Przydatne Wtyczki #4: Limit Login Attempts Reloaded

Ten wpis to część serii „Przydatne wtyczki” w której opisuję wtyczki warte uwagi i zainstalowania w konkretnych przypadkach.


Strona wtyczki: https://pl.wordpress.org/plugins/limit-login-attempts-reloaded/

Uwaga – istnieje też dużo starsza i nieaktualizowana wersja tej wtyczki: Limit Login Attempts: https://pl.wordpress.org/plugins/limit-login-attempts/

Co robi ta wtyczka?

Wtyczka jak sama nazwa wskazuje, służy do ograniczenia liczby prób logowań na stronie. Zapobiega to atakom typu brute force, gdzie atakujący próbuje „zgadnąć” hasło do naszego kokpitu logując się z użyciem różnych kombinacji haseł.

Dla kogo jest przeznaczona?

Praktycznie dla każdego, chyba, że dostęp do naszego kokpitu zabezpieczony jest w inny sposób np. poprzez autoryzację dwuskładnikową (2FA), poprzez dodatkowe logowanie z użyciem HTTP Basic Auth albo po prostu posiadamy wtyczkę, która posiada taką funkcję wbudowaną (większość „kombajnów” od bezpieczeństwa typu iThemes Security, Wordfence itp. posiada taką funkcję, jednak osobiście nie polecam ich stosowania).

Jak jej używać?

Po zainstalowaniu wtyczki, pojawi się nam dodatkowa pozycja w sekcji ustawień:

W ustawieniach wtyczki możemy określić po ilu próbach użytkownik będzie blokowany, na jaki czas użytkownik będzie blokowany oraz ile blokad powoduje wydłużenie blokady.

Możemy też dostawać informację o blokadzie na adres e-mail.

Mamy też możliwość zdefiniowania „białej listy” i „czarnej listy” z wykorzystaniem adresów IP (lub zakresów adresów IP) oraz nazw użytkownika.

Biała lista powoduje brak blokad z zadanego adresu IP/nazwy użytkownika, natomiast czarna lista powoduje automatyczną blokadę po spełnieniu kryteriów:

Gdy będziemy się logować i podamy niewłaściwe dane, zobaczymy następujący komunikat:

Ciekawostki i triki

  1. Boty najczęściej próbują korzystać z popularnych nazw użytkownika np. „admin”, dlatego jeśli nie używasz takiej nazwy (co gorąco polecam ;)), to warto od razu dodać ją na czarną listę,
  2. Jeżeli posiadasz statyczny adres IP, warto rozważyć dodanie go do białej listy,
  3. Gdyby przypadkiem udało nam się zablokować samych siebie na dłuższy czas można po prostu tymczasowo wyłączyć wtyczkę poprzez usunięcie jej katalogu używając programu FTP. Inna opcja to wykonanie odpowiednich zapytań MySQL.