Здравствуйте! Столкнулась с проблемой и не знаю как бороться. Кто-то два дня подряд интенсивно подбирал логин и пароль в админку сайта. У меня и раньше такое было, так что приходилось время от времени блокировать назойливые IP, с которых пытались подобраться. Но два дня подряд кто-то пытается взломать сайт с разных IP-адресов. В этом случае надеюсь только на плагины защиты… Как можно себя обезопасить? Как посмотреть все ли хорошо с сайтом (а может смогли подобрать уже логин/пароль и что-то добавить в код)? P.S. Если что…знаю, что логин не должен быть admin, а пароль должен быть сложным и не храниться на компе (на марафоне девочки научили). Плагин защиты - WP Security
Поставила как-то себе такой. Через недели 2 началось. Тоже подбирали пароль систематически. При чтении что же нужно делать, этот плагин сразу предлагал свою платную версию) Типа только она сможет помочь прекратить это) Закрались сомнения, что это сам плагин и делает, что бы купили у него полную защиту. В общем снесла я его. Поставила Цербер, он лучше на мой взгляд, там даже если ай пи статический, то можно сделать вход в админку только для своего ай пи. Потом правда и его удалила)
Есть плагин iThemes Security (formerly Better WP Security). Он меняет адрес админки, чтоб знали его только вы, подставляя уникальный секретный ключ. А вообще, у него функционал огромный
Есть еще плагин Limit Login Attempts — ограничение количества ввода неверных паролей. Можно установить лимит попыток штуки 2 - 3.
Так у меня тоже 3 неверных попитки на один ай пи стоит… Только раньше срабатывало, так как заходы были из одного ай пи, а теперь каждый раз с разных… Вот и не блокирует =(
Ну не знаю…Уже было такое, что подбирали интенсивно пароль/логин пару дней…а потом кроме себя в админке был еще какой-то пользователь…Я его быстро удалила и отправила ай пи в черный список… Потом было все тихо и теперь опять начали подбирать… Боты говорите? И даже могут доступ в админку подобрать и зайти… Ну не знаю… но ничего не делать - это же не выход. Я хочу понимать, что сделала все возможное и максимально обезопасила свой сайт, в который вложила много труда… Только вот как это максимально сделать - это вопрос. Иду для начала менять страницу входа в админку - это, как мне кажется, не помешает.
разрешить доступ к админке только для своего айпи, прописав правило в файле htaccess Это будет что-то типа: <Files wp-login.php> order deny,allow deny from all allow from126.142.40.16 </Files>
Спасибо большое, но у меня ай пи меняется (динамический), так что я не могу воспользоваться этим способом. А так да - это самый лучший вариант - либо я…либо никто.
На самом деле можете. Если вы постоянно (например, каждый день) входите в админку, сайт и браузер вас помнят, и пускают по адресу /wp-admin/, который вы не закрываете. Когда "сессия" заканчивается, на время убираете запрет на вход, логинитесь, правило в файлик возвращаете, пользуетесь. Был у меня несколько месяцев интернет с динамическим айпи, хранил два варианта файла htaccess для каждого сайта: с запретом на вход в wp-login.php ибез оного. Просто подгружал нужные файлы по мере необходимости. В принципе, жить можно.
Ничего не делать можно только в одном случае - логин отличный от admin и пароль не менее 10 знаков с символами, цифрами и буквами разного регистра
У меня стоит All In One WP Security он ограничивает число попыток входа можно добавить капчу к логину и паролю (пример решить) можно блокировать/разрешать доступ с определенных IP. У меня тоже динамический, но там последние цифры меняются и можно задать разрешенный доступ с маски IP, подставив звездочку 186.128.205.*
