• Lock the server, similar to a /whitelist
• Permission to bypass the lockdown
• Command to check the lockdown status
• Notifications when players try to join during a lockdown
• YAML storage
• Fully customizable

Installation and Depencies
This script requires the addon SkQuery for it to work. You will also need the Skript plugin itself. Install both of these plugins and restart your server. Open the lockdown.sk file in a program like Notepad++ and customize it in the "options" section. Once you"ve done that, just save the file and drop it in the "scripts" folder under Skript, then all you have to do is type /skript reload lockdown and the script will be functional!

Permissions
- lockdown.lock - To lock the server and to end lockdowns
- lockdown.bypass - To bypass a lockdown
- lockdown.notify - To get notifications when the server gets unlocked or when a player tries to join during a lockdown
- lockdown.info - Can use /lock or /lock info to see the current lockdown status

Customization

SpoilerTarget">Spoiler: Customization Section

# ====================
# OPTIONS
# ====================
# p = prefix
# c. = colorcode (&a, &b, &1..)
# t. = text
# m. = message
options:
# Prefix used for all messages
p: &7[&cLOCK&7]

# Whether there should be a space between the lines and the help message
b.space: true

# Lines used for the help message
t.lines: &7=====================================

# Colorcode used for /command in help message
c.help: &c

# Colorcode used for the description in the help message
c.desc: &f

# Message that gets send to the executor when he removes the current lockdown
m.end: &aYou ended the current lockdown!

# Message that gets send to players with the notify permission when someone removes the lockdown
m.ended: &b%player% removed the current lockdown!

# Message that gets send to the player when he tries to remove an unexisting lockdown or when there is no lock active in a /lock info
m.notlocked: &cThe server is currently not locked!

# Message in /lock info when the lock is active
m.active: &aLockdown active

# The kick-message used for the lockdown (use %{_reason}% for the reason and %nl% for a new line)
t.reason: &c&lLOCKDOWN ACTIVE%nl%%nl%&fReason: &c%{_reason}%%nl%%nl%&7Sorry for the inconvenience!%nl%&bwww.example.com

# Message used to say that a lock is now active
m.start: &aLockdown activated! &fReason: &c%{_reason}%

# Message used when the player doesn"t have the right permission
m.noperm: &cYou do not have the required permission for this command!

# Message send to players with notify permission when a player tries to join during a lockdown
m.tried: &7%player% tried to join!

Здравствуйте, уважаемые читатели блога сайт ! Тема сегодняшней статьи: защита блога WordPress от взлома путем подбора пароля для входа в админку. Такой метод называют . Эта проблема очень актуальна, так как случаи несанкционированного доступа в святая святых блога, а именно в панель управления Вордпресс, к сожалению, совсем не редки.

Вообще тема безопасности Вордпресс очень обширна и не ограничивается только и , о которых я уже писал ранее. Гораздо более печальные последствия (даже представлять не хочется) могут наступить, если злоумышленники получат доступ в админку блога. Наша задача, сделать все возможное, чтобы этого не допустить. И сегодня я расскажу только об одном из способов усиления защиты блога. Встречайте, плагин безопасности WordPress Login LockDown .

Защита админки WordPress от взлома с помощью плагина Login LockDown

Самый простой способ взломать сайт, это подобрать логин и пароль для входа в панель управления. Надо сказать, что многие блоггеры сами облегчают работу взломщику на 50%, оставляя логин по умолчанию. И тогда ему остается только подобрать пароль.

А Вы поменяли логин пользователя или у Вас до сих пор стоит имя admin? Если нет, то сделайте это незамедлительно. Моя статья “ “, возможно, Вам в этом поможет.

Обязательно, сразу после установки движка, поменяйте пароль на более надежный (делаем около 20 символов, используя буквы верхнего и нижнего регистра, числа и спецсимволы). Это можно сделать прямо из админки, перейдя в меню “Пользователи ” – “Ваш профиль “. Дважды вводим новый пароль и сохраняем изменения, нажав кнопку “Обновить профиль “. Периодически меняйте пароль и не используйте его на других сайтах.

Такими нехитрыми действиями мы уже усложним взломщикам задачу. Но, допустим, они оказались упрямы и не оставляют попыток, используя специальные программы для подбора пароля. И тут нам на помощь приходит плагин защиты для WordPress Login LockDown.

Принцип действия плагина Login LockDown

Плагин фиксирует точное время и IP-адрес, с которого была сделана неудачная попытка входа в админку блога. Когда за определенный период времени будет совершено некоторое количество неудачных попыток, плагин блокирует доступ к сайту на заданное время. Выводится сообщение:

“Ошибка: Извините, но этот диапазон IP был заблокирован из-за слишком большого числа неудачных попыток входа. Пожалуйста, повторите попытку позже”.

Кроме того, Вы будете иметь список всех заблокированных IP-адресов и возможность их разблокировать в настройках плагина. Рассмотрим их подробнее.

Установка и настройка плагина безопасности Login LockDown

Установите и активируйте плагин. Подробно установку этого плагина я описал, в качестве примера, в статье “ “. Поэтому без лишних слов сразу перейдем к настройкам.

Переходим в меню “Параметры ” – “Login LockDown “.

На рисунке показаны настройки по умолчанию. Вы можете изменить их на свое усмотрение. Ниже я опишу, что означает каждый из пунктов и дам свои комментарии:

• 1. Max Login Retries – максимальное количество попыток для входа в админ панель блога. Думаю, больше трех ставить не имеет смысла.
• 2. Retry Time Period Restriction (minutes) – период времени в минутах для повторной попытки. Пять минут хватит даже для того, чтобы добежать до канадской границы, не то чтобы ввести пароль.
• 3. Lockout Length (minutes) – время в минутах, на которое блокируется доступ к админке Вордпресс. Можно оставить 60 минут, а можно установить и побольше.
• 4. Lockout Invalid Usernames – учитывать ли неправильный ввод логина? Отмечаем этот пункт и плагин, кроме пароля, будет учитывать и неправильно написанное имя. Лишняя защита блога лишней никогда не бывает.
• 5. Mask Login Errors – маскировка ошибок ввода неправильных данных. Отмечаем, и тогда взломщик не будет знать, что его действия под контролем (что-то никакой разницы не заметил) .
• 6. Currently Locked Out – здесь отображается список, заблокированных в данное время IP-адресов и время до разблокировки. Об этом чуть ниже.

После сделанных настроек плагина безопасности Login LockDown, нажимаем кнопку “Update Settings “, чтобы изменения вступили в силу.

Для ясности, расшифрую, что произойдет при попытке взлома блога, если настройки стоят, например, по умолчанию, как на рисунке выше. Если пароль будет введен неправильно более 3 раз с интервалом 5 минут, то доступ для входа в панель администратора блокируется на 60 минут.

Теперь вернусь к списку IP-адресов. Не знаю, когда это может понадобиться, но у Вас есть возможность разблокировать IP-адрес, попавший в немилость. Для этого отметьте этот пункт и нажмите “Release Selected “. Наверное, это имеет смысл, если доступ к блогу есть не только у Вас. Например, несколько авторов или фрилансер должен что-то подправить.

Еще одна деталь. Если Вы заметили, то на первом скриншоте видно, что под формой входа в панель администратора выводится предупреждение о защите плагином Login LockDown. Оно должно появиться, если Вы правильно установили плагин и он работает. Но в этом случае теряется смысл пункта 5, ведь злоумышленник будет предупрежден о защите заранее. Давайте уберем эту надпись.

Идем в меню “Плагины ” – “Редактор “. Выбираем из выпадающего списка справа вверху наш плагин безопасности и нажимаем “Выбрать “. Находим в файле login-lockdown/loginlockdown.php эту строку (смотрите картинку ниже) и удаляем все, что указано между кавычками. Нажимаем “Обновить файл ” и переходим на страницу входа. Надпись должна исчезнуть.

Обратите внимание на предупреждение, на странице редактирования. Перед внесением изменений деактивируйте плагин, а потом снова включите. Надеюсь, то, что перед любым редактированием файлов, надо делать их копии, напоминать не надо.

Теперь плагин безопасности WordPress Login LockDown не позволит злоумышленнику попасть в админку путем подбора пароля. Конечно, это не гарантирует 100% защиты WordPress от взлома и других неприятностей. Но каждый вид защиты блога будет по кирпичику строить стену перед неприятелем. Чем эта стена выше, тем спокойнее Вы будете спать по ночам.

Необходимо хорошо запомнить, что уделять внимание вопросам безопасности блога надо не меньше, чем написанию уникального контента и продвижению в поисковых системах. В следующих статьях я еще не раз вернусь к этой теме. Подписывайтесь на обновления блога , чтобы всегда быть в курсе. До скорых встреч!

Безопасность сайта, является приоритетным пунктом разработки веб-проекта, и защита WordPress не станет исключением. Попытки несанкционированного доступа к управлению блогом дело, хоть и не повсеместное, но имеет место быть в жизни вебмастера…

Чтобы оградить свой веб-сайт от грубого взлома, путём подбора входных данных, можно ограничить доступ к административной панели. Для этого можно , оставив приоритет только для доверенных IP-адресов, либо установить лимит на количество ошибок авторизации.

Популярным инструментом блогеров в борьбе с подбором, является бесплатный плагин — Login LockDown. Это узкоспециализированное дополнение, направлено на отслеживание попыток авторизации, то есть входа в консоль WordPress.
Особенностью плагина можно назвать гибкость настроек, позволяющих администратору отсрочить каждую попытку входа, лимитированную указанным числом, после чего заблокировать злоумышленника (его IP-адрес) на длительный срок!

Установка и активация

Проинсталлировать дополнение можно по средствам FTP доступа, перед этим скачав архив с плагином — https://wordpress.org/plugins/login-lockdown/
или перейдите в раздел админки «Плагины», щёлкните сверху пункт «Добавить новый», после чего введите название в строку поиска и нажмите клавишу «Enter». Первый результат устанавливаем, а после и активируем.

Настройки плагина

Как ранее замечено, количество опций LoginLockDown невелико, и представляет собой лишь функциональные параметры. После активации плагин начинает действовать со значениями по умолчанию, предпочтительными для большинства пользователей.
В панели разверните раздел «Настройки», где обнаружится пункт «Login LockDown», кликаем и переходим на страницу настроек «Login LockDown Options »:

1. Max Login Retries – количество попыток авторизации, после которых адрес блокируется. По умолчанию указано 3 (не рекомендуем устанавливать более 5 попыток).
2. Retry Time Period Restriction (minutes) – число минут между попытками авторизоваться, по умолчанию 2 минуты (лучше сократить, чтобы пользователь смог в скором времени повторить вход).
3. Lockout Length (minutes) – число минут блокировки IP-адреса, по умолчанию 120 (2 часа), вполне можно увеличить при должном уровне опасности.
4. Lockout Invalid Usernames? – опция для отключения функций плагина для незарегистрированных имён (логинов). Включаем по своему усмотрению, так как подбор несуществующей пары логин-пароль не несёт опасности.
5. Mask Login Errors? – опция отключения ошибок авторизации. Пользователю не будут отображаться уведомления о неверном имени пользователи или пароле.
6. Show Credit Link? – опция отображения ссылки на оф.сайт плагина (реклама разработчиков Login LockDown). Отображается по умолчанию, для отключения кликните третий четбокс.
7. Update settings – кнопка обновить настройки, нажимаем в конце для сохранения внесённых изменений.
8. Currently Locked Out – область со списком заблокированных адресов. Имеется возможность очистить IP для доверенных лиц, не получивших доступ к админке.

Вместо послесловия

Таким образом, можно ненавязчиво ограничить доступ к админке WordPress, исключая автоматический или ручной подбор. Плагин Login LockDown периодически обновляется, что указывает на совместимость с актуальными версиями CMS.

Всем привет! Сегодня я хочу рассказать об очень полезном плагине для WordPress, который защищает нас от взлома посредством брута (брут-подбор логина и пароля посредством их перебора.) Плагин называется Login LockDown . Простой в установке и в настройке плагин обеспечивает защиту на достойном уровне.

В самом движке WordPress нет такой функции, которая помогла бы пресечь попытки взлома админки и это довольно таки существенный минус. Тем более, что 90% блогеров-новичков имеют дефолтные ники admin или не знают как спрятать свой ник. Как бы ни было данный плагин восполняет этот минус. Устанавливается стандартно. В консоли WordPress выбираете Плагины->Добавить новый . После находите в поиске Login LockDown устанавливаете/активируете. После активации плагина, идем в пункт Параметры->Login LockDown.

Настройки Login LockDown

И так вот список параметров, который вы можете редактировать:

1. Max Login Retries – этот параметр отвечает за количество попыток ввода логина/пароля.
2. Retry Time Period Restriction (minutes) – этот параметр отвечает уже за промежуток времени для очередной попытки. Время указывается в минутах.
3. Lockout Length (minutes) – этот пункт блокирует доступ к блогу в течении указанного времени. Блокировка происходит после определенного количества неудачных попыток доступа к сайту.
4. Lockout Invalid Usernames – данный пункт по мне излишен и по умолчанию должен был быть включен. Этот пункт ведет учет ввода неправильных логинов, а не только паролей.
5. Mask Login Errors – пункт, который якобы скрывает уведомление об неправильном вводе логина/пароля. Но в принципе если после ввода данных не удалось зайти в блог, то ясно, что логин или пароль не верны.
6. Currently Locked Out – собственно список заблокированных IP-адресов, которые были заблокированы по причине превышения указанного количества ввода ошибок.

Принцип работы плагина прост. Пользователь вводит логин/пароль и ошибается 3 раза. Плагин блокирует IP адрес этого пользователя и доступ к блогу на указанное время. Вот и весь процесс установки и настройки плагина. Как минимум "защита от дураков" у нас уже есть:), но не теряйте бдительность. И вообще маленький совет меняйте пароли каждые 3-4 месяца. Старайтесь устанавливать сложные пароли.

Приветствую вас, коллеги. В этой статье пойдет речь о том, как защитить свой блог на движке WordPress от хакеров и всех тех, у кого руки чешутся. Начнем пожалуй с того что в наше время сайты довольно часто взламывают, особенно интернет-магазины, если даже они не раскрученные. Делают это по большому счету хакеры и те люди, которые не являются таковыми, но они также знают пару методов от своих собратьев, как можно взломать тот или иной сайт.

Получив доступ к сайту они, как правило, не ставят перед собой цель, получать от него прибыль, как это делал бывший владелец. Взломав сайт или блог, они чаще всего обращаются к его владельцу за выкупом. Цена зависит от многих параметров, начиная от тематики сайта заканчивая количеством посетителей в день. Если бывший владелец отказывается платить то вор просто идет на любую биржу купли продажи сайтов, например на и продает его.

Но если честно все это не очень-то прибыльно. Как я уже писал ранее интернет-магазины взламывают не из-за сайта так такового, а за информации, которая на нем хранится, а точнее паролей и номеров пластиковых карт тех людей, которые оплачивали товары. Но если у вас даже простой блог по рыбалке не думайте, что это и вас не коснется. Дело в том, что сами хакеры по сути ничего не делают, для этого у них есть специальный софт (программы), которые ищут уязвимые места на вашем блоге.

Одна из таких подбирает пароли к вашей админке (панель авторизации), чтобы ее взломать. Если у вас стоит слабый пароль, то вас просто откроют как консервную банку меньше чем за несколько минут. Те, кто поздно спохватились уже поздно задумываться, как защитить блог, так как если даже и удаться вернуть к нему доступ хакер обязательно оставит какой-нибудь незаметный код, чтобы в будущем снова зайти на этот сайт, как себе в родной дом. Поэтому лучше уже на начальных этапах ведения своего проекта задуматься, как по максимуму защитить блог, ибоесли сделать это не сейчас потом уже будет поздно. Итак, в этой статье я познакомлю вас с двумя плагинами login lockdownи limit login attempts, которые будут надежно защищать ваше детище 24 часа в сутки.

Принцип действия плагина Login LockDown и limit login attempts.

Все очень просто, как я писал выше, к нам пытаются подобрать пароль, так давайте ограничим им это удовольствие. Плагин login lockdown и limit login attempts не дают авторизоваться на сайте некоторое время, если пароль введен неправильно. Количество попыток и время вы устанавливаете сами. Также они запоминают точное время и IP компьютера, с которого пытались взломать сайт. Можно настроить плагины так, чтобы они сами отправлять в бан (черный список) таких умельцев.

В итоге ошибившись несколько раз они уже не смог дальше продолжать свой попытки, правда, если у них конечно не динамический IP. Но при любых обстоятельствах они уже не смогут это делать в быстром режиме. На взлом такого сайта и у них могут уйти даже месяцы или годы, все зависит от сложности вашего пароля и настроек, которые вы укажите. Так что можете не волноваться, им придется ждать до пенсий в любом случае.

Установка и настройка плагина login lockdown.

Lockout Invalid Usernames – поставьте тут галочку, если хотите чтобы учитывался неправильный ввод логина. То есть помимо пароля буде еще и логин проверяться. Эта функция нужна, если вы ведете блог не один и есть другие пользователи с другими именами. Если даже таких нет, все равно ставим Yes.

Mask Login Errors – поставьте тут галочку на Yes, если хотите чтобы маскировались ошибки ввода неправильных данных.

ShowCreditLink – тут поставьте «No, donotdisplaythecreditlink» если хотите чтобы не отображалась надпись плагина при входе в админку, тем самым не дав подсказки воришкам в чем может быть дело.

Currently Locked Out — тут вы можете убрать IP адреса, которые попали в бан. Для этого отметьте их галочкой и нажмите на «Release Selected». Ок после того как вы все настроите, нажмите на «Update Settings».

Установка и настройка плагина limit login attempts.

Скачиваем плагин limit login attempts и закачиваем его на блог, активируем. Переходи в «настройки» «Limit Login Attempts».

По сути плагин limit login attemptsэто тоже самое, что и login lockdown только с более расширенными настройками. В них вы можете видеть, сколько раз вас пытались взломать. У некоторых владельцев сайтов даже не денежной тематики эта цифра доходит до 8тыс! Также вы можете настроить, чтобы вас уведомляли по почте при неудачной попытке взлома. Кстати, тут есть еще одна классная функция, которая мне очень понравилась. Можно привязать IP своего компьютера к админке, то есть на вашем блоге можно авторизоваться только через ваш компьютер.

Чтобы включить эту функцию поставьте галочку «Да» возле – обрабатывать куккис логина. Если даже ваш компьютер сломается не беда, через удалите плагин и защита спадет. Ок, с остальными настройками я думаю, вы сами разберетесь все же они на русском языке. Заканчивая эту статью, хочу сказать, что мы проделали только малую, но уже существенную часть по защите своего творения, но это еще далеко не конец, поэтому рекомендую ознакомиться со следующей статьей — .