоумышленникам путь в вашу админку закрыт раз и навсегда. Не рекомендую вам ставить в качестве адреса для входа в админку название вашего сайта или любые ваши ники в Интернете. Ставьте только то, что неизвестно никому, кроме вас.

Вводим наши секретные символы и нажимаем кнопку «Сохранить изменения». Всё! Последний плагин настроен и уже вовсю работает.

Кстати, в этом плагине есть на мой взгляд лишние функции в виде замены стандартных ссылок WordPress со знаком вопроса и цифрами на ЧПУ, а также есть возможность добавить произвольные префиксы для URL-адресов рубрик и меток. Всё это изначально есть в WordPress, просто необходимо полазить в настройках. В будущем, я планирую сократить данный плагин до его единственной функции, которая заключается в замене стандартного входа в админку на произвольный.

Таким образом, у нас теперь стоит на вооружении продвинутая трёхуровневая защита блога на WordPress. Но, как говорится, предела совершенству нет. Оставайтесь на связи! 🙂