(1)

В этом уроке речь пойдет о плагине, который мы использовали для ограничения числа попыток входа для пользователей. Не так давно нам вновь напомнили о данном плагине, так что теперь мы расскажем о нем немного подробнее. Этот плагин называется Limit Login Attempts и применяется он для ограничения числа попыток входа на сайт для пользователей.

У вас нет проблем, если ваш проект не пытаются взломать недоброжелатели или хакеры, подбирающие пароль администратора для вашего сайта. Но к сожалению, такие люди никогда не переведутся, поэтому в данной статье речь пойдет о том, как отрегулировать число попыток входа на ваш сайт под паролем администратора или конкретного пользователя вашего сайта на основе WordPress.

Почему стоит ограничить число попыток входа на сайт для пользователя с учетной записью WordPress?

Иногда хакер может предположить, что знает ваш пароль, и разработать скрипт для подбора пароля путем повторных попыток. В этом случае и возникает необходимость ограничить число попыток входа на вашем сайте.

Достижение лимита неудачных попыток входа на сайт приведет к блокировке пользователя после того, как он превысит установленное число попыток авторизации на вашем сайте. Такой пользователь будет заблокирован на указанный вами период времени.

Настройки плагина блокировки доступа можно контролировать в панели администратора сайта. Эта панель также даст вам возможность проследить число и частоту появления тех людей, которые хотят взломать ваш сайт. Если вы заметите повторяющийся IP адрес , с которого к вашему сайту пытаются получить админ доступ, вы сможете забанить такой IP-адрес.

Как ограничить количество попыток входа для WordPress?

Для этого просто установите и активируйте плагин Limit Login Attempts .

Далее перейдите в настройки установленного плагина: Параметры → Limit Login Attempts . Заполните поле с числом допустимых ошибочных попыток входа на сайт , а также продолжительность блокировки пользователя по времени и сохраните заданные настройки.

Также в логе вы сможете увидеть, сколько было провальных попыток входа на сайт, и сможете получать на свой электронный ящик уведомления о том, как часто конкретный пользователь пытался зайти на ваш сайт в учетную запись.

Фильтрация доступа к консоли WordPress по IP адресу

Помимо блокировки пользователя по провальным попыткам входа на сайт возникает вопрос фильтрации пользователей по конкретному IP-адресу .

В качестве меры предосторожности можно ограничить доступ к сайту путем фильтрации IP-адресов в файле wp-login.php . К примеру, мы уже ограничили доступ к директории wp-admin путем фильтрации по IP. Поэтому мы предлагаем вам ознакомиться еще и с тем, как ограничить доступ по IP к вашему файлу wp-login.php в WordPress. Заметим, что приведенное руководство - не совсем для новичков, так как требует некоторого опыта в настройке сайта на WordPress.

Откройте файл .htaccess и добавьте в него указанный ниже код в верхней части файла до того, как далее идет остальной код самого файла:

order deny,allow Deny from all # whitelist West Palm Beach IP address allow from xx.xxx.xx.xx #whitelist Gainesvile IP Address allow from xx.xxx.xx.xx

Не забудьте при этом заменить указанные значения адресов IP вашими собственными. Единственным недостатком может стать наличие у вас динамического IP-адреса. В противном случае сбоев и проблем в работе такого фильтра не возникнет. Также после добавления кода собьется стиль для wp-login.php , но в вопросах защиты вашего сайта это не главное. Мы же ведь хотим просто ограничить число ошибочных попыток доступа к файлу и сайту.

От автора: согласно данным исследования 2013 года, каждый день взламываются примерно 30 000 сайтов. И как все мы понимаем, чтобы обезопасить свой сайт от взлома, необходимо предпринять определенные меры. Важно обезопасить свои личные данные, но еще важнее дать пользователям понять, что их данные также находятся под защитой. Защищенный сайт значит сайт, заслуживающий доверия.

Существует несколько методов от взлома вашего сайта на WordPress. Один из них это ограничить доступ заданным пользователям. В этой статье я пошагово расскажу, как ограничить доступ к панели администратора WordPress по ip-адресу.

Но сначала давайте быстро пробежимся по угрозам безопасности сайтов на WordPress.

Угрозы безопасности WordPress

Взлом простым перебором – Когда хакер пытается получить доступ к сайту через форму авторизации, перебирая возможные имена пользователя и пароли.

Подтверждение правильности ввода имени – WordPress сообщает пользователям, какую часть из данных авторизации они ввели неправильно. К примеру, если правильно ввести имя пользователя, но ошибиться с паролем, WordPress подскажет пользователю об этом, что значительно облегчает поиск пароля простым перебором.

Версия WordPress – Если хакер узнает вашу версию WordPress, он может использовать уязвимости данной версии для получения доступа к сайту.

Глобальная регистрация в WordPress – По умолчанию в WordPress отключена возможность регистрации на сайте из любого уголка мира. Лучше оставить эту опцию выключенной в качестве превентивной меры.

Доступ к темам и плагинам – Администраторы сайта получают доступ к редактированию файла функциональности, что может привести к проблемам в безопасности. Не рекомендуется изменять файл функционала сайта.

Прежде чем редактировать файлы сайта, давайте рассмотрим предварительные шаги, которые необходимо проделать.

Меры безопасности

Чуть ниже мы добавим PHP код в файл настроек.htaccess. Но перед этим необходимо сделать резервную копию файла конфигурации.

Некоторые из вас захотят сделать полную копию сайта перед тем, как что-то изменять. Регулярное резервное копирование – хорошая привычка. Обязательно делайте копию сайта перед серьезными изменениями. Помочь в этом вам может плагин VaultPress .

Статический или динамический ip-адрес

В этом уроке мы покажем, как ограничить доступ к админке сайта как для статических адресов, так и для динамических.
Используйте инструкцию для статического ip-адреса, если вы редактируете сайт с домашнего компьютера или из нескольких других мест. В таком случае ваш ip-адрес не меняется, т.е. остается статическим.

Используйте инструкцию для динамического ip-адреса, если вы редактируете свой сайт из множества разных мест. IP-адрес часто меняется в случаях:

Когда другие члены команды разработчиков заходят и редактируют сайт из разных мест

Когда для редактирования вы используете мобильный телефон

Вы постоянно путешествуете, и вы заходите на сайт из разных мест

Основы разобрали, вот теперь можно и приступить к делу.

Приступаем к работе

Выше мы уже упоминали, что нам потребуется внести изменения в файл.htaccess. Второй шаг – найти файл конфигурации.htaccess. Этот файл располагается в корневой папке сайта. Если по каким-то причинам файла там нет, его можно создать вручную. Авторизуйтесь через cPanel или FTP и найдите этот файл.

Как только вы нашли файл, переходим к шагу три – вам нужно найти подходящий текстовый редактор, чтобы добавить код в файл конфигурации. Рекомендуем использовать или встроенный в cPanel редактор или установленный на компьютере (например Notepad).

Обратите внимание: Дабы не испортить существующие настройки сайта, весь код в.htaccess добавляется в самый верх.

Ограничиваем доступ по статическому ip-адресу

Если ваш ip-адрес не меняется или вы используете всего пару-тройку известных адресов, можно ограничить доступ к сайту по статическим адресам. Вы научитесь создавать список IP-адресов, которым позволено входить в панель администратора.

Как ограничить доступ к панели администратора по статическому ip-адресу

Откройте файл.htaccess через cPanel или любой другой текстовый редактор.

Скопируйте код ниже в самый верх файла.htaccess (Gist).

RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^12\.345\.678\.90 RewriteCond %{REMOTE_ADDR} !^IP Address InsertTwo$ RewriteCond %{REMOTE_ADDR} !^IP Address InsertThree$ RewriteRule ^(.*)$ -

Редактируем код

Вам осталось лишь изменить строки 4 и 5 (в Gist это строки 9 и 10) и добавить разрешенные ip-адреса. Для этого замените IP Address InsertTwo$ и IP Address InsertThree$ на нужные адреса. Адреса должны быть в формате, как в строке 3 (в Gist строка 8).

Добавление и удаление авторизованных пользователей

Если нужно добавить еще разрешенные адреса, просто скопируйте строку RewriteCond %{REMOTE_ADDR} !^IP Address Insert$ и замените в ней IP Address Insert$ на нужный адрес. Также можно запретить доступ пользователям к панели администратора, удалив строку с их адресом RewriteCond %{REMOTE_ADDR}.

Что будет если неавторизованный пользователь зайдет на страницу?

После того, как вы ограничили доступ к админке по ip-адресу неавторизованный пользователь, зайдя на страницу авторизации или страницу wp-admin, увидит страницу 404.

Если вы используете Gist, то можете заметить, что редирект там прописан в первых двух строках. В строках 1 и 2 необходимо заменить your-site’s-path на адрес вашего сайта.

Ограничиваем доступ по динамическому ip-адресу

Некоторые из вас, возможно, хотят открыть доступ к панели администратора множеству пользователей. Такая ситуация может возникнуть, если у вас много редакторов сайта, или вы обслуживаете сеть из нескольких сайтов. Основной момент тут в том, что для входа в панель администратора требуется несколько динамических ip-адресов.

Как ограничить доступ к панели администратора по динамическому ip-адресу

Откройте файл.htaccess через cPanel или любой другой текстовый редактор. Скопируйте код ниже в самый верх файла.htaccess (Gist).

RewriteEngine on RewriteCond %{REQUEST_METHOD} POST RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site"s-name.com RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteRule ^(.*)$ - [F]

Редактируем код

Чтобы код заработал, замените your-site’s-name.com в строке 3 на URL вашего сайта (в Gist строка 7). В Gist версии редирект также прописан в первых двух строчках. В строках 1 и 2 замените your-site’s-path на адрес вашего сайта. После этого если сработает редирект, то вас перебросит на страницу 404.

Функционал кода

Данный код ограничивает доступ хакерам, которые с помощью ботов пытаются подобрать логин и пароль простым перебором извне. Код файла.htaccess означает, что на страницу авторизации или wp-admin смогут попасть только пользователи, которые перешли на нее по внутренней ссылке.

Заключение

Решения, которое гарантирует стопроцентную безопасность вашего сайта от любых возможных угроз, не существует. Ограничение доступа по ip-адресу добавит хакерам сложностей при попытке взлома сайта простым перебором.

Возникала ли у вас когда-нибудь необходимость разрешить регистрацию пользователей на своем WordPress сайте, не предоставляя при этом доступа к консоли? Когда пользователь создает аккаунт в ВП, он получает доступ к админке, также известной как Консоль. В этой статье мы покажем вам как ограничить доступ к консоли в WordPress.

Зачем ограничивать доступ к консоли?

Доступ в админку должны иметь только те пользователи, которым вы доверяете. Если у вас на сайте несколько авторов, тогда доступ получат редакторы и участники, но не подписчики.

Даже если вы решите кому-то предоставить доступ в консоль, вы всё также сможете контролировать то, что они смогут или не смогут видеть в консоли. Это мы обсудим позже.

Ограничиваем доступ к Консоли в WordPress

Первым делом вам потребуется установить и активировать плагин Remove Dashboard Access . После активации переходим в Настройки » Dashboard Access для настройки плагина.

Плагин Dashboard Access позволяет вам выбирать роли пользователей, которые могут получать доступ в консоль. Можно выбрать администраторов, редакторов и администраторов, или же авторов, редакторов и администраторов.

В качестве альтернативы, можете ограничить доступ по возможностям. Возможности — это действия, которые пользователь может совершать на вашем сайте.

Если вы хотите разрешить пользователям редактировать профили, тогда нужно отметить галочку рядом с «user profile access». Однако, если выбрать эту опцию, то отключится функция перенаправления. Плагин будет перенаправлять пользователей на страницу редактирования профиля вместе адреса, указанного вами ранее.

Не забудьте нажать на кнопку сохранения изменений.

Вот и все. Теперь только пользователи с выбранной вами ролью или возможностями смогут получить доступ к консоли WordPress.

Скрываем элементы в админке WordPress

Иногда может потребоваться ограничить видимость определенных элементов в админке.

Вы можете скрывать и контролировать то, что пользователь видит в консоли. Сделать это можно с помощью плагина Adminimize, о котором мы писали ранее.

Защищаем папку wp-admin с помощью.htaccess

Еще одним способом защитить админ.директорию WordPress — это добавить дополнительный слой безопасности с помощью пароля. Этот способ будет запрашивать у пользователя логин и пароль, прежде чем они смогут войти в wp-admin.

Однако, здесь не будет пользовательского интерфейса для контроля того, какие именно пользователи смогут получить доступ в админку. Если вы единственный автор на сайте, или у вас крайне небольшое количество пользователей, тогда можно воспользоваться этим способом.

Мы надеемся, что эта статья помогла вам ограничить доступ к консоли WordPress.

По всем вопросам и отзывам просьба писать в комментарии ниже.

Не забывайте, по возможности, оценивать понравившиеся записи количеством звездочек на ваше усмотрение.

Обычно посетители на сайте, это желанные люди. Но бывают ситуации, когда нужно ограничить доступ к сайту. Сделать его для избранных)) Давайте посмотрим, как можно это реализовать.

Для чего вообще нужно делать подобные ограничения? Это могут быть разные причины. Например, сайт только в разработке, но при этом, вы не хотите, чтобы его даже случайно увидели раньше времени. Да, можно закрыть индексацию, но это не выход, если знаете адрес сайта, то на него все равно можно попасть.

Другой причиной закрытия сайта, это использование его по типу частного, закрытого клуба. Администратор регистрирует пользователей, дает им пароли, после чего, пользователи смогут заходить на сайт. Это удобно, если создаете платный сайт. Размещаете нужную информацию на сайте, например, уроки чего-либо, человек вам оплачивает членство на сайте, и он получает доступ к сайту.

Но как это сделать?

Плагин Restricted Site Access

Для этого, вам нужно скачать плагин Restricted Site Access с официального репозитория плагинов WordPress. Проще говоря, вам нужно зайти в меню плагины, и добавить новый.

После чего, нужно ввести в поиск название плагина — Restricted Site Access, установить и активировать его.

А теперь перейдем к настройкам. К сожалению, у плагина нет русского языка, поэтому, позвольте мне объяснить, как пользоваться этим плагином. Для начала, нужно зайти в настройки. Но настройки плагина, находятся не в совсем обычном месте. Для настройки, нужно зайти в меню Настройки на левой панели управления сайтом, и выбрать пункт Чтение .

Теперь, в настройках видимости сайта, появился третий выбор: Restrict site access to visitors who are logged in or allowed by IP address , что в переводе означает примерно следующее, «Ограничить доступ к сайту незарегистрированным посетителям или по IP адресу» .

После выбора этого пункта, у вас откроется еще один небольшой раздел. Вот он.

И вот что они означают.

Ну и наконец, есть пункт Unrestricted IP addresses (разрешенные IP адреса). Если у вас есть постоянный IP адрес, то вы можете его ввести, после чего, все остальные посетители, не смогут заходить на сайт. Можно добавить несколько адресов (точное количество я не знаю), можно задать определенный набор адресов. То есть, теоретически, можно ограничивать доступ по IP адресам целых стран.

Заключение.

Как видите, ограничить сайт на WordPress от нежеланных посетителей, можно очень даже легко. Достаточно установить один плагин, и сделать простейшие его настройки. Если вы вдруг сами себя заблокировали, то вам достаточно зайти в админку сайта (обычно расположенную по адресу: moysite.ru/wp-admin) и изменить настройки.

Также нужно иметь ввиду: Restricted Site Access не является плагином по безопасности. Устанавливая его, вы лишь ограничиваете доступ к сайту посетителям. Но никакой защиты непосредственно от взлома, плагин не дает. Для этого есть другие плагины и методы защиты, но об этом, я поговорю в другой раз.

Когда для вашего сайта на WordPress пишут одновременно несколько авторов, то очень важно грамотно распределить рабочий процесс и сделать этот процесс комфортным для каждого автора. Есть специальный плагин для одновременной работы нескольких авторов на WordPress.

Но сегодня речь не об этом. Сегодня мы рассмотрим один простой бесплатный плагин Restrict Author Posting , с помощью которого вы сможете закрепить за каждым автором определенные рубрики, а доступ к остальным рубрикам ограничить.

Это особенно актуально, если у вас на сайте есть авторская колонка. Или, например, у вас есть рубрика с обзорами гаджетов, в которую могут писать только несколько определенных авторов.

Плагин Restrict Author Posting

В первую очередь скачайте и установите бесплатный плагин Restrict Author Posting.

Сразу после активации плагина перейдите в меню Пользователи и откройте профиль того пользователя, которому вы хотите настроить ограниченный доступ.

Прокрутите профиль пользователя в самый низ и вы увидите новое меню Restrict Author Post to a category , в выпадающем списке выберите Рубрику, для которой будет писать этот автор. Нажмите сохранить.

Если вы захотите в дальнейшем снять ограничение с любого автора вашего сайта, точно так же откройте его профиль и выберите в выпадающем меню No Restrict .