30000 WP сайтов взламывались КАЖДЫЙ день в 2013 году
Сейчас 2016й и надеюсь статистика должна быть иной. Но Это не меняет факта что самая популярная система для блогеров WP пользуется спросом у взломщиков. Дать понять хакерам о том — что Вас не стоит взламывать важное условие. Еще более Важное условие обезопасить своих посетителей.
Существует множество способов уйти от взлома WordPress.
Ограничение доступа к странице авторизации по IP
Один из самых простых и эффективных. Прежде чем перейти к мануалу вот список наиболее популярных брешей у хакеров для взлома вордпресс сайтов:
- Сбор данных о подлинности — подбор части ответа сервера о том что верно — логин или пароль. Поочерёдная проверка двух таблиц хакерами.
- Грубая сила — софт с подбором паролей. Перебор пар лог/пасс для входа в Вашу адм панель.
- Доступность выяснения версии Вашего WP движка. В случае открытого доступа к данным о том какая версия ВП вами использована. Хакеры могут использовать доступных бреши в безопастности.
- Регистрация доступная для всего Мира.
Ограничение в регистрации по ГЕО данным. Постарайтесь запретить регистрацию для стран не попадающих под вашу целевую аудиторию.
Уверен парни тут умеют использовать технологии и поставить разработку сайтов в безопасный режим.
Как работает метод лимитирования доступа к панели входа в вордпресс?
Для работы понадобится ФТП доступ к файлу .htaccess и обязательное условие исполнения данного скрипта хостером. Бывают случаи когда хостеры не позволяют управлять htaccess файлами. И в данном случае Вам понадобится передать необходимые правки для вашего домена в тех поддржку хостера
Если Ваш интерент провайдер предлагает услугу статического IP — можете использовать её и подключите правки к Вашему домашнему интренету. Если у Вас динамический адрес, можно будет использовать маску всей подсети
Узнать свой текущий IP поможет 2ip.ru
Если Вы пользуетесь ВПН — вам в любом случае после правок в htaccess будет необходимо его отключить.
Вариант А — Static IP
В самый верх .htaccess файла дописываем
RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^SYMBOL\.SYMBOL\.SYMBOL\.SYMBOL RewriteCond %{REMOTE_ADDR} !^IP Address InsertTwo$ RewriteCond %{REMOTE_ADDR} !^IP Address InsertThree$ RewriteRule ^(.*)$ - [R=403,L]
SYMBOL — нужно заменить на цифры в Вашем IP. Перед цифрами ставится ТОЧКА. В данном примере три статических адреса. Скопировав строку с каждым можно сделать столько доступов к админ панели сколько нужно.
RewriteEngine on RewriteCond %{REQUEST_METHOD} POST RewriteCond %{HTTP_REFERER} !^http://(.*)?ВАШ_ДОМЕН [NC] RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteRule ^(.*)$ - [F]
Замените ВАШ_ДОМЕН — чтобы это был адрес Вашего сайта.
Если необходимо то проще использовать первые две пары чисел в вашем текущем IP.
Первый метод со статическим адресом в таком случае даст доступ по всем остальным адресам. И Ваш интерент провайдер не нужно будет просить о выделении сатического IP. Диапозон адресов в нём в любом случае идентичен.
Если вы использовали другие методы для безопасности своего сайта и особенно входа в WP-admin — жду Ваши комментарии!