Уважаемые Вебмастера, представляем Вашему вниманию новейшую технологию защиты страницы входа в панель управления CMS WordPress, разработанную нами в начале 2015 года и прошедшую испытания на нескольких сайтах наших партнёров и друзей. За это время мы провели большое количество тестов, моделировали всевозможные атаки, замеряли нагрузку на сервер. Защита оказалась настолько удачной и мощной, что нагрузка от интенсивного перебора паролей (bruteforce) упала практически до нуля и в миллиарды раз повысилась стойкость к подбору пароля, при условии установки кода Активации (речь о котором пойдёт чуть ниже) длинной не менее 10 символов.

Как Вы наверное знаете, за оформление и функционирование страницы входа WordPress отвечает файл wp-login.php, мы усовершенствовали его, изменили дизайн, добавили поле ввода «Активация», заменили функцию вывода ошибок и написали оригинальный php код, который проверяет правильность ввода кода Активации. Все изменения в wp-login.php, производились с соблюдением всех правил и рекомендаций разработчиков легендарного WordPress, новый код получился надёжным и стабильным. Теперь, чтобы зайти в панель управления, Вы должны ввести Имя, Пароль и заполнить новое поле Активация, посмотрите как теперь выглядит страница входа :

Защищённая страница входа WordPress

Популярность CMS WordPress обусловлена тем, что он создан очень удобным и универсальным, но как только у Вас начинает тормозить сайт или падать сервер от постоянных атак на файл wp-login.php, стандартной защиты становится недостаточно, начинаются поиски решений как снизить нагрузку и защитить Админ панель от взлома. Каждый решает эту проблему по своему, кто-то устанавливает различные плагины, создающие ещё большую нагрузку, кто-то фильтрует IP с помощью файла .htaccess, который разрастается до огромных размеров, некоторые с помощью того же .htaccess запрещают доступ к wp-login.php, что делает невозможным нормальный вход и выход из панели управления, кто-то переименовывает wp-login.php, нарушая работу движка и отдавая хакерам при каждой атаке 404 ошибку, тем самым перегружая сервер даже при лёгком брутфорсе. Наша технология защиты лишена подобных недостатков и работает в полной гармонии со всеми функциями WordPress.

Принцип работы новой защиты основан на добавлении к странице авторизации поля ввода «Активация», которое имеет повышенный приоритет в процессе авторизации на Вашем сайте, и правильность его заполнения проверяется в первую очередь. Если в запросе отсутствует это поле, или в нём допущена ошибка, сервер отдаёт короткую строчку с сообщением «ANTIBRUTEFORCE», при этом не делая ни одного запроса к базе данных и не подключая для работы ни одного системного файла WordPress. В связи с этим, сервер практически не чувствует ни малейшей нагрузки даже при мощных попытках подбора паролей и в сотни раз снижается потребление трафика. В случае ошибок в других полях, сервер отдаёт точно такой же, короткий ответ «ANTIBRUTEFORCE», не давая шанса злоумышленнику узнать в каком поле ввода допущена ошибка. На изображениях ниже показано как это происходит :

Поведение нашего кода при ошибке Авторизации (для наглядности включена консоль диагностики) :

Поведение нашей защиты при ошибке авторизации

Для сравнения, поведение стандартного кода при ошибке Авторизации :

Стандартная ошибка авторизации WordPress

Данная технология защиты, подходит практически для любых сайтов на движке WordPress, кроме тех, на которых обязательна регистрация пользователей, потому что, в нашем wp-login.php, отключены функции регистрации, сброса пароля и его восстановления через E-mail, это сделано для поддержания защиты Вашего сайта на максимально высоком уровне. Для сайтов с которыми работают несколько человек, необходимо просто сообщить код Активации всем пользователям, которым Вы доверяете. Также, у формы авторизации по умолчанию отключено автозаполнение полей, для безопасной работы на чужом компьютере.

Установка защиты для WordPress очень проста и не вызовет трудностей даже у начинающих Вебмастеров. После получения архива с файлом wp-login.php, Вам нужно заменить в нём код Активации установленный по умолчанию на свой, и произвести замену стандартного wp-login.php, находящегося в корневой папке Вашего сервера, на полученный в архиве, с установленным Вами кодом Активации. Более подробно весь процесс установки описан в файле readme, который также находится в архиве, в этом же файле затронуты вопросы касающиеся автоматического обновления WordPress.

Приобрести наш код Вы можете у партнёров сервиса DIGISELLER, его стоимость составляет 500 рублей, что согласитесь совсем недорого, для защиты такого высокого уровня, спокойная жизнь стоит намного дороже. Ниже приведена ссылка на страницу покупки защиты, для всех популярных версий движка. Если Вы приобретаете код для версии 3.8, то он гарантированно будет работать со всеми минорными версиями, например 3.8.1, 3.8.2, 3.8.3 и так далее. Будьте очень внимательны, покупайте защиту которая подходит именно для Вашего WordPress, и тогда Вам не будут страшны любые брутфорс атаки !!!