W związku z nasilającymi się atakami na WordPress (opis m.in. na stronie niebezpiecznik.pl) generującymi bardzo duże obciążenie dla serwera, wprowadziliśmy zabezpieczenie, które przed zalogowaniem do panelu administratora wymaga potwierdzenia, że jest się człowiekiem (a nie botem). Zgodnie z pojawiającym się komunikatem, należy wpisać jako login jestem, a hasło czlowiekiem (bez polskiego znaku, tj. "l" zamiast "ł").


Zabezpieczenie obejmuje jedynie atakowane pliki wp-login.php, zatem jeśli z jakiegoś powodu chcieliby Państwo pozostać przy starej metodzie logowania, należy skorzystać z wtyczki zabezpieczającej panel administratora np. poprzez zmianę standardowej nazwy pliku na inną.

W sytuacji, w której praktycznie każda strona oparta o WordPress jest notorycznie atakowana (prędzej lub później) nie widzimy możliwości pozostawienia standardowej strony logowania bez odpowiednich zabezpieczeń.

Aby wyłączyć zabezpieczenie (zdecydowanie to odradzamy - w skrajnych wypadkach może dojść do blokady konta ze względu na wygenerowane obciążenie), należy do pliku .htaccess wybranej domeny dodać kod:

<Files "wp-login.php">
Allow from all
Satisfy any
</Files>

Dodatkowo zabezpieczamy system dodawania komentarzy - jest on ograniczony do 2 komentarzy w ciągu 60 sekund. W przypadku przekroczenia tego limitu, adres IP jest blokowany na 5 minut. Zalecamy korzystanie z wtyczki disqus, która używana jest przez największe serwisy oparte o WordPress i jest pozbawiona w/w ograniczeń.

Ponadto skrypt xmlrpc.php, który w 99,99% przypadkach wykorzystywany jest tylko do prób przesyłania spamu, jest dodatkowo przez nas zabezpieczony. Aby umożliwić dostęp do skryptu dla wybranego adresu IP, należy zalogować się do panelu DirectAdmin i podać ten adres w zakładce "Ochrona www".

Czy wiesz że...?

WordPress, jako najpopularniejszy na świecie skrypt wykorzystywany do budowy stron www jest naturalnym celem wszelkiej maści internetowych "kombinatorów". Z tego powodu wymaga on szczególnej troski ze strony zarówno administratorów serwerów, jak i samych użytkowników. Mimo posiadania przez skrypt takich funkcjonalności jak automatyczne aktualizacje, zaleca się korzystanie tylko ze sprawdzonych motywów i wtyczek (a także rezygnację z tych nieużywanych) oraz wyłączenie możliwośći rejestrowania użytkowników i komentowania wpisów, o ile nie jest to potrzebne.
Czy odpowiedź była pomocna?
Przeczytaj również
Instalacja WordPress za pomocą narzędzia Wordpress2Click (Zobacz: 4001)
Zmiana utraconego hasła WordPress (Zobacz: 164)
Jak wdrożyć SSL (https) do WordPressa? (Zobacz: 602)
Błąd łączenia się z bazą danych (Error Establishing a Database Connection) w WordPress (Zobacz: 957)
WordPress przestał działać (Zobacz: 317)

Powered by WHMCompleteSolution