Разное

Вход в вордпресс: Как войти в админку WordPress

08.07.2023

Содержание

Вход в WordPress без пароля с помощью Touch ID или Face ID

Привет, коллеги! Руководство для начинающих по входу в WordPress без пароля. Ищете простой способ настроить вход в WordPress без пароля? Появился новый плагин WP Passwordless для сайта WordPress, чтобы улучшить безопасность аутентификации. Вам не нужен пароль для входа в админку WordPress. Когда вы включите Passwordless WP на своем сайте, вы сможете войти в систему с помощью простого действия. А именно, беспарольный вход в WordPress с помощью Touch ID, Face ID или Pin-кода.

Плагин WordPress Passwordless WP – Login with your glance or fingerprint позволяет пользователям входить на свои сайты WordPress с помощью отпечатка пальца, взгляда или пин-кода. Цель плагина, вход в WordPress без пароля, состоит в том, чтобы сделать доступ к сайту ВордПресс намного проще и безопаснее.

Вход в систему WP по Face ID или Touch ID

Учитывая, что многие люди создают слабые пароли и все равно их забывают, процессы аутентификации и входа в систему без пароля становятся все более распространенными.

Из отчётов: 80% нарушений, связанных со взломом, вызваны использованием слабых и скомпрометированных паролей. Еще одна тревожная статистика была выявлена в новом исследовании Google: уроки проверки паролей в действии: 316 000 пользователей использовали уже скомпрометированные пароли.

WP Busters
Взломы связаны с использованием слабых паролей

Обратите внимание, если вы забыли пароль WordPress или он у вас такой как на картинке, то срочно измените его — как поменять пароль ВордПресс.

Вход в WordPress без пароля — легкий, безопасный, современный

WebAuthn был официально признан веб-стандартом W3C в марте 2019 года. Веб-аутентификация — это новый стандарт, позволяющий веб-приложениям создавать и использовать надежные, проверенные, масштабируемые учетные данные на основе открытых ключей с целью строгой аутентификации пользователей с помощью аппаратных аутентификаторов.

Аутентификация без пароля — это метод безопасной аутентификации, который обычно предлагает более быстрый процесс входа в систему, чем стандартные варианты аутентификации.

API веб-аутентификации (также известный как WebAuthn) — это спецификация, написанная W3C и FIDO при участии Google, Mozilla, Microsoft, Yubico и других. API позволяет серверам регистрировать и аутентифицировать пользователей, используя криптографию с открытым ключом вместо пароля.

FIDO 2 + WebAuthn

WordPress: вход в админку без пароля. Вам просто нужно нажать один раз и выполнить простую проверку подлинности на аутентификаторе, после чего вы войдете в консоль WordPress. Пароль не нужен.

  • Безопасный: Пользователи разблокируют криптографические учетные данные с помощью простых встроенных методов, таких как считыватели отпечатков пальцев или камеры на своих устройствах.
  • Удобный: Вы входите в WordPress, используя биометрические учетные данные с помощью простых встроенных методов, таких как считыватели отпечатков пальцев или камеры на устройствах.
  • Конфиденциальность: Ключи уникальны для каждого интернет-сайта, их нельзя использовать для отслеживания пользователей на разных сайтах. Кроме того, биометрические данные, когда они используются, никогда не покидают устройство пользователя.
  • Доступность: Поддерживается во всех ведущих браузерах и платформах на миллиардах устройств, которые потребители используют каждый день.

Чем Passwordless WP отличается от аналогичных плагинов?

Многие методы двухфакторной аутентификации по-прежнему требуют ввода пароля, случайно сгенерированного кода или того и другого. Это удлиняет процесс входа на ваш собственный веб-сайт и может заблокировать пользователей, которые не помнят пароли или удалили приложение двухфакторной аутентификации.

Другие плагины, которые используют SMS или электронную почту для входа в систему, отправляют вам код или ссылку. Они делают вашу жизнь сложнее, потому что вам нужно сделать больше кликов — открыть электронную почту и ссылку, разблокировать телефон и так далее. Лучше и надёжнее использовать вход в WordPress с помощью своего менеджера, который использует Touch ID или Face ID.

Passwordless WP — Login with your glance or fingerprint

WP (ВордПресс) без пароля — вход с помощью взгляда или отпечатка пальца. Используйте свой взгляд (лицо) или отпечаток пальца с помощью Touch ID или Face ID для легкого и безопасного доступа к системе WordPress. Повысьте безопасность аутентификации.

Вход без пароля для WordPress

Вход в WordPress без пароля с помощью Touch ID, Face ID или Pin-кода. Входите в админку WordPress по лицу или отпечаткам пальцев. Войдите и подключите свое устройство, и вход без пароля для WordPress будет доступен для следующего входа.

Безопасные данные о лице или отпечатках пальцев:

Плагин вход в WordPress без пароля получает данные, которые предоставляет устройство, ваше устройство сообщает плагину, был ли ваш человек распознан или нет. Он не хранит ваши данные, в WordPress будет храниться только токен без возможности его использования. Это бесполезные данные без вашего физического доступа к устройству.

Плагин WordPress Passwordless WP – Login with your glance or fingerprint полностью соответствует требованиям GDPR. Важно отметить, что модуль обеспечивает аутентификацию без участия третьих лиц или отслеживания между учетными записями. А когда дело доходит до биометрии, стандарты FIDO и WebAuthn предотвращают сохранение и сопоставление этой информации на серверах — она ​​никогда не покидает устройство пользователя и не позволяет собирать биометрические данные.

WP без пароля в настоящее время поддерживается в веб-браузерах Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari на iOS 14 и BigSur, а также на платформах Windows 10 и Android.

WP без пароля требует безопасного соединения HTTPS и SSL или среды localhost / 127.0.0.1. Он поддерживает только аутентификаторы платформы, такие как Touch ID, Face ID, Windows Hello, Fingerprint и т. д. Он также имеет минимальное требование PHP 7.2. Кроме того, он будет работать для любой установки WordPress. Логины без пароля обрабатываются на уровне пользователя, что означает, что каждый пользователь на сайте WordPress должен зарегистрировать токен со своей страницы профиля.

Настройка вход без пароля в админку WordPress

Вход на сайт по отпечатку пальца

Установите и активируйте плагин WP без пароля: Passwordless WP — Login with your glance or fingerprint. Используйте ссылки на странице установленных плагинов или странице wp-login.php для входа в систему, и вы будете перенаправлены на страницу прикрепления (register token).

Нажмите ссылку Add credentials (Добавить учетные данные):

Следующий шаг простой и занимает всего несколько мгновений. Оказавшись на экране register token, вы просто должны нажать кнопку и выбрать метод аутентификации из своей операционной системы.

Добавление учетных данных без пароля

Создайте токен для входа без пароля, прикоснитесь к устройству отпечатков пальцев или используйте камеру, если ваше устройство использует этот метод:

Прикрепите свои биометрические данные к своей учетной записи

После добавления учетных данных вы можете использовать датчик для входа в систему WordPress без пароля.

Использование датчика отпечатков пальцев и Touch ID в Chrome для входа в админку ВордПресс

С этого момента, при входе на сайт, это просто вопрос нажатия на имя пользователя и использования вашего Touch ID или Face ID для входа в систему.

Используйте ранее использованные имена для более быстрого входа в систему ВордПресс

Посмотрите небольшое видео от автора плагина.

Как работает вход в WordPress без пароля- видео

WP без пароля для WordPress. Демонстрация входа в систему ВордПресс по отпечатку пальца Touch ID или Face ID интерфейса лица.

Touch ID и Face ID для входа в консоль / админ панель WordPress

Вход без пароля в ВордПресс — будущее уже наступило. А вот у меня не получилось. Пишет — Ваш браузер не поддерживает аутентификацию без пароля с использованием Touch ID или Face ID, либо в вашей системе нет устройства.

Создайте токен для входа без пароля

Странно, у меня моноблок HP с сенсорным экраном, встроенная видеокамера, windows 10 и Google Chrome — браузер. Жалко конечно.

Существуют и другие плагины, использующие ту же технологию. WP-WebAuthn, например, имеет несколько дополнительных функций и существует уже около семи месяцев.

Плагин WP-WebAuthn для ВордПресс

WebAuthn — это новый способ аутентификации в интернете. Это поможет вам заменить ваши пароли с помощью таких устройств, как USB-ключи, сканеры отпечатков пальцев, совместимые с Windows Hello камеры и многое другое, сохраняя при этом безопасность.

WP-WebAuthn

WP-WebAuthn — это плагин для WordPress, позволяющий включить WebAuthn на вашем сайте. Как пользователь, вам не нужно беспокоиться о технических деталях WebAuthn. WebAuthn требует HTTPS — соединения или localhost для нормальной работы.

WebAuthn — это технология сетевой аутентификации нового поколения, предназначенная для повышения эффективности и безопасности сетевой аутентификации за счет замены пароля на USB — аутентификаторы, распознавание отпечатков пальцев, камеры, совместимые с Windows Hello, и многое другое.

Просто установите и включите этот плагин, и вы сможете испытать новейшие технологии веб-аутентификации на своем сайте WordPress. После активации WP -WebAuthn попытается автоматически настроить все параметры на соответствующие значения, но вам лучше перейти на страницу настроек, чтобы проверить это.

Чтобы использовать WebAuthn, вам необходимо определить, поддерживает ли ваше устройство WebAuthn. Последние версии браузеров и операционных систем обычно поддерживают WebAuthn, поэтому подумайте об обновлении браузера и операционной системы, если вы обнаружите, что не можете правильно использовать WebAuthn.

Включить WebAuthn на сайте WordPress

Настройки плагина WP-WebAuthn выглядит следующим образом:

  • Предпочтительный метод входа в систему WordPress: настройте метод входа по умолчанию для страницы входа.
  • Идентификатор веб-сайта: передается в браузер во время процесса аутентификации WebAuthn для распознавания пользователя. Может не отображаться в зависимости от политики браузера.
  • Домен веб-сайта: должен точно совпадать с текущим или родительским доменом.
  • Требовать проверки пользователя: проверка подлинности пользователя — это функция в WebAuthn, которая может в некоторой степени повысить безопасность WebAuthn, но некоторые мобильные устройства плохо поддерживают эту функцию. Если у вас возникли проблемы при регистрации аутентификаторов или при входе в систему, вы можете попробовать отключить аутентификацию пользователя.
  • Разрешить вход без имени пользователя: Вход без имени — это функция в WebAuthn, которая позволяет пользователям входить в правильную учетную запись без ввода имени пользователя. Требуется аутентификатор и поддержка браузера.

При использовании WebAuthn вам просто нужно щелкнуть один раз и выполнить простую проверку на аутентификаторе, после чего вы войдете в систему. Пароль не требуется.

WebAuthn очень прост в использовании. 

  1. Шаг, введите имя пользователя (иногда даже не обязательно).
  2. Шаг, нажмите кнопку аутентификации.
  3. Шаг, выполните простое подтверждение на аутентификаторе.
  4. Шаг, вы вошли в админку WordPress без пароля!
Процесс использования WebAuthn. Вход в WordPress без пароля

WebAuthn также может использовать встроенные аутентификаторы. В Windows вы можете использовать Windows Hello для аутентификации с помощью распознавания лица, распознавания отпечатков пальцев или ввода ПИН-кода для аутентификации; на Android вы можете использовать распознавание отпечатков пальцев, сканирование радужной оболочки глаза или ввести пароль экрана блокировки для аутентификации; в MacOS вы можете сканировать свой отпечаток пальца для аутентификации.

В таких случаях пароль заменяет ваше устройство, и о безопасности не нужно беспокоиться.

WP-WebAuthn предоставляет несколько шорткодов, которые можно вставлять на интерфейсные страницы для вызова соответствующей функции:

  • Форма входа;
  • Регистрационная форма;
  • И другие.

В заключение

Вход без пароля в WordPress относится к альтернативным методам аутентификации, которые разрешают пользователям доступ к своей учетной записи WordPress без ввода паролей.

Биометрическая аутентификация относится к процессу безопасности, основанному на уникальных биологических характеристиках человека, таких как отпечаток пальца или лицо, для аутентификации его личности. Применять эту систему входа без пароля довольно просто. Все, что нужно сделать пользователям, — это нажать на отпечатки пальцев или показать свои лица.

С входом без пароля в админку WordPress никогда не была такой простой! Новый современный метод входа без пароля ВордПресс позволяет повысить удобство использования, что является выигрышем для всех.

Если у вас есть какие-либо вопросы о том, как создать вход без пароля для вашего сайта WordPress, дайте мне знать в разделе комментариев ниже!

Как защитить WordPress от Brute Force атак

Атаки с помощью Brute Force могут привести к сбою в работе сайта и нарушить работу вашего онлайн-бизнеса. Суть такой атаки заключается в том, чтобы подобрать данные для авторизации и с их помощью зайти на WordPress-сайт.

Давайте посмотрим на график от SUCURI .

  • Скрыть страницу входа в WordPress
    • WPS Hide Login
    • iThemes Security (Better WP Security)
  • Реализация двухфакторной аутентификации
    • Google Authenticator для WordPress
    • Incapsula
    • Cloud Flare
    • SUCURI

SUCURI предотвращает более 1 миллиона атак каждый час.

Это очень много!

Несколько дней назад я получил на электронную почту 42 уведомления о блокировке сайта из-за атак методом перебора. Так что это может случиться с каждым.

Есть несколько способов предотвратить Brute Force атаку. В этой статье мы рассмотрим два из них.

По умолчанию страница входа в WordPress доступна как:

  • /wp-login.php
  • /login
  • /wp-admin
  • /admin

Если хакеры узнают, что вы используете WordPress и что вход в административную панель не скрыт, они смогут получить доступ к странице авторизации и совершить атаку методом перебора.

Поэтому скроем вход в WordPress с помощью специализированных плагинов:

WPS Hide Login — это компактный плагин с более 40 000 активных установок. Он позволяет изменить URL страницы входа в систему. После этого, если кто-то попытается получить доступ к /wp-admin, /wp-login.php, /login, /admin, то он получит сообщение об ошибке 404.

Better WP Security включает в себя полный набор средств безопасности WordPress. Если вы уже используете этот плагин, то сможете скрыть страницу входа.

Это один из самых популярных плагинов с более чем 700 000 активных установок. После его инсталляции:

  • Войдите в панель управления WordPress.
  • Перейдите в раздел Безопасность >> Настройки.
  • Выберите пункт «Скрыть область входа» из выпадающего меню «Перейти к».
  • Введите URI, который вы хотите использовать для доступа к панели администрирования.
  • Нажмите кнопку «Сохранить все изменения».

Не забудьте протестировать сайт, зайдя в панель администрирования через страницу, которую только что указали.

Усилим безопасность WordPress с помощью двухфакторной аутентификации.

Двухфакторная аутентификация повышает уровень безопасности WordPress- сайта. При этом вместе с логином и паролем для авторизации используется одноразовый пароль (OTP).

Двухфакторную аутентификацию можно добавить с помощью следующих плагинов:

Google Authenticator позволяет сгенерировать пароль и использовать его при каждом входе в систему. Данный плагин добавит в форму входа поле для ввода OTP.

Примечание. Для использования Google Authenticator необходим смартфон с установленным приложением Google Authenticator. После установки приложения нужно настроить учетную запись.

Эти приемы вы сможете применить на своем WordPress-сайте для защиты от Brute Force-атак.

Однако вы также можете использовать провайдера облачной безопасности, который защищает сайт от перебора и многих других уязвимостей.

Вы можете использовать следующие инструменты:

Комплексное решение для обеспечения безопасности и производительности, которое работает на тысячах сайтов. В том числе на таких популярных, как:

  • Moz.com;
  • Wix.com;
  • Economist.com;
  • Startimes.com;
  • Nasdaq.com.

Incapsula предлагает бесплатный тарифный план. Сервис использует 28 дата-центров, расположенные по всему миру.

Если вы боретесь с медленной загрузкой сайта и уязвимостями в области безопасности, попробуйте Cloud Flare.

Специализируется на антивирусах и брандмауэрах. Сервис помогает противодействовать попыткам взлома, DDoS-атакам и обеспечивает полную безопасность сайта.

Безопасность WordPress от SUCURI, вероятно, единственное, что вам потребуется для защиты своего WordPress- сайта от Brute Force-атак и многих других уязвимостей.

Рассмотренные выше средства безопасности помогут обеспечить защиту не только WordPress, но и любую другую CMS.

Теперь у вас есть понимание того, как защитить свой сайт от атаки с помощью перебора и многих других уязвимостей.

Оставайтесь защищенными!

Пожалуйста, оставляйте свои комментарии по текущей теме статьи. За комментарии, лайки, отклики, подписки, дизлайки огромное вам спасибо!

Вадим Дворниковавтор-переводчик статьи «How to Protect WordPress from Brute Force Attacks»

Не удается войти на промежуточный веб-сайт WordPress • WP STAGING

Если вы не можете войти на промежуточный сайт WordPress, созданный WP STAGING, следующие советы помогут решить эту проблему: или Разрешить передачу определенным пользователям

  • 2 Отключить WP STAGING, чтобы отключить форму входа
  • 3 Обновить плагины безопасности и пользовательские страницы входа
  • 4 Имя пользователя содержит пробелы
  • 5 Сбросить пароль администратора WordPress
  • 6 Свяжитесь с нами для получения помощи

    • Отключите форму входа в WP STAGING или разрешите отдельным пользователям проходить ее

    WP STAGING создает перед вашим веб-сайтом дополнительную форму аутентификации, чтобы предотвратить доступ к вашему сайту других посетителей или поисковых систем.

    Это выглядит примерно так:

    Если вы не можете войти на свой промежуточный сайт, используя эту форму входа, попробуйте войти, используя форму входа WordPress по умолчанию.

    Чтобы получить доступ к логину WordPress по умолчанию, добавьте /wp-admin или /wp-login.php в конец URL-адреса промежуточного сайта.

    Например, ваш промежуточный сайт находится по адресу « example.com/staging/», тогда вы можете получить доступ к форме входа в WordPress по адресу:

    example.com/staging /wp-admin /

    или

    example.com/staging /wp-login.php

    Если вы по-прежнему не можете войти в систему, вы можете полностью отключить форму входа в WP STAGING.
    Бесплатная и Профессиональная версии имеют немного разные настройки, как это сделать:

    Версия PRO может предоставить определенным пользователям прямой доступ из WP STAGING > Settings:

    Эта опция доступна только в WP STAGING PRO!

    Базовая версия позволяет полностью отключить аутентификацию только на той же странице настроек:

    Отключить авторизацию администратора в базовой версии WP STAGING

    Перейдите к WP STAGING > Настройки и отключите приглашение на вход, разрешив все пользователей для доступа к вашему промежуточному сайту:

    После этого вам нужно создать новый промежуточный сайт, чтобы сделать эту опцию доступной для него.

    Кроме того, вы можете отключить WP STAGING на существующем промежуточном сайте, переименовав его папку с плагинами wp-content/plugins/wp-staging(-pro) во что-то другое.

    Запрос на вход исчез, и вы можете получить доступ к своему промежуточному сайту.

    Отключите WP STAGING, чтобы отключить форму входа

    Если вам не удалось отключить приглашение для входа в WP STAGING, вы можете отключить плагин WP STAGING на промежуточном сайте, либо исключив его из процесса клонирования, либо переименовав папку плагина. wp-content/plugins/wp-staging на что-то другое.

    Обновление подключаемых модулей безопасности и настраиваемых страниц входа

    Используете ли вы подключаемый модуль безопасности на своем работающем/постановочном веб-сайте, например, WordFence, WP Spamshield, HideMyLogin или что-то подобное?

    Чтобы устранить проблемы со входом, попробуйте следующее:

    • Отключите подключаемые модули безопасности или входа на промежуточном сайте или создайте новый промежуточный сайт и исключите эти подключаемые модули безопасности из процесса клонирования.

    Создайте новый промежуточный сайт и отключите определенные плагины на промежуточном сайте, исключив их в диспетчере выбора файлов WP STAGING перед началом процесса клонирования:

    Имя пользователя содержит символы пробела

    внутреннее имя пользователя WordPress в столбце user_login.

    Удалите все символы пробела из вашего имени пользователя.
    Имена пользователей с пробелами не всегда работают и могут привести к проблемам со входом.

    Рабочие примеры имени пользователя:

    Не рекомендуется: Пользователь WP Staging
    Рекомендуется: WPStagingUser

    Сброс пароля администратора WordPress

    был изменен. Возможно, кто-то из ваших коллег изменил его, не сообщив вам об этом.

    В этом случае вы можете попытаться сбросить учетные данные для входа, используя ссылку для сброса пароля.

    Если это по-прежнему не работает и ваше имя пользователя больше не доступно в базе данных промежуточных сайтов, вы можете создать нового пользователя-администратора, следуя этой статье.

    Свяжитесь с нами для получения помощи

    Если вам нужна дополнительная помощь, мы можем предложить вам посмотреть ваш веб-сайт, чтобы узнать, почему вы не можете войти в систему. log из wp staging > tools > system info

    Кроме того, сообщите нам, если вы получаете какие-либо конкретные сообщения об ошибках при входе в систему.

     

     

    Как заблокировать неудачный вход в WordPress

    Неудачный вход может произойти по разным причинам. Часто это просто результат того, что пользователь действительно забыл свой пароль. Это случается с лучшими из нас, чтобы мы не судили слишком строго. Однако иногда может происходить что-то более серьезное – кто-то пытается проникнуть внутрь.

    Искусство устранения неполадок при неудачном входе в систему

    Как и все другие проблемы WordPress, устранение неполадок (т. е. докопаться до сути вещей) — это первый шаг, который нам нужно предпринять. Это поможет нам убедиться, что мы имеем дело с фактической проблемой, а не с ее симптомом. К счастью, есть простой способ начать этот процесс — посмотреть на данные. По сути, вы должны увидеть одну из двух вещей:

    • Неверное имя пользователя и неправильная комбинация пароля

    Неправильная комбинация имени пользователя и пароля может произойти по одной из двух причин. Либо кто-то или что-то пытается угадать комбинацию имени пользователя и пароля для получения доступа, либо это целенаправленная атака. В случае с первым вариантом это довольно частое явление. В противном случае это может быть целенаправленная атака на ваш сайт либо для получения доступа, либо для перегрузки вашего сайта (DoS/DDoS).

    • Правильные комбинации имени пользователя и неправильного пароля

    Правильное имя пользователя и неправильная комбинация пароля могут означать одно из двух. Либо это реальный случай, когда кто-то забыл свой пароль, либо кто-то обнаружил фактическое имя пользователя, зарегистрированное в вашем WordPress, и теперь пытается угадать пароль.

    Еще одна вещь, на которую следует обратить внимание, это частота. Большое количество попыток за короткий период обычно является признаком автоматизированной атаки. С другой стороны, медленная и неравномерная временная шкала — явный признак человека, который еще не пил кофе.

    Опасность слишком большого количества неудачных попыток входа в систему

    Довольно распространены атаки с подбором пароля. Слишком много неудачных попыток входа в WordPress обычно указывают на такие атаки. Не имея способа справиться с этим, вы можете оставить свой сайт открытым для атак и сбоев. К счастью, управлять этим риском очень просто и требует минимальных административных усилий.

    WordPress не предлагает каких-либо функций для ограничения или выполнения обходных действий при неудачных попытках входа в систему. Пользователь может продолжать пробовать до тошноты, пока не добьется нужного результата. Хотя можно утверждать, что предоставление людям дополнительных шансов является этическим поступком, введение ограничений и контроля может иметь большое значение для обеспечения безопасности и целостности вашего веб-сайта WordPress.

    Как предотвратить неудачные попытки входа в WordPress

    Реализовать политику неудачных входов в WordPress проще, чем может показаться, благодаря MelaPress Login Security. Этот плагин предлагает администраторам общеизвестный швейцарский нож для реализации эффективного управления и надежной безопасности входа в систему, включая политику неудачных входов в систему.

    Вы можете легко выбрать количество неудачных входов в систему, которое пользователь, пытающийся войти в систему, должен накопить, прежде чем будет инициировано действие, что дает вам полный контроль над тем, насколько строгими или снисходительными вы хотите быть. После срабатывания порога вы можете выбрать, будет ли учетная запись автоматически разблокирована по истечении заданного периода времени или потребуется ручное вмешательство администратора. Вы также можете выбрать, нужно ли пользователю сбрасывать свой пароль или нет.

    Что еще нужно учитывать

    Еще один вариант, о котором стоит упомянуть, это CAPTCHA. Такие плагины, как CAPTCHA 4WP, отлично помогают остановить автоматизированные атаки. Поскольку CAPTCHA необходимо выполнить до того, как будет предпринята попытка входа в систему, боты, стоящие за такими атаками, не проходят тест и не предпринимают ни одной попытки входа в систему.

    Другим вариантом, который часто упоминается в разговорах о неудачных политиках входа, является блокировка IP-адресов. С помощью этой опции нарушающий IP-адрес заносится в черный список, что в первую очередь предотвращает его доступ к вашему веб-сайту. Хотя технически это правильно, настойчивый злоумышленник может просто использовать другой IP-адрес, что он может сделать с легкостью. Из-за этого стратегия блокировки IP-адресов часто заканчивается игрой в кошки-мышки.

    Один из лучших вариантов — использовать CDN (сеть доставки контента) и позволить им заниматься блокировкой нарушающих IP-адресов. Это может сэкономить вам драгоценное время, которое вы можете потратить на продуктивные вещи.

    Как разработать политику неудачного входа в WordPress

    Прежде чем мы начнем применять политику неудачного входа на веб-сайте WordPress, нам нужно подумать о нескольких вещах. Как и все другие проблемы, связанные с безопасностью, управление неудачными попытками входа в систему связано с парадоксом безопасности/удобства использования. Чем более безопасным является что-то, тем менее удобным оно становится. Верно и обратное. Не позволять никому входить в систему очень безопасно, но вряд ли можно использовать. Предоставление пользователям неограниченных возможностей для ведения журнала может поставить под угрозу безопасность, но повышает удобство использования.

    Вам нужно понять, какую свободу действий вы готовы предоставить своим пользователям. Традиционно три попытки считаются адекватными и разумными. Некоторые не согласны с этим мнением и считают, что максимально допустимое количество попыток входа составляет десять. В любом случае, предложение неограниченного количества попыток входа в систему не является хорошей стратегией и может иметь негативные последствия.

    Правда в том, что нет правильного или неправильного ответа. Три — безопасное число, но оно увеличивает административные издержки. Десять могут иметь меньшие административные накладные расходы, но сопряжены с большим риском.

    Таким образом, вы можете начать с ограничения количества попыток входа в систему до трех, а затем оценить ситуацию. При использовании MelaPress Login Security изменить этот номер очень просто. Таким образом, вы можете очень легко адаптировать политику к своим пользователям и обстоятельствам.

    Было бы лучше, если бы вы также подумали о том, что происходит, когда учетная запись блокируется. Должна ли учетная запись разблокироваться автоматически по истечении предварительно настроенного временного окна или ее должен разблокировать администратор вручную? Этот вопрос уступает той же проблеме, что и раньше: вам нужно выбирать между удобством использования и безопасностью. Другим важным аспектом, который может повлиять на эту часть политики, является местоположение ваших пользователей. Если люди входят в систему с другого конца света, рады ли вы проснуться в два часа ночи, чтобы разблокировать учетную запись? И если нет, то как долго пользователь должен ждать, прежде чем сможет снова войти в систему? Повлияет ли это на их производительность или на вашу прибыль?

    Выбор правильных плагинов (и политики) для управления неудачными входами в WordPress

    Как только вы поймете, какой должна быть ваша политика паролей и неудачных входов, вам нужно начать работать над реализацией. Ранее мы упоминали MelaPress Login Security в качестве основного кандидата. Он предлагает множество параметров конфигурации, что дает вам значительную свободу действий при настройке и реализации вашей политики паролей.

    После того, как вы включите политику неудачных входов в систему для WordPress, вы можете выбрать, сколько попыток у пользователей будет, прежде чем их учетная запись будет заблокирована. Вы также можете решить, как он будет разблокирован и хотите ли вы заставить пользователей менять свои пароли или нет, как описано ниже.

    Шаг 1: Установите и активируйте MelaPress Login Security

    Установить MelaPress Login Security очень просто. Вы можете скачать плагин MelaPress Login Security, а затем загрузить его на свой веб-сайт WordPress.

    После установки плагина нажмите Плагины в боковом меню WordPress, найдите плагин и нажмите Активировать . Это добавит новый пункт меню под названием Password Policies , на который вам нужно нажать.

    Шаг 2. Включите политику неудачных входов в систему

    Установите флажок рядом с Включить политики неудачных входов, чтобы ограничить неудачные попытки входа на ваш сайт WordPress. Введите количество неудачных попыток входа в систему до блокировки пользователя, при этом 3–5 обычно считаются хорошим началом.

    Другие параметры конфигурации включают в себя то, что происходит после блокировки учетной записи и требуется ли заблокированным пользователям сбрасывать свой пароль при разблокировке. Дополнительные сведения см. в статье базы знаний WordPress о политике неудачных входов в систему.

    Шаг 3: Примите дополнительные меры безопасности

    CAPTCHA

    Мы также коснулись CAPTCHA — вездесущего теста, присутствующего во многих логинах и формах, который предназначен для того, чтобы люди могли проходить, останавливая ботов и другие формы автоматических атак. Плагины, такие как CAPTCHA 4WP, упрощают реализацию таких тестов, предлагая универсальную совместимость и поддержку различных версий.

    Двухфакторная аутентификация

    Двухфакторная аутентификация является обязательной для повышения безопасности процессов входа в систему. В ходе этого процесса пользователям необходимо пройти аутентификацию во второй раз, введя одноразовый пароль, предоставленный через их смартфон. Используя 2FA, которую вы можете легко сделать с помощью плагинов, таких как WP 2FA, вы можете быть уверены, что даже если пароли будут скомпрометированы, если у человека нет телефона, привязанного к этой учетной записи пользователя, он не сможет войти в систему.

    Шаг 4: Еще один шаг (необязательно)

    С политиками пароля и неудачного входа в систему, CAPTCHA и двухфакторной аутентификацией вы должны быть хорошо защищены.

    Однако, если на вашем веб-сайте по-прежнему происходит большое количество неудачных попыток входа в систему, вам следует рассмотреть возможность использования службы CDN. Возможно, вы захотите поговорить с вашим провайдером веб-хостинга, чтобы помочь вам внедрить решение, подходящее для крупномасштабных атак.

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *