Omezení počtu opakovaných přihlášení

Dnes jsem na webu vytvořil novou kategorii, která se bude zabývat bezpečností WordPressu. Ukážeme si, jak omezit počet pokus o opakované přihlášení na váš web.

Hacknutí webu, je noční můra, pro každého Webmastera. Kdo by také chtěl jen tak přijít o plody své práce, během několika málo chvil. Dobrou zprávou je, že většina „hackerů“, to prostě jenom zkouší a nemají dostatek dovedností na sofistikovanější útoky na váš web.

Jednou ze snadných cest, jak se dostat k někomu do administrace WordPressu je útok na přihlašovací formulář, pomocí brutální síly. Bohužel nemá WP možnost, jak omezit počet opakovaných přihlášení a tak stačí jen do nekonečna používat některý z generátorů esel a snažit se najít to správné. Teoreticky vám tímto způsobem prolomí heslo kdokoliv, ale počet variant, se při použití kvalitního hesla, zvyšuje do neuvěřitelných čísel.

Pokud máte heslo, které je snadněji prolomitelné, vystavujete se riziku, že přijdete o plody své práce. Jeden ze způsobů, jak ztížit hackerům život, je plugin, jenž umožní omezit počet opakovaných přihlášení.

Limit Login Attemps

Tento na nastavení, poměrně jednoduchý plugin, nainstalujete z repositáře WordPress.org – Limit Login Attempts a podle toho, jaké máte požadavky na bezpečnost, nastavíte jednotlivé body:

  • Počet přihlášení, po nichž bude login form zamknut
  • Doba, na kterou bude login form zamknut
  • Počet zamknutí, po kterých bude znemožnění přihlášení na delší dobu – pokud se tedy někdo pokusí opakovaně přihlašovat a nastavíte 4x, tak až se mu přihlášení znemožní po čtvrté, nebude to na dříve definovanou dobu, ale na dobu, kterou definujete zde, například 48 hodin
  • Doba pro vymazání uložených údajů o přihlášení. Například po dvanácti hodinách se počet zamknutí vymaže.
  • Umožnit přihlášení z poza proxy
  • Ukládat cookies o přihlášení
  • Ukládat IP adresy, ze který byly pokusy o přihlášení
  • Informovat administrátora o zamčení po určitém počtu zamknutí z jedné IP adresy. Zde můžeme předpokládat, že se někdo snaží cíleně proniknout na váš web, protože mu stojí za to čekat na odblokování přihlášení a bude třeba pozornosti admina.

Zde ještě screen z nastavení pluginu

Limit Login Attempts ‹ WP site — WordPress

About The Author

Zajímá mne Wordpress, responsivní šablony a zkrátka vše kolem tohoto skvělého redakčního systému.

Související články

5 Comments

  1. Vlastimil Ott

    Na tom pluginu mi chybí vytvoření blacklistu, jinak jsem s ním spokojený a používám ho dlouho. Dostal jsem se na 900hodinový interval blokování…

    Odpověď
  2. Togur

    Pěkný článek. Plugin používám k plné spokojenosti již delší dobu. Jen mě dělá nervózní, že nebyl již téměř 2 roky aktualizován. Vybíráš nástupce nebo to neřešíš?

    Odpověď
  3. Radek

    líbí se mě vaše info o pluginech, ale vracím se k původní otázce. Třeba Limit Login Attemps nebyl již 3 roky aktualizován. Instalovat, nebo ne?

    Radek

    Odpověď

Přidejte komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *