Безопасность от взлома админ панели WordPress

30000 WP сайтов взламывались КАЖДЫЙ день в 2013 году

Сейчас 2016й и надеюсь статистика должна быть иной. Но Это не меняет факта что самая популярная система для блогеров WP пользуется спросом у взломщиков. Дать понять хакерам о том — что Вас не стоит взламывать важное условие. Еще более Важное условие обезопасить своих посетителей.

Существует множество способов уйти от взлома WordPress.

Ограничение доступа к странице авторизации по IP

Один из самых простых и эффективных. Прежде чем перейти к мануалу вот список наиболее популярных брешей у хакеров для взлома вордпресс сайтов:

  • Сбор данных о подлинности — подбор части ответа сервера о том что верно — логин или пароль. Поочерёдная проверка двух таблиц хакерами.
  • Грубая сила — софт с подбором паролей. Перебор пар лог/пасс для входа в Вашу адм панель.
  • Доступность выяснения версии Вашего WP движка. В случае открытого доступа к данным о том какая версия ВП вами использована. Хакеры могут использовать доступных бреши в безопастности.
  • Регистрация доступная для всего Мира.
    Ограничение в регистрации по ГЕО данным. Постарайтесь запретить регистрацию для стран не попадающих под вашу целевую аудиторию.

Уверен парни тут умеют использовать технологии и поставить разработку сайтов в безопасный режим.

Как работает метод лимитирования доступа к панели входа в вордпресс?

Для работы понадобится ФТП доступ к файлу .htaccess и обязательное условие исполнения данного скрипта хостером. Бывают случаи когда хостеры не позволяют управлять htaccess файлами. И в данном случае Вам понадобится передать необходимые правки для вашего домена в тех поддржку хостера

Если Ваш интерент провайдер предлагает услугу статического IP — можете использовать её и подключите правки к Вашему домашнему интренету. Если у Вас динамический адрес, можно будет использовать маску всей подсети

Узнать свой текущий IP поможет 2ip.ru

Если Вы пользуетесь ВПН — вам в любом случае после правок в htaccess будет необходимо его отключить.

Вариант А — Static IP

В самый верх .htaccess файла дописываем


RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^SYMBOL\.SYMBOL\.SYMBOL\.SYMBOL
RewriteCond %{REMOTE_ADDR} !^IP Address InsertTwo$
RewriteCond %{REMOTE_ADDR} !^IP Address InsertThree$
RewriteRule ^(.*)$ - [R=403,L]

SYMBOL — нужно заменить на цифры в Вашем IP. Перед цифрами ставится ТОЧКА. В данном примере три статических адреса. Скопировав строку с каждым можно сделать столько доступов к админ панели сколько нужно.


RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://(.*)?ВАШ_ДОМЕН [NC]
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteRule ^(.*)$ - [F]

Замените ВАШ_ДОМЕН — чтобы это был адрес Вашего сайта.

Если необходимо то проще использовать первые две пары чисел в вашем текущем IP.

Первый метод со статическим адресом в таком случае даст доступ по всем остальным адресам. И Ваш интерент провайдер не нужно будет просить о выделении сатического IP. Диапозон адресов в нём в любом случае идентичен.

Если вы использовали другие методы для безопасности своего сайта и особенно входа в WP-admin — жду Ваши комментарии!

Leave a Reply