Описание
Limit Login Attempts Reloaded служит надежным средством защиты от атак грубой силы, повышая уровень безопасности и оптимизируя работу сайта. Это достигается за счет ограничения количества попыток входа в систему. Это касается не только стандартного метода входа в систему, но и XMLRPC, Woocommerce и пользовательских страниц входа. Имея более 2,5 млн. активных пользователей, этот плагин отвечает всем вашим требованиям к безопасности входа в систему.
Плагин работает по принципу автоматического предотвращения дальнейших попыток с определенного IP-адреса и/или имени пользователя после превышения заданного лимита повторных попыток. Это значительно снижает эффективность атак грубой силы на ваш сайт.
По умолчанию WordPress разрешает неограниченное количество попыток входа в систему, что создает уязвимость, при которой пароли могут быть легко расшифрованы методом грубой силы.
Limit Login Attempts Reloaded Premium (Try For 7 Days)
Upgrade to our premium version to extend cloud-based protection to the Limit Login Attempts Reloaded plugin, thereby enhancing your login security. The premium version includes a range of highly beneficial features, including IP intelligence to detect, counter and deny malicious login attempts. Your failed login attempts will be safely neutralized in the cloud so your website can function at its optimal performance during an attack. Activate the premium version now to fortify your login security using the most trusted login security plugin available!
Особенности (бесплатная версия):
- Limit Logins — ограничение количества повторных попыток входа в систему (на каждый IP).
- Настраиваемое время блокировки — изменение времени ожидания пользователя или IP после блокировки.
- Оставшиеся попытки — информирует пользователя об оставшихся попытках или времени блокировки на странице входа в систему.
- Уведомления о блокировках по электронной почте — информирует администратора по электронной почте о блокировках.
- Журнал запрещенных попыток — просмотр журнала всех запрещенных попыток и блокировок.
- IP & Username Safelist/Denylist — контроль доступа к именам пользователей и IP-адресам.
- Сукури совместимость.
- Совместимость с ВордФенс .
- Ultimate Member compatibility.
- Защита шлюза XMLRPC.
- Защита страницы входа в Woocommerce .
- Совместимость с несколькими сайтами с дополнительными настройками MU.
- Соответствует GDPR .
- Поддержка пользовательских IP-адресов (Cloudflare, Sucuri и др.).
Особенности (Премиум-версия):
- Оптимизатор производительности — снимает с сервера нагрузку, связанную с избыточным количеством неудачных входов в систему, защищая ресурсы сервера, что приводит к повышению скорости и эффективности работы вашего сайта.
- Расширенная IP-аналитика — выявление повторяющихся и подозрительных попыток входа в систему для обнаружения потенциальных атак методом грубой силы. IP-адреса с известной вредоносной активностью сохраняются и используются для предотвращения и противодействия будущим атакам.
- Enhanced Throttling — Увеличение интервалов блокировки при каждой неудачной попытке входа в систему со злонамеренного IP-адреса или имени пользователя.
- Deny By Country — запретить IP-адреса по странам.
- Auto IP Denylist — автоматическое добавление в активный список запрета IP-адресов, которые неоднократно терпят неудачу при попытке входа в облако.
- Глобальная защита Denylist — Используйте наши активные облачные IP-данные с тысяч веб-сайтов в сети LLAR.
- Synchronized Lockouts — Lockout IP data can be shared between multiple domains for enhanced protection in your network.
- Синхронизированный список Safelist/Denylist — данные об IP-адресах и именах пользователей списка Safelist/Denylist могут быть общими для нескольких доменов.
- Premium Support — поддержка по электронной почте с техническим специалистом по безопасности.
- Автоматическое резервное копирование всех данных ИС — хранение активных данных ИС в облаке.
- Расширенные журналы блокировок — Получите ценную информацию о происхождении IP-адресов, пытающихся войти в систему.
- Загрузка данных об IP-адресах в формате CSV — прямая загрузка данных об IP-адресах из облака.
- Supports IPV6 Ranges For Safelist/Denylist
- Разблокировать заблокированного администратора — легко разблокировать заблокированного администратора через облако.
*Some features require higher level plans. Please view our pricing for a full list of plans and features.
Обновление со старого плагина Limit Login Attempts?
- Перейдите в раздел плагинов в бэкэнде вашего сайта.
- Удалить плагин Limit Login Attempts Reloaded.
- Установить плагин Limit Login Attempts Reloaded.
Все ваши настройки останутся нетронутыми!
В настоящее время в плагине Limit Login Attempts Reloaded поддерживаются многие языки, но мы приветствуем любые дополнительные.
Помогите нам распространить Limit Login Attempts Reloaded еще в большем количестве стран.
Переводы: Болгарский, Португальский (Бразилия), Каталанский, Китайский (традиционный), Голландский, Китайский (традиционный), Чешский, Голландский, Венгерский, Французский, Немецкий, Венгерский, Норвежский, Персидский, Румынский, Русский, Испанский, Турецкий, Шведский
Плагин использует только стандартные действия и фильтры.
Основан на исходном коде плагина Limit Login Attempts от Johan Eenfeldt.
Руководство по брендингу
Limit Login Attempts Reloaded™ является торговой маркой компании Atlantic Silicon Inc. При написании отзыва о плагине обязательно используйте Reloaded после Limit Login Attempts. Limit Login Attempts — это старый плагин.
- Limit Login Attempts Reloaded (correct)
- Limit Login Attempts (incorrect)
Скриншоты
Часто задаваемые вопросы
-
Что мне делать, если все пользователи заблокированы?
-
Если вы используете современный хостинг, то, скорее всего, ваш сайт использует прокси-сервис домена, например CloudFlare, Sucuri, Nginx и т.д. Они заменяют IP-адрес пользователя своим собственным. Если ваш сервер настроен неправильно, то все пользователи будут получать один и тот же IP-адрес. Это также относится к ботам и хакерам. Поэтому блокировка одного пользователя приведет к блокировке всех остальных. В бесплатной версии плагина это можно настроить с помощью параметра Trusted IP Origin. В премиум-версии облачный сервис интеллектуально распознает нестандартные IP-адреса и корректно их обрабатывает, даже если ваш хостинг-провайдер этого не делает.
-
Как узнать, подвергаюсь ли я атаке?
-
Простой способ проверить, легитимна ли атака, — скопировать IP-адрес из уведомления о блокировке и перейти на сайт https://whatismyipaddress.com/ip-lookup. Введите IP-адрес и посмотрите, узнаете ли вы его местоположение. Если местоположение не является узнаваемым и вы получили несколько неудачных попыток входа в систему, то, скорее всего, вы подверглись атаке. Ежедневно вы можете замечать десятки или сотни IP-адресов.
-
После перехода на премиум-версию в админке WordPress появится новая панель, на которой будут отображаться все атаки, которые теперь будут передаваться через наш облачный сервис.
Атаки по-прежнему будут наблюдаться, поскольку они не прекратятся независимо от обновления, но теперь наш облачный сервис будет безопасно обрабатывать и нейтрализовывать их, не отнимая ресурсов у вашего сайта. Это очень важно и положительно сказывается на стабильности и производительности вашего сайта.
В некоторых случаях вы можете заметить увеличение скорости и эффективности работы вашего сайта. Кроме того, уменьшится количество уведомлений о блокировке по электронной почте.
-
Могут ли эти неудачные попытки входа в систему быть поддельными?
-
Некоторые пользователи считают, что такое количество неудачных попыток входа в систему невозможно, тем более что сайт только что создан или имеет минимальный человеческий трафик. Сразу оговоримся, что эти неудачные попытки входа в систему генерируются НЕ плагином. Новые сайты часто размещаются на общем IP-адресе, что облегчает их поиск хакерами. Кроме того, новые доменные имена часто просматриваются сразу после их создания, поэтому, как только на них создается WordPress-сайт, он становится уязвимым для атак. Новые сайты часто становятся лучшей мишенью, поскольку владельцы сайтов не уделяют должного внимания их безопасности.
-
Что произойдет, если мой сайт превысит установленные планом лимиты запросов?
-
Ограничения на ресурсы в премиум-плане начинаются от 100 000 запросов в месяц, что позволяет выдержать практически любую мощную брутфорс-атаку. Мы следим за всеми нашими сайтами и предупреждаем пользователя о превышении лимита. Если лимиты превышены, мы предложим пользователю перейти на следующий тарифный план. Если вы используете бесплатную версию, то нагрузка, вызванная атаками грубой силы, будет поглощаться текущей пропускной способностью хостинга, что может привести к увеличению стоимости хостинга.
-
Какие URL-адреса подвергаются атакам и защищаются?
-
Защищаемые URL-адреса — это страница входа в систему (wp-login.php, wp-admin), xmlrpc.php, страница входа в систему WooCommerce, а также любая пользовательская страница входа в систему, использующая обычные крючки входа в WordPress.
-
Почему LLAR более популярен, чем другие плагины для защиты от перебора?
-
Основное внимание мы уделяем защите сайта от атак методом перебора. Это позволяет сделать наш плагин очень компактным и эффективным. Он не требует больших ресурсов хостинга и обеспечивает надежную защиту сайта. Более того, все это происходит автоматически, поскольку наш сервис самостоятельно узнает о каждом IP-адресе, с которым он сталкивается. В отличие от брандмауэра, при использовании которого добавление или удаление IP-адресов производится вручную. Мы опубликовали статью об этом здесь.
-
Что делать, если администратор заблокирован?
-
Open the site from another IP. You can do this from your cell phone, or using Opera browser and enabling free VPN there. You can also try turning off your router for a few minutes and then see if you get a different IP address. These will work if your hosting server is configured correctly. If that doesn’t work, connect to the site using FTP or your hosting control panel file manager. Navigate to wp-content/plugins/ and rename the limit-login-attempts-reloaded folder. Log in to the site then rename that folder back and whitelist your IP. By upgrading to our premium app, you will have the unlocking functionality right from the cloud so you’ll never have to deal with this issue.
-
Какие настройки я должен использовать в плагине?
-
Настройки подробно описаны в плагине. Если вы не уверены, используйте настройки по умолчанию, так как они рекомендуются.
-
По умолчанию вам придется копировать и вставлять списки на каждый сайт вручную. В премиум-сервисе сайты группируются в рамках одной учетной записи частного облака. Для каждого сайта в этой группе можно настроить, будет ли он делиться своими блокировками и списками доступа с другими членами группы. Настройка находится в интерфейсе плагина. Рекомендуется использовать параметры по умолчанию.
Отзывы
Участники и разработчики
«Limit Login Attempts Reloaded — блокировка попыток входа в систему и защита от атак подбора паролей, также инструменты для повышения производительности сайта.» — проект с открытым исходным кодом. В развитие плагина внесли свой вклад следующие участники:
Участники«Limit Login Attempts Reloaded — блокировка попыток входа в систему и защита от атак подбора паролей, также инструменты для повышения производительности сайта.» переведён на 34 языка. Благодарим переводчиков за их работу.
Заинтересованы в разработке?
Посмотрите код, проверьте SVN репозиторий, или подпишитесь на журнал разработки по RSS.
Журнал изменений
2.25.25
- PHP 8.2/9 compatibility improved, thanks to Jer Turowetz!
- Button size and text typo fixed.
2.25.24
- Better loading of translations.
- Fixed PHP warning related to menu.
2.25.23
- Лучшее боковое меню.
- Исправлены проблемы с I18N, спасибо alexclassroom!
2.25.22
- Изменения в интерфейсе.
- Проверено на WP 6.3.
2.25.21
- Оптимизация: отключена автозагрузка для больших опций.
- Изменения в интерфейсе.
2.25.20
- Убрано исправление против кэширования сетевых запросов, так как некоторые неправильно настроенные серверы не справляются с этим.
2.25.19
- Улучшена обработка проблем с сетевыми соединениями.
- Исправлено отзывчивое форматирование на приборной панели.
- Добавлена защита от кэширования сетевых запросов.
2.25.18
- Исправлены ошибки, возникающие в ситуациях, когда установлены две версии плагина (чего в принципе не должно происходить).
2.25.17
- Рефакторинг.
- Оптимизация снижения нагрузки на сервер.
2.25.16
- Двойные косые черты в путях удалены.
- Улучшенная обработка кодов ответа облака.
2.25.15
- Исправлена логика сообщений об ошибках.
2.25.14
- Улучшена поддержка многосайтовости.
- Исправлена проблема с CSS за пределами плагина.
- Улучшено форматирование чисел на приборной панели.
- Обновлен шаблон письма о блокировке.
2.25.13
- Ultimate Member compatibility.
- Исправлены конфликтующие параметры URL в некоторых редких случаях.
- Обновлена логика счетчика попыток.
2.25.12
- Исправлена проверка IPv4 при передаче с номером порта.
- Исправлены тексты и переводы.
2.25.11
- Исправлена совместимость с PHP 8.
- Исправлена проблема с загрузкой логов.
- Добавлены вкладки «Справка» и «Расширения».
- Добавлено уведомление об автообновлениях.
- Добавлено отображение версии плагина.
- Внесены изменения в текст.
2.25.10
- Протестировано с PHP 8.
- Небольшой рефакторинг стилей.
- Исправлена редкая проблема с некорректным отображением журнала событий.
- Обновлена библиотека карт.
2.25.9
- Страница приветствия заменена на модальную.
2.25.8
- Текст письма и ссылки обновлены.
2.25.7
- В журнал добавлены флаги стран.
- В журнал добавлена кнопка «Обновить».
- Текст письма обновлен.
2.25.6
- Ссылки на электронную почту обновлены.
2.25.5
- Исправлена интеграция с Woocommerce
- Обновлены некоторые ссылки интерфейса
2.25.4
- Исправлена ошибка сеанса в редких случаях.
- Разъяснены правила доступа.
- Улучшено поведение сеанса на странице входа.
- Исправлено предупреждение на некоторых установках GoDaddy.
2.25.3
- Улучшена совместимость с WordFence.
- Улучшена обработка HTTP_X_FORWARDED_FOR на вкладке «Отладка».
- Добавлена возможность скрыть значок предупреждения.
2.25.2
- Индикатор безопасности исправлен для мультисайта.
2.25.1
- Добавлена настройка для отключения приборной панели.
- Виджет виден только администраторам.
2.25.0
- Добавлена приборная панель.
- Добавлен индикатор безопасности.
2.24.1
- Исправлен E_ERROR, возникающий в редких случаях, когда таблица журнала повреждена.
2.24.0
- Повышена защита: боты больше не могут анализировать сообщения о блокировке.
2.23.2
- Облако: лучше разблокируйте UX.
- Небольшая уборка.
2.23.1
- Добавлена бесконечная прокрутка облачных журналов.
2.23.0
- Уменьшен размер плагина за счет удаления устаревших переводов.
- Почистил приборную панель.
- Облако: добавлена информация об автоматически/ручно заблокированных IP-адресах.
- GDPR: добавлена возможность вставлять ссылку на страницу Политики конфиденциальности с помощью шорткода, уточнено соответствие GDPR.
2.22.1
- IP добавлен в тему письма.
2.22.0
- Добавлена поддержка нотации CIDR для указания диапазонов IP-адресов.
- Тексты обновлены.
- Рефакторинг.
2.21.1
- Исправлено: необработанная ошибка: вызов функции-члена stats()
- Cloud API: добавлен блок по странам.
- Рефакторинг.
2.21.0
- Соответствие GDPR: запутывание IP-адресов заменено настраиваемым сообщением о согласии на странице входа.
- Cloud API: исправлено удаление заблокированных IP-адресов из списков доступа при определенных условиях.
- Cloud API: домен для Setup Code теперь берется из настроек WordPress.
2.20.6
- Исправлены ссылки на многосайтовые вкладки.
2.20.5
- Возможность показать и скрыть пункт меню верхнего уровня.
2.20.4
- Совместимость Sucuri подтверждена.
- Совместимость с Wordfence проверена.
- Улучшенная навигация по меню.
- Исправлены часовые пояса для глобального графика.
2.20.3
- Более четкая формулировка.
- Cloud API: исправлена двойная отправка в форме настроек.
- Лучшее отображение статистики.
2.20.2
- Обновлен текст электронной почты.
2.20.1
- Новая панель инструментов, более четкая статистика.
2.20.0
- Новая панель инструментов с простой статистикой.
2.19.2
- Тексты и ссылки обновлены.
2.19.1
- Страница приветствия.
- Обновление изображения и текста.
2.19.0
- Рефакторинг.
- Исправлено расположение сообщения обратной связи.
- Изменения текста.
2.18.0
- Cloud API: добавлен график использования.
- Изменения текста.
2.17.4
- Добавлены отсутствующие изображения jQuery.
- Исправлена совместимость с PHP 5.
- Ссылка для настройки пользовательского приложения заменена кодом установки.
2.17.3
- Сообщение о страницах плагина.
2.17.2
- Изменено уведомление о блокировке.
2.17.1
- Исправлена проблема с кешем CSS.
- Текст уведомления обновлен.
2.17.0
- Рефакторинг.
- Текст сообщения электронной почты и уведомления обновлены.
- Новые ссылки в списке плагинов.
2.16.0
- Реализована функциональность пользовательских приложений. Подробнее: https://limitloginattempts.com/app/
2.15.2
- Альтернативный метод закрытия сообщения обратной связи.
2.15.1
- Рефакторинг.
2.15.0
- Функция сброса пароля удалена как нежелательная.
- Небольшой рефакторинг.
2.14.0
- Реализована совместимость с ошибками входа в систему BuddyPress.
- Реализована совместимость с UltimateMember.
- Исправлено предупреждение PHP.
2.13.0
- Исправлена несовместимость с PHP < 5.6.
- Рефакторинг макета страницы настроек.
2.12.3
- Сообщение обратной связи теперь отображается только для администраторов, и его также можно закрыть, даже если на сайте есть проблемы с AJAX.
2.12.2
- Исправлено сообщение обратной связи, которое снова не отображалось.
2.12.1
- Исправлена ошибка, из-за которой сообщение обратной связи не отображалось.
2.12.0
- Небольшой рефакторинг.
- get_message() — исправлены сообщения об ошибках.
- Это первый раз, когда мы просим вас оставить отзыв.
2.11.0
- Пользователи из черного списка больше не могут быть зарегистрированы.
2.10.1
- Исправлено: опция соответствия GDPR не могла быть выбрана на многосайтовых установках.
2.10.0
- Для лучшей поддержки добавлена отладочная информация.
2.9.0
- Добавлена опция надежных IP-источников.
2.8.1
- Дополнительные варианты блокировки вернулись.
2.8.0
- Плагин больше не доверяет никаким IP-адресам, кроме _SERVER[«REMOTE_ADDR»]. Доверие к другим источникам IP делает защиту бесполезной, потому что их можно легко подделать. Эта новая версия предоставляет способ безопасной разблокировки IP-адресов для тех сайтов, которые используют обратный прокси-сервер в сочетании с неправильно настроенными серверами, которые заполняют _SERVER[«REMOTE_ADDR»] неправильными IP-адресами, что приводит к массовой блокировке пользователей.
2.7.4
- Предупреждения о блокировке теперь можно отправлять на настраиваемый адрес электронной почты.
2.7.3
- Страница настроек перемещена обратно в «Настройки».
2.7.2
- Настройки вынесены на отдельную страницу.
- Исправлено: сообщение об ошибке входа. https://wordpress.org/support/topic/how-to-change-login-error-message/
2.7.1
- Исправлена проблема безопасности, унаследованная от плагина-предка «Ограничить количество попыток входа».
2.7.0
-
Реализовано соответствие GDPR.
-
Исправлено: цикл ip_in_range() $ip переопределяет сам себя, что приводит к неверным результатам.
https://wordpress.org/support/topic/ip_in_range-loop-ip-overrides-itself-causing-invalid-results/ -
Исправлено: плагин несколько раз блокировал один и тот же IP-адрес, каждый с другим портом.
https://wordpress.org/support/topic/same-ip-different-port/
2.6.3
- Добавлена поддержка Sucuri Website Firewall.
2.6.2
- Исправлена проблема с обратной косой чертой в именах пользователей.
2.6.1
-
Плагин возвращает заголовок 403 Forbidden после достижения лимита попыток входа через XMLRPC.
-
Добавлена поддержка диапазонов IP в белых/черных списках.
-
Блокировки теперь можно снимать выборочно.
-
Исправлена проблема с кодировкой спецсимволов в уведомлениях по электронной почте.
2.5.0
- Добавлена совместимость с мульти сайтами и дополнительные настройки MU: https://wordpress.org/support/topic/multisite-compatibility-47/
2.4.0
- Имена пользователей и IP-адреса теперь могут быть занесены в белый и черный список. https://wordpress.org/support/topic/banning-specific-usernames/ https://wordpress.org/support/topic/good-831/
- Журнал блокировок был инвертирован. https://wordpress.org/support/topic/inverse-log/
2.3.0
- Теперь IP-адреса могут быть занесены в белый список. https://wordpress.org/support/topic/legal-user/
- В журнал блокировок добавляется столбец «Шлюз». Он показывает, с какой конечной точки злоумышленник был заблокирован. https://wordpress.org/support/topic/xmlrpc-7/
- Исправлена ошибка «Неопределенный индекс: client_type». https://wordpress.org/support/topic/php-notice-when-updating-settings-page/
2.2.0
- Удален параметр «Обрабатывать вход в систему с помощью файлов cookie», поскольку они устарели.
- Добавлена защита от грубой силы против атак на страницу входа в Woocommerce. https://wordpress.org/support/topic/how-to-integrate-with-woocommerce-2/
- Добавлена защита от брутфорса от атак XMLRPC. https://wordpress.org/support/topic/xmlrpc-7/
2.1.0
- Настройки подключения к сайту теперь применяются автоматически и поэтому удалены из интерфейса администратора.
- Теперь совместим с PHP 5.2 для поддержки некоторых старых установок WP.
2.0.0
- исправлено Предупреждение PHP: недопустимый тип смещения в isset или пустой https://wordpress.org/support/topic/limit-login-attempts-generating-php-errors
- исправлена проблема с устаревшими функциями
https://wordpress.org/support/topic/using-deprecated-function - Исправлена ошибка с аргументами функции: https://wordpress.org/support/topic/warning-missing-argument-2-5
- добавлена отметка времени для неудачных попыток на странице конфигурации плагина.
- исправлена проблема с файлами перевода .po.
- рефакторинг и оптимизация кода.