Сегодня хочется написать о хакерских атаках и защите вашего ресурса от них.
Уже несколько недель мой блог атакуют неизвестные с разных IP, пытаясь подобрать пароль от админ-панели. К счастью, то ли подбор у них плохой и медленный, или мой пароль слишком сложный, но им этого так и не удалось. Однако, всё бы ничего, если бы эти самые переборы паролей не создавали довольно ощутимую нагрузку. Про нагрузку я не шучу, многие известные хостеры забили тревогу из-за серьезности ситуации. Дело в том, что перебор паролей носит характер DDoS-атак, так как осуществляется многопоточно и с разных IP адресов.
Тем у кого стоит плагин Better WP Security, может приходить сообщение на почту с примерно таким содержанием:
Site Lockout Notification
A хост, 93.171.173.229(you can check the host at http://ip-adress.com/ip_tracer/93.171.173.229) был заблокирован сайт WordPress в http:// until Wednesday, July 17th, 2013 at 12:53:57 pm UTC из-заслишком много попыток входа. Вы можете войти на сайт вручную сняв блокировку, если необходимо.
Это значит, что ваша админка подвергается взлому.
Как защитить сайт от взлома если он создан на CMS WordPress?
Чтобы повысить защиту от способа описанного выше, есть один из самых простых и эффективных вариантов. Нужно установить http авторизацию на админ-панель Вашего блога/сайта, следуя несложной инструкции:
1. Создайте файл с названием .htpasswd в корне сайта и при помощи сервиса http://htaccesstools.com/htpasswd-generator/ создать содержание для него, а именно указать желаемый логин и пароль.
2. Если вы используете WordPress, то в файл .htaccess, который находится в корне сайта добавьте следующие строки (где "полный_путь_к_директории_сайта" - это абсолютный путь от корня файловой системы. Например, для ISPManager он будет выглядеть так: /var/www/имя_пользователя/data/www/адрес_сайта/.htpasswd) :
<Files wp-login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile /полный_путь_к_директории_сайта/.htpasswd
require valid-user
</Files>
Далее идем по ссылке /wp-login.php и если вы увидели вот такую авторизацию как на картинках снизу, значит всё сделано правильно и вы повысили защиту вашего блога или сайта.
Буду рад узнать о ваших методах борьбы со взломами.
Всё, замотивировали) Пошла сделаю, а то потом опять другие дела отвлекут…
[Ответить]
спасибо, хороший метод
[Ответить]
Мне каждый день система присылает письма, что пытались авторизоваться под логинами Админ, Admin, Administrator (не советую никому эти логины оставлять, так как для злоумышленников это половина дела уже сделана). Кроме этого я поставил плагин, который ограничивает количество авторизаций до 2 раз, после третьей плагин блокирует IP на год, чтобы отбить охоту возвращаться на сайт у этих умников.
[Ответить]
17:06
Спасибо, полезная статья, довольно таки просто реализуемый способ защиты, нужно будет сделать на сайтах wordpress
[Ответить]