Комментарии: Защита страниц логина от Brute Force атак

Автор: Анна

Анна — Sun, 25 Aug 2013 22:02:33 +0000

Спасибо, Владимир, как всегда актуальная тема.

Автор: Владимир

Владимир — Fri, 23 Aug 2013 14:54:20 +0000

Возможно такую статью и напишу (не уверен когда). Но пока для развития и интереса я порекомендовал бы Вам посмтреть видео-презентацию с WordCamp Russia 2013 - Константин Ковшенин: Как повысить скорость сайта на WordPress

Автор: AkaVirt

AkaVirt — Fri, 23 Aug 2013 12:51:03 +0000

Каждый новый плагин — потенциальная «дырка» в системе. WP — открытая CMS, найденые дыры латаются быстро и выходят обновления. По этому — меньше плагинов и держите актуальную версию WP.

Напишите статью по оптимизации производительности без плагинов.

Автор: Владимир

Владимир — Fri, 23 Aug 2013 08:15:57 +0000

Некоторые попросту называют конструкцию «exit» функцией, потому, что ее можно записывать как «exit()», а код в варианте «Разрешение доступа к странице логина только для себя» выглядел бы так:

function query_key_protection_for_login_page() {
   $QueryKey = '?SecretKey=25637653269';
   $myRequest = 'http://' . $_SERVER['SERVER_NAME'] . '/' . 'wp-login.php' . '?'. $_SERVER['QUERY_STRING'];

   if ( site_url('/wp-login.php').$QueryKey == $myRequest ) {
     // echo 'Строка запроса совпадает';
   } else {
     exit('Оба-на! Ну и зачем же ты сюда полез?');
   }
}
add_action('login_head', 'query_key_protection_for_login_page');

При этом перенаправления на главную не будет, просто будет выведено сообщение «Оба-на! Ну и зачем же ты сюда полез?».

А чтобы вообще никуда не перенаправлять и не выводить сообщений, можно просто использовать «exit» без параметров:

exit();

Кстати, можно использовать и функцию-синоним — «die()», которая будет делать то же самое:

die('Оба-на! Ну и зачем же ты сюда полез?');

или

die();

Автор: Юрий

Юрий — Fri, 23 Aug 2013 05:57:41 +0000

Здравствуйте, Владимир!
Возникло два вопроса:
1. Что такое конструкция exit и как в этом случае будет выглядеть код в варианте «Разрешение доступа к странице логина только для себя»?
2. Как сделать, чтобы перенаправление было не на главную страницу, а выдавало какую-то ошибку сервера (которая не сильно бы загружала сервер)?
Спасибо.

Автор: Владимир

Владимир — Sun, 18 Aug 2013 09:30:08 +0000

Виталий, странный у Вас вопрос, но все же…
Если уж потеряли пароль доступа на свой хостинг-аккаунт и у Вас даже нет возможности запросить пароль или смену пароля по e-mail, то нужно связаться с администрацией хостинга, которая должна Вам помочь.
Правда иногда могут быть трудности с доказательством того, что конкретный аккаунт действительно Ваш. Это нередко бывает, если Вы использовали какой-то бесплатный хостинг и не предоставляли владельцу хостинга никаких персональных данных, удостоверяющих вашу личность.

Автор: Виталий

Виталий — Sun, 18 Aug 2013 09:07:20 +0000

Интересно, а что делать, если потерял или забыл пароль от хостинга?

Автор: Владимир

Владимир — Sat, 17 Aug 2013 17:45:16 +0000

Evgeny,
используйте FTP-доступ только для конкретных задач, то есть временно, а после выполнения каких-либо работ с сайтом, отключайте FTP через хостинг-панель управления сайтом. FTP-доступ должен защищать хостер, ну а от вас требуется очень надежный пароль и своевременное отключение FTP.

SQL-injection все же чуток другое, чем брутфорс, хотя и ими тоже нередко пробивают именно доступ к паролю админа.

Очень неплохую защиту от SQL-injection например предоставляет плагин BulletProof Security для WordPeress, записывая в .htaccess кучу очень надежных блокировок против инжекций. На их форуме можете найти кучу советов, или просто посмотреть в коде самого плагина.

Автор: Evgeny

Evgeny — Sat, 17 Aug 2013 16:45:33 +0000

Владимир, Ваш способ интересен, но как защитить FTP-доступ?
Да и взлом чаще происходит не через тупой перебор, а с помощью SQL-injection.

Автор: Владимир

Владимир — Wed, 14 Aug 2013 19:27:54 +0000

«типа *** + пять = шесть» — это слабая капча, но все же прок от нее есть. Да и она в основном против коммент-ботов. Плагин ограничения попыток авторизаций тоже полезен, и поставьте в его настройках (если такие есть) максимум 2 попытки, а затем блокировка на полсуток минимум.
Если же сам случайно 2 раза ошибешься, то не проблема для админа — зайдя в панель управления сайтом (на хостинге) можно времено отключить плагин или подправить «блокировку» в базе данных.

Ну а самая «крутая» защита от попыток залогиниться — удалить, переименовать или сделать пустым (что-то вроде < ?php exit; ?>) файл wp-login.php, хотя потом, для того, чтобы самому залогиниться, нужно опять же например через FTP-доступ переименовать или вернуть файл на место. Неудобно, но результативно, особенно когда знаешь, что очень долго не будешь заходить в панель управления WP.