Итак, для начала нужно установить плагин Login LockDown.
Удобнее всего, из репозитория WordPress (благо, он там есть).
После активации плагина переходим в «Настройки» и видим там меню с одноимённым названием плагина, который только что поставили.
Переходим и перед нами следующее окно настроек:
Тут буквально пара настроек, ничего сложного. Разберём по порядку:
- Max Login Retries — в это поле вбиваем число попыток авторизации.
- Retry Time Period Restriction (minutes) — этот параметр задаёт время (в минутах), в течение которого будут считаться эти попытки авторизации.
- Lockout Length (minutes) — это количество минут, на которое «хакер» улетит в бан. Иначе говоря — время блокировки.
То есть, объединив 3 этих параметра, получаем в данном примере следующие условия: если ввести 5 раз неправильные данные в течение 10 минут, то получаем блокировку на время, которое начинается на «999»…
В принципе настроив хотя бы эту часть, защита от подбора пароля уже будет неплохая. Но есть ещё 2 параметра:
- Lockout Invalid Usernames?
- Mask Login Errors?
Позволяют они замаскировать уточняющие сообщения для того, кто подбирает пароль. Рекомендуем выставить оба переключателя на YES, чтобы было НЕочевидно — то ли логина не существует, то ли пароль к аккаунту не подходит.
Последняя же опция предоставляет выбор — показывать ли ссылку на сайт разработчика столь полезного плагина или же нет.
Окей. Что дальше?
А дальше (точнее — ниже) будет через некоторое время примерно такая картина:
Здесь список заблокированных IP за всё время. Видите полосу прокрутки страницы? Вот их сколько накопилось за некоторое время…
А если нужно будет разблокировать какие-то адреса, вычеркнув их из этого списка, то ставим галочку рядом с нужными из них и нажимаем на кнопку в самом низу:
Если вдруг «повезёт» и плагин заблокирует админа (вас), то можно либо сменить IP, либо отключить плагин, переименовав временно папку с плагином на сервере.