W związku z nasilającymi się atakami na WordPress (opis m.in. na stronie niebezpiecznik.pl) generującymi bardzo duże obciążenie dla serwera, wprowadziliśmy zabezpieczenie, które przed zalogowaniem do panelu administratora wymaga potwierdzenia, że jest się człowiekiem (a nie botem).

Wersja nowa (aktualnie w fazie testów):

Zgodnie z pojawiającym się komunikatem, należy po pojawieniu się komunikatu jedynie kliknąć w przycisk "Nie jestem robotem / I'm not a robot".

Wersja poprzednia:

Zgodnie z pojawiającym się komunikatem, należy wpisać jako login jestem, a hasło czlowiekiem (bez polskiego znaku, tj. "l" zamiast "ł").


Zabezpieczenie obejmuje jedynie atakowane pliki wp-login.php, zatem jeśli z jakiegoś powodu chcieliby Państwo pozostać przy starej metodzie logowania, należy skorzystać z wtyczki zabezpieczającej panel administratora poprzez zmianę standardowej nazwy pliku na inną (np. "Change wp-admin login").

W sytuacji, w której praktycznie każda strona oparta o WordPress jest notorycznie atakowana (prędzej lub później) nie widzimy możliwości pozostawienia standardowej strony logowania bez odpowiednich zabezpieczeń.

Aby wyłączyć zabezpieczenie (zdecydowanie to odradzamy - w skrajnych wypadkach może dojść do blokady konta ze względu na wygenerowane obciążenie), należy do pliku .htaccess wybranej domeny dodać kod:

<Files "wp-login.php">
Satisfy any
</Files>

alternatywnie można zezwolić tylko jednemu adresowi/sieci na dostęp do panelu dodając do .htaccess:

<Files "wp-login.php">
Satisfy all
Deny from all
Allow from ADRES_IP
</Files>

gdzie ADRES_IP to adres IP zaufanego urządzenia (można go pobrać np. ze strony jaki jest mój adres IP).

Dodatkowo zabezpieczamy system dodawania komentarzy - jest on ograniczony do 2 komentarzy w ciągu 60 sekund. W przypadku przekroczenia tego limitu, adres IP jest blokowany na 5 minut. Zalecamy korzystanie z wtyczki disqus, która używana jest przez największe serwisy oparte o WordPress i jest pozbawiona w/w ograniczeń.

Ponadto skrypt xmlrpc.php, który w 99,99% przypadkach wykorzystywany jest tylko do prób przesyłania spamu, jest dodatkowo przez nas zabezpieczony. Aby umożliwić dostęp do skryptu dla wybranego adresu IP, należy postępować zgodnie z poradnikiem: jak zezwolić na dostęp do pliku xmlrpc.php.

Czy wiesz że...?

WordPress, jako najpopularniejszy na świecie skrypt wykorzystywany do budowy stron www jest naturalnym celem wszelkiej maści internetowych "kombinatorów". Z tego powodu wymaga on szczególnej troski ze strony zarówno administratorów serwerów, jak i samych użytkowników. Jako firma oferująca hosting WordPress posiadamy szereg autorskich zabezpieczeń znacznie utrudniających włamanie czy spam. Niezależnie od tego oraz mimo posiadania przez skrypt takich funkcjonalności jak automatyczne aktualizacje, zaleca się korzystanie tylko ze sprawdzonych motywów i wtyczek (a także rezygnację z tych nieużywanych) oraz wyłączenie możliwośći rejestrowania użytkowników i komentowania wpisów, o ile nie jest to potrzebne.

Jednocześnie informujemy, że jako firma hostingowa nie prowadzimy wsparcia technicznego z obsługi zewnętrznych skryptów (takich jak WordPress), a powyższy poradnik nie musi być zgodny z oficjalnymi zaleceniami jego twórców. W przypadku dalszych wątpliwości zachęcamy do odwiedzenia strony https://pl.wordpress.org/support/.

Czy odpowiedź była pomocna?
Przeczytaj również
Zmiana utraconego hasła WordPress (Zobacz: 1933)
Jak przyspieszyć WordPressa? (Zobacz: 2196)
Błąd: "Fatal error: Allowed memory size..." - podniesienie parametru memory_limit w WordPress (Zobacz: 638)
Tworzenie kopii bezpieczeństwa WordPressa (Zobacz: 1264)
Błąd 404 na podstronach (wpisach / stronach) WordPress (Zobacz: 1573)

Powered by WHMCompleteSolution