Как защитить свой блог на WordPress от подбора пароля

Я пользуюсь двумя хостингами: первый расположен в Австрии, второй российский. Где-то с месяц назад была неприятная ситуация — сайты, находящиеся на российском хостинге, практически легли. Попытки мои прояснить ситуацию ничего не дари — российский хостер ссылался на то, что виноваты какие-то скрипты и за 700 рублей в час предлагал свои услуги по администрированию. Пришлось разбираться самому. Оказалось, что по всему миру сайты на платформе WordPress были атакованы злоумышленниками. Подобная активность замечена многими хостинг- провайдерами. Используя тысячи IP — адресов и подбора пароля , неизвестные пытаются получить доступ к панели управления сайтом.

Что характерно — австрийский провайдер свои сайты защитил быстро. Схема такая — администратор, чтобы зайти в админ-панель сайта, сначала должен залогиниться на сайте хостера, только после этого под его IP можно будет зайти в админ-панель. Согласитесь, что при таком положении дел не очень-то получится подбирать пароль.

А вот на российском хостинге дело оказалось много хуже, тут по известной российской поговорке спасение утопающих оказалось делом рук самих утопающих. Я, кстати, поэтому не люблю отечественные хостинги, предпочитая им зарубежные.

Тем более дело неприятно, что я заканчивал ремонт маминой квартиры, заказал отделочные материалы на http://trikirpicha.com/materiali/otdelochnye-materialy, в том числе гипсокартон. Осталось выровнять одну стену и сделать потолок, зашпаклевать и потом наклеить обои. Ремонт как раз в самом разгаре, а тут проблемы с сайтами, что крайне неприятно, ведь если сайты лежат, то  из поиска вылетают страницы, уходят посетители и падает доход. На что тогда отделочные материалы покупать? Пришлось срочно откладывать на пару дней ремонт и заниматься поиском того, как защитить от атаки блоги. С помощью Гугла нашел довольно действенный способ.

Чтобы защитить ваш сайт от подбора паролей, есть следующий способ защиты ( дополнительные логин и пароль для защиты панели управления) :

Зайдите по адресу htaccesstools.com/htpasswd-generator/, на сайте увидете поле Username, в которое введите желаемый логин и в поле Password желаемый пароль (используйте сложные логин и пароль).
Нажмите кнопку «Create . Htpasswd file» — получите примерно такой результат в виде строки текста:
mylogin:$apr1$TlY/9y78$lemYI3FDjTlf43WC34zuY1

Создайте через менеджер файлов хостинг- панели или через ftp в директории / www текстовый файл с именем. Htpasswd и добавьте полученную строку в него.
Затем найдите в директории с вашим сайтом (нужно повторить для всех сайтов с WordPress) файл .Htaccess (если не существует — его нужно создать) и добавить следующие строки в конце записей в файле:
<Files «wp-login.php»>
AuthType Basic
AuthName «ADMIN ONLY !»
AuthUserFile /var/www/ВАШ_ЛОГИН_В_Хостинг_Панели/data/ www/.htpasswd
Require Valid — user
< / Files >

Затем нужно зайти в директорию wp-admin и по аналогии добавить в файл .Htaccess строки:
AuthType Basic
AuthName «ADMIN ONLY !»
AuthUserFile /var/www/ВАШ_ЛОГИН_В_Хостинг_Панели /data/ www/.htpasswd
Require Valid — user

Фразу «ВАШ_ЛОГИН_В_Хостинг_Панели» нужно заменить на ваш настоящий Логин в Хостинг-панели вашего хостинга.
Теперь вход в панель — управления дополнительно защищен.

Этот метод не даст взломать сайт, но не пресечет попытки это сделать, тем самым создавая большую нагрузку на сервер и на ваш сайт в частности. При таком варианте многочисленные запросы могут помешать нормальной работе сайта и не дать нормальным посетителям им пользоваться.
Поэтому не лишним будет запретить ботам даже пробовать подбирать пароли — это не даст увеличить нагрузку нагрузку на сайт и он должен работать

Для такой дополнительной защиты нужно прописать в файле .Htaccess в корне сайта дополнительные строки сроки:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI}. (wp-comments-post|wp-login)\.php*
RewriteCond %{HTTP_REFERER} ! .*example.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) http://% {REMOTE_ADDR}/$ [R = 301,L]
</ifModule>

Это не позволит пробовать авторизоваться тем, кто даже не зашел на страницу с формой авторизации.

Как защитить свой блог на WordPress от подбора пароля: 2 комментария

  1. Здравствуйте. В данный момент на моём сайте проблемы из-за ботов и сайт стал очень медленно грузиться и сервер не тянет. Применил то, что вы описали и надеюсь что всё придёт в норму. Большое спасибо за полезную статью.

    1. Можно еще закрыть ботам вход по IP, если они заходят из-под одних. Или можно перенести на DDOS-устойчивый хостинг

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *