Изучая логи плагина Limit Login Attempts

Есть в библиотеках плагинов WordPress такой плагин как Limit Login Attempts, основная задача которого защитить административную часть WP от автоматического подбора пароля (брут-атак). Поскольку вход в админку WP по умолчанию ничем не защищен, тема подбора пароля - излюбленная тема хакеров, которые с помощью специализированного программного обеспечения пытаются подобрать пароль практически к каждому сайту на WordPress (это не преувеличение: брут-атакам в автоматическом режиме подвергаются даже никому не нужные сайты на WordPress)!

О чем расскажет Limit Login Attempts

Как работает Limit Login Attempts? Суть работы плагина в ограничении попыток авторизации. Проще говоря, если пользователь ввел неправильный логин или пароль, то его попытка авторизации изолируется на некоторое время. Возможное число попыток авторизации, время изоляции и другие параметры администратор плагина задает в его настройках.

Страница настроек Limit Login Attempts
Страница настроек Limit Login Attempts

Интересной особенностью этого плагина является лог изоляций. Limit Login Attempts может записывать все попытки взлома вашей административной части, записывая IP и вводимые логины (пароли, вводимые в скрытое поле "password" он не может записывать). Имея на руках такую статистику, можно сделать не двухзначные выводы о простых мерах безопасности.

Каким не должен быть логин администратора WordPress

Допускаете ли вы возможность, что ваш пароль администратора теоретически может быть угадан злоумышленником? Успех очень велик, если вы используете не более 8 символов, если ваш пароль состоит из одних цифр, взломать его - вообще пустяк. Особенно, когда подобрать пароль к вашей админке пытаются тысячи ботов одновременно.

Но мы можем усложнить жизнь хакеру, используя нестандартный логин администратора, в купе с паролем, он создаст дополнительную мощную защиту, сводя на нет попытки хакера подобрать пару: логин-пароль.

И здесь вы уже наверное поняли, что Ваш логин admin (во всяком случае очень распространенный логин администратора) - является уязвимым местом Вашего сайта! Есть и другие "опасные" вариации и они очень легко прослеживаются в логах работы плагина Limit Login Attempts. Так, в логах плагина, можно увидеть примерно следующее:

Логи неудачных авторизаций плагина Плагин Limit Login Attempts
Логи неудачных авторизаций плагина Limit Login Attempts

Суммируя логи неудачных авторизаций (на своем сайте я насчитал их около 2000 за 2 месяца... и это при том, что до момента авторизации я поставил 5-ти секундную паузу), можно вычленить самые опасные логины, которые не рекомендуется использовать на вашем сайте WordPress:

admin;

Admin;

administrator;

ваш_сайт.ру;

ваша@почта.ру;

[email protected]ваш_сайт.ру

[email protected]ваш_сайт.ру

Это ТОП-список логинов, которые используются в первую очередь при брут-атаках. Логи я изучал своего сайта, но та же картина будет наблюдаться и на любом другом сайте под управлением WordPress.

Как изменить логин администратора в WordPress

Если Вы уже используете на своем сайте один из перечисленных потенциальных для взлома логинов, вы наверняка хотите его сменить на более сложный. К сожалению, в настройках Wordpress сделать это невозможно.

Изменить логин администратора WordPress можно одним из перечисленных методов:

Изменение логина администратора WP с помощью плагина

Можно воспользоваться плагином Username Changer. Установите плагин, активируйте, воспользуйтесь возможностью сменить логин администратора, как показано на рисунке:

Сменить логин администратора с помощью Username Changer
Сменить логин администратора с помощью Username Changer

Изменение логина администратора WP с помощью другого логина

Создайте нового пользователя с необходимым Вам логином (Пользователи - Добавить нового) выбрав для него роль (права) администратора. Выйдите из админки и авторизуйтесь под новым администратором. Теперь вы сможете удалить первого администратора. Не забываем при удалении  переназначить все его записи (связать все содержимое) на логин нового администратора.

В зависимости от используемой версии WP это может выглядеть примерно так:

Удаление администратора Вордпресс другим администратором
Удаление администратора Вордпресс другим администратором

Изменение логина администратора WP с помощью phpMyAdmin

Войдите в phpMyAdmin на своем хостинге, выберите базу данных, которая используется на Вашем сайте.
Переходим во вкладку "SQL". В открывшемся окне, вводим следующий SQL-запрос:

UPDATE wp_users SET user_login = 'admin2' WHERE user_login = 'admin';

В зависимости от Вашей версии phpMyAdmin это может выглядеть примерно так:

Изменение логина admin с помощью phpMyAdmin
Изменение логина admin с помощью phpMyAdmin

Дополнительные средства защиты администратора WordPress

Широкоупотребимый логин администратора WordPress мы сменили на менее употребимый, но у злоумышленника остается возможность узнать логин администратора, используя уязвимые места WordPress.

Первым делом, изменим вывод имени администратора на сайте. Для этого, в административной части → Пользователи → Ваш профиль → Отображать как: выберем имя из предложенного списка, отличное от логина администратора.

Вторым делом отключите информационные сообщения админки, добавьте строчку кода в файл functions.php вашей темы:

add_filter('login_errors',create_function('$a', "return null;"));

Третьим делом, закроем технические страницы, вида:

http://ваш_сайт.ru/?author=

Для этого в файл добавим в .htaccess (можно в самый конец) код редиректа с таких страниц на главную:

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ http://ваш_сайт.ru/? [L,R=301]
Redirect 301 /author http://ваш_сайт.ru

В зависимости от используемой темы или версии Wordpress, логин администратора можно узнать другими хитрыми способами. Но закрывая тот или иной метод, вы уже усложняете жизнь хакеру, а соответственно и охлаждаете его пыл.

В качестве резюме

Данные рекомендации будут полезны, если Вы не используете по каким-либо причинам методы сокрытия административной части Wordpress. Но и не будут лишними, если Вы используете такие методы: например, ввод каптчи при входе в админку, блокирование ip-адреса после неудачных авторизаций, подмена адреса входа в админку и т.д.

В любом случае, осмотрительному, осторожному в своих решениях и поступках человеку легче избежать опасностей, неоправданных рисков ("береженого бог бережет")!

 

Оцените материал:
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (7 голоса, рейтинг: 4,29 из 5)
Загрузка...

Вячеслав - типичный интернетчикВячеслав Скоблей (ака files) - типичный интернетчик. Скитаюсь интернетом, пишу на PHP, увлекаюсь созданием веб-сайтов на Wordpress, решаю многочисленные проблемы, которые до появления интернета не существовали...

Специализируюсь на безопасности сайтов: защищаю сайты от атак и взломов, занимаюсь лечением вирусов на сайтах и профилактикой...

Наверняка у Вас есть вопросы, просьбы или пожелания. Не стесняйтесь спросить, я отвечаю всегда быстро...

1 комментарий

  1. Мих says:

    Кароче, стоит у меня этот плагин. Расскажу про свой опыт. Пароль у меня сложный - не подберёшь, имя администратора изменено. Сам файл wp-login.php закрыт в htaccess для доступа со всех ip кроме моего. В общем, я подумал что всё нормально с безопасностью - а фиг там, сообщения об изоляции всё равно приходили на почту, причём с точным именем администратора (отличным от admin). В один день вообще больше 100 изоляций получилось, пришлось разбираться в чём проблема. Оказалось - все атаки идут через файл xmlrpc.php , который, по сути, не нужен для 99,9% web-мастеров. Естественно я его снёс - сразу же тишина, изоляции прекратились. Так что сразу же удаляйте этот файл и полностью запретите к нему доступ в htaccess, т.к. он появляется вновь после обновлений WP. Кстати - и это не 100% гарантия защиты от взлома, так что делайте копии сайта регулярно.

Добавить комментарий

Ваш адрес email не будет опубликован.