Если вы используете CMS WordPress для вашего сайта, то убедитесь, что пароль в админ-панель устойчив для подбора, а также постарайтесь обезопасить свой сайт.
Советы по защите от Brute Force атак, которые приводит сам Wordpress:
1. Не используйте имя пользователя "admin". Если вы не меняли имя после создания своего аккаунта на WordPress, то создайте новый аккаунт с другим именем, перенесите туда все посты и измените имя пользователя "admin" (или вообще его удалите). Кроме того, вы можете использовать плагин Admin Renamed Extended, который позволяет быстро поменять имя пользователя.
2. Используйте сложный пароль. Для генерации пароля можно использовать автоматические системы генерации паролей.
Придумывая пароль, не используйте в нем имена, название вашей компании или сайта, не используйте словарные слова, только буквы или только цифры, избегайте коротких паролей.
Сложный пароль защитит не только содержимое сайта. Получив доступ в админ-панель сайта, хакер может установить различные скрипты, которые могут нанести вред всему серверу.
3. Вы можете использовать следующие плагины, которые ограничивают количество попыток входа или блокируют тех, кто пытаются получить доступ к wp-admin:
- Limit Login Attempts
- Lockdown WP Admin
- WP Fail2Ban
- Admin Renamed Extended
- Enforce Strong Password
- Wordfence Security
- 3WP Activity Monitor
- All in one WP Security
4. Если вы - единственный администратор своего сайта, вы можете заблокировать вход в админ-панель для всех, кроме себя через файл .htaccess. Естественно, вы можете использовать этот способ, только если у вас статический IP-адрес. Откройте файл в текстовом редакторе в корневой директории Вашего сайта, например public_html, и добавьте следующее:
<Files wp-login.php>
order deny,allow
deny from all
allow from x.x.x.x
</Files>
SetEnvIf Remote_Addr х.х.х.х realremoteaddr order allow, deny allow from env=realremoteaddr deny from allЕсли необходимо добавить еще один IP-адрес доступа, то прописываем аналогичную строку с другим адресом под указанной. Если темы или плагины вашего сайта используют AJAX, в файл .htaccess необходимо добавить следующую информацию.
# Allow acces to wp-admin/admin-ajax.php
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Сохраните файл и загрузите его в вашу папку wp-admin. Если вы ограничиваете доступ к wp-admin в Nginx и используете AJAX, вы должны добавить в файл следующую запись
location /wp-admin/admin-ajax.php {
allow all;
}
Дополнительную информацию по защите вашего сайта на Wordpress от взлома вы можете прочесть здесь. Позаботьтесь о защите содержимого ваших сайтов.