Защита WordPress: плагин для защиты администраторского доступа

Продолжаем защищать наш блог на движке WordPress с помощью плагина Semisecure Login Reimagined для надежного соединения. Сейчас мы с вами поговорим о защите администраторского доступа. 

Если вы заходите в админку, то у вас возникает страница входа в административную панель сайта или блога. Мы в ней пишем свой логин, пароль, нажимаем кнопку войти и заходим в администраторский раздел. Однако, при передачи этих данных, возможна также и их утеря. То есть, с помощью специального скрипта, злоумышленники получают введенные вами сюда данные и взламывают ваш сайт или блог.

Если мы зайдем на какой-нибудь серьезный портал, где требуется ввод логина и пароля (например YouTube или электронная почта), то при создании или при входе в аккаунт, в адресной строке браузера появляется значок в виде замка и рядом надпись https — это означает, что данное соединение происходит с помощью безопасного протокола. Для того, чтобы установить такой протокол на свой сайт или блог — это будет стоить больших денег. То есть, существует такая услуга у доменных регистраторов для того, чтобы обезопасить вход пользователя в свой раздел. Однако опять же повторюсь — это очень дорогая услуга и для маленького небольшого блога она не представляется возможной.

Для того, чтобы нам с вами защитить вход в административную часть WordPress, существует специальный плагин Semisecure Login Reimagined. Сам плагин конечно же не является столь защищенным, как эти дорогие протоколы, однако он шифрует наше соединение с помощью специальных ключей и таким образом добавляет безопасность нашей CMS.

Сама установка плагина производиться стандартным способом через форму поиска плагинов. Когда найдете плагин Semisecure Login Reimagined, установите и активируйте его. Далее переходите в меню «Параметры» в пункт «Semisecure Login«.

Semisecure Login Reimagined

После входа вы окажитесь в разделе (1) Keypair Settings (Параметры ключей) и увидите свой уже длинный сгенирированный ключ (4) для входа в административную панель. Этот ключ вам запоминать не нужно, он генерируется автоматически с помощью данного плагина и шифрует соединение.

  • В настройке Number of bits (5) можно выбрать степень защищенности. Здесь нам рекомендуют оставить на 2048 bits — это оптимальный средний параметр между производительностью и защищенностью. Так что оставляйте ключ на 2048 bits.
  • Force alt method (6) — предлагается альтернативный метод защиты и нам его выбирать не нужно. Рядом приводятся те случаи, в которых данный ключ будет использован- это включается автоматически. Это ставится автоматически, поэтому здесь ничего делать не нужно.
  • Далее нажимаем на кнопку «Generate Key» (7). Наш ключ сгенерирован и теперь можно настроить данный плагин. Переходим в пункт «Misc Settings» (2).

Защита WordPress

  • User login (8) — шифрует пароли при входе в систему. Галочка должна быть поставлена.
  • User administration (9) — шифрует пароли при управлении пользователями (при редактировании пользователя или при создании нового).
  • Secret-key algorithm (10) — здесь можно выбрать алгоритм секретного ключа. Я оставил по умолчанию на MARC4.
  • Nonce (11) — используется для защиты от повторного входа. Я оставил по умолчанию Print directly.

В принципе здесь все нужно оставить по умолчанию, потому что выставлены более оптимальные настройки. Теперь переходим в пункт Integration (3). Здесь можно выбрать дополнительные файлы, которые будут зашифрованы с помощью скрипта (13). На данный момент у нас по умолчанию плагин шифрует файлы (12). Также для того, чтобы защитить еще какие-то файлы, которые вы хотите, то необходимо прописать строчки (13). Ниже показано как происходит шифрование (14). В принципе по настройкам плагина здесь все.

плагин для защиты администраторского доступа

Далее выйдите полностью из своего сайта или с помощью другого браузера, попробуйте зайти в административную панель своего блога или сайта. В форме авторизации вы увидите надпись Semisecure Login is enabled. То есть, вход в администраторскую зону WordPress защищен с помощью данного плагина. Теперь при вводе своего логина и пароля, данный плагин осуществляет их передачу в зашифрованном виде. Напоследок я хочу вам порекомендовать ознакомиться с комплексной защитой блога.

Zavitushka-dlya-sayta

 
rss-1Следить за новыми статьями на этом блоге!

 Нажимая на кнопку, вы соглашаетесь с нашей политикой конфиденциальности и пользовательским соглашением.

Комментарии 29

  • Спасибо за полезный плагин. Теперь в раздумьях. Я стараюсь уходить от многих плагинов из-за нагрузки, а этот вроде бы и поставила. Интересно- а защитит он от спама? Одолели уже спамеры. Ваш блог мне понравился, есть что почитать. Спасибо. Беру в закладки.

    • От спама он не защитит, только шифрует данные при вводе логина и пароля, чтобы никто не взломал блог и не вошел в панель управления. Против спама есть много плагинов, но я вам рекомендую ставить два — это Antispam Bee и Akismet.

  • Сергей! Спасибо, Вам. Один из них стоит Akismet. Про Antispam Bee нужно бы почитать и узнать, не знала про этот плагин. Вчера пришло около 100 писем со спамом, пришлось ручками чистить. Еще заметила, как только посещаемость на блоге растет и заходит много людей, активируются эти спамеры. Буду заходить. Я сама все стараюсь изучать, много сразу не доходит. У Вас доходчиво все, буду забегать. Много полезного. Удачи Вам и наращивания всех пузомерок. Все у Вас будет прекрасно!

    • Спасибо Людмила! Я пока еще не писал про защиту от спама, но в дальнейшем обязательно напишу, так как проблема очень актуальна. Чем выше популярность у блога или сайта, тем более он привлекателен для спамеров. Также я заметил, что у всех спамеров отсутствуют граватарки и в основном они по несколько раз спамят одну какую-то популярную статью.

  • А нагрузка не сильно из-за плагинов увеличивается? Я вот боюсь, как бы сайт медленно грузиться не стал. Хочется защититься от всех злоумышленников, но не в ущерб скорости загрузки.

    • Маргарита, я вам действительно рекомендую установить этот плагин Semisecure Login Reimagined на свой блог CMS WordPress! Очень нужный плагин! Нагрузку он как и все плагины дает, но нужно и иметь свою надежную защиту — как от спама, так и от взлома! Я рекомендую вам пройтись по всем своим плагинам и отключить те, которые не представляют очень большой важности и без которых можно обойтись на своем блоге. Ну а если есть дополнительные финансы, то лучим вариантом будет повышение тарифа услуг на своем хостинге. Все равно, рано или поздно придется его повысить, так как по мере роста будет все больше посетителей, а от сюда еще дополнительная нагрузка.

  • я вот поставила такой плагин, теперь админку открыть не могу!

    • Значит, он конфликтует с другим похожим плагином. У меня сейчас стоит этот плагин и проблем с ним нет.

  • Сейчас тоже в поисках плагина для защиты от спама и подбора паролей. Но и сами плагины нагружают сервер, поэтому палка на 2 концах )))

    • Да, плагины создают нагрузку. Но когда дело касается защиты, то плагинами и другими методами защиты лучше не пренебрегать!

  • Сереж привет! Продолжаю работу над блогом. Вопрос о защите. Хочу установить данный плагин и еще Login Dongle. Можно так сделать? Или что то одно лучше установить? А еще вопрос, вдруг я не смогу попасть в админку, что тада делать?
    *********************
    Хотела поменять кнопки социалок, но от яндекса они настолько мелкие, что я их сама с трудом различаю. У кого-то увидела похожие на твои со счетчиком. Там и код предлагали. Но у меня или ползет нижняя часть блога или этих кнопок нет вообще.

    • Лара, я бы рекомендовал установить iThemes Security. Хоть там очень много настроек, зато он надежнее в защите. *good* Если вдруг не сможешь попасть в админку блога, то нужно пробовать через FTP-клиент. Там вроде нужно изменить конфигурацию некоторых файлов. Например, htcacess. Но тут я тебе точно не опишу. Сам с этим никогда не сталкивался. Таких подобных проблем у меня не было.

      На счет кнопок от Яндекса — согласен с тобой. Мелковаты они. :-( Да и выбор не большой. А у меня раньше стояли кнопки от Share42. Они мне так нравились, но с этими отрицательными отзывами решил их удалить. Сейчас по мне, так большие кнопки или маленькие, я разницы уже не вижу. Если человек захочет, то он всегда нажмет на кнопку, независимо, большая она или маленькая.

      Но у меня или ползет нижняя часть блога или этих кнопок нет вообще.

      Попробуй зайти на блог с другого браузера. Просто, когда вносишь какие-то изменения, может отдаваться старая кэшированная страница. У меня такое тоже было, когда устанавливал код на свой блог. Тогда просто зашел с другого браузера и смотрел, как все изменилось в реальности.

      • *shock* блииин, чем дальше в лес, тем темнее и страшнее…и зачем я вообще связалась с этими сайтами *wacko* … фтп… коды… конфигурация и прочее, прочее…
        Сереж, а у тебя он стоит? А чем те плохи? Слабенькие да? У Александра я знаю подробная инструкция есть, я читала, но ни фига не поняла.

        • и зачем я вообще связалась с этими сайтами *wacko* … фтп… коды… конфигурация и прочее, прочее…

          Вот такой вопрос я себе тоже иногда задаю. Тоже напрягает все это лазенье по различным кодам, перебор различных тем и всякое такое. Очень много времени нужно на эту байду! *wacko*

          Сереж, а у тебя он стоит? А чем те плохи? Слабенькие да?

          Да, Лариса! На всех блога стоит. А те слабенькие. У них меньше возможностей. И один походу редко обновляется. Я их раньше использовал, но теперь удалил. У Александра я тоже читал про настройки. Скажу, с первого раза не осилил. Много всего. Но что ж поделаешь. Нужно же как-то защищать свои блоги.

  • Сереж, установила на новый сайт этот плагин, вышла из админки и капец, не могу зайти, при вводе пароля и логина чистый лист. (

    • Лариса, удаляй этот плагин. Он уже давно не поддерживается разработчиком. Надо будет потом статью мне обновить. Раньше он нормально работал (я проверял), а сейчас рискованно его использовать. Наверное конфликт с другими плагинами защиты возник или с новой версией. В общем, удаляй его через файловый менеджер хостинга.

  • Что мне пока можно установить? Посоветуй. Статей там пока кот наплакал, ему всего то полгода и кстати улетел под агс. Вот хочу его вытащить.

    • Сразу устанавливай:

    • Email Address Encoder
      iThemes Security
      TAC
      Are you robot? google recaptcha for wordpress
    • Вот это основные плагины защиты. Есть много других, но некоторые не подходят, а некоторые я еще не пробовал устанавливать.

  • Сереж хотела у тебя через поиск найти про плагины, а мне 403 код выдает:

    Вы не имеете доступа к / POISK / на этом сервере.

  • Email Address Encoder вот он от чего? От спама, я правильно поняла? :-) Про него вообще не могу найти информацию, как устанавливать и нужно ли настраивать. Если он от спама, то у меня стоит анти спам.

  • Я вчера тыкалась мыкалась, психанула и опять установила плагин лимита попыток, а он меня сразу бац и на 990 часов заблокировал *dash* Придется сегодня опять через хостинг лезть. *wacko* :-D

  • А что вы думаете по этому поводу?

    Ваш e-mail не будет опубликован. Обязательные поля помечены *

    Нажимая на кнопку «Отправить», вы соглашаетесь с нашей политикой конфиденциальности и пользовательским соглашением.