[artanik]

Приветствую, уважаемые форумчане. Несмотря на довольно давнюю регистрацию на этом форуме, как-то всё это время находился в качестве читателя. Сейчас же решил исправить эту ситуацию и предложить вашему вниманию мой плагин для вордпресс, который изменяет привычные страницы авторизации /wp-admin или /wp-login.php на страницу, которую вы зададите в настройках.

Брут в наше время очень популярен среди злоумышленников. Так как это один из самых простых (и длительных) методов взлома, начинающие хакеры очень часто его практикуют. Также подбор паролей сильно нагружает сервер. А сайты на вордпресс — удобное место для практики, и вот почему:

1. В основном логин к сайту не изменяют, оставляя admin
2. Пароли подбирают не надёжные
3. И самое главное, вход в админку один, и все его знают.

Так вот если первые два пункта ещё можно решить из коробки, то последний только с помощью плагинов. Полазив в интернете я нашел пару кривых таких плагинов, но меня не устраивало то, что там просто редиректит на главную или выдаёт 404 ошибку, я же хотел вывести угрожающий или оскорбляющий текст, что бы поставить этого человека на место. Так вот и родилась идея написать плагин с эпическим названием Hack me if you can.



Теперь после установки и настройки плагина вместо привычной формы входа по адресу /wp-admin или /wp-login.php будет выводиться текст, а что бы войти в админку нужно перейти по указанной ссылке, которая задана в настройках, например на скриншоте это /?newadminpath или если есть ЧПУ, то /newadminpath. Если оставить поле пустым, плагин отключится. Поле «Текст для взломщика:» заполняется по желанию, но если его оставить пустым, будет редирект на страницу /404.php.

Ну а вот собственно и сам плагин

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 1 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

Плагин абсолютно бесплатный, но если кому-то очень понравится, то отблагодарить меня можно по реквизитам указанным в настройках плагина. И хотя этот плагин не панацея от взлома сайтов на движке вордпресс, но как дополнительный элемент защиты, думаю будет полезен.

[codename]

а он не будет конфликтовать с тем же Login Lock, они оба смогут работать?

[artanik]

codename, не могу сказать, нужно тестировать. Тестировалось на сайтах с небольшим количеством плагинов, среди которых не было Login Lock, всё работает нормально.

[brig]

artanik, Better WP Security - объединяет функции: смена страницы входа, защита от подбора логина/пароля, можно задать время блокировки входа в админку сайта и много еще чего полезного. Единственно, нужно быть аккуратнее при выставлении настроек на блокировку попыток количества входов - пара сайтов из-за этого вылетела из яндекса, так как робот был забанен (когда заметил, то исправил, но было не приятно)

[Александр_WM]

brig, "нужно быть аккуратнее при выставлении настроек на блокировку попыток количества входов" - обьясни поподробнее на этом моменте. У меня установлен плагин Limit Login Attempts и ограничение попыток авторизации 8, это не есть хорошо? робот что пытается пройти авторизацию на сайте? :)

[brig]

Александр_WM,неправильно выразился :) робот разумеется не пытается авторизоваться :) у плагина есть другие настройки блокировки, например из-за частой ошибки 404, также есть свой черный список.
К тому же, пользовался одновременно с Better WP Security плагином BulletProof Security его просто отключил. Возможно какая-то из его настроек могла повлиять, с ним разбираться не стал.

[JaTony]

юзал раньше login lock, но в итоге пришел к выводу что лучше всего кинуть .htaccess файлик в папку wp-admin с таким кодом:
################################################## #############
order deny,allow
deny from all


# whitelist home IP address
allow from 123.456.789.1
allow from 123.456.789.2
allow from 123.456.789.3


#ErrorDocument 301 http://domain.com
#ErrorDocument 401 /
ErrorDocument 403 http://domain.com
ErrorDocument 404 http://domain.com
ErrorDocument 500 http://domain.com
################################################## #############
здесь вы указываете список своих ip, их может быть сколько угодно, а если ip у вас динамический в пределах какой-то группы, то и для такого расклада можно указать ip по группе. В итоге перебирать пароли просто не выйдет, т.к. все что находится в wp-admin будет просто не доступно для взломщиков. Конечно можно ломануть все что угодно, например если подменить ip, но узнать конкретно ваш ip, а потом замаскироваться под него имхо уже куда как сложней и тому кто знает как это сделать ваш сайт на ворпрессе 99.9% не нужен, также если узнают ваш пароль от фтп, то смогут добавить и свой ip, но если будет известен ваш пароль от фтп, то это уже совсем капец и там и подбирать в принципе ничего уже не надо будет.

[codename]

юзал раньше login lock

а почему от него отказались, какие с ним были проблемы?

[brig]

действительно, если захотят взломать, то взломают :)

[web-search]

К сожалению плагин где-то затерялся, ТС исправьте ситуацию, иль проясните: