РАБОТАЮ ВО ВСЕХ ГОРОДАХ РОССИИ

ВРЕМЯ РАБОТЫ С 9:00 ДО 20:00

Как защитить сервер от нагрузки

Как защитить сервер и снизить нагрузку на CPU.

Защита от подбора паролей с помощью файла .htaccess

Защита от перебора паролей для любых сайтов при помощи HTTP-авторизации

Плагины, защищающие админку вордпресс сайта и снижающие нагрузку на сервер.

 

Я выделила в отдельную категорию плагины для защиты сайтов на вордпресс. Почитайте описания плагинов для защиты от взломов и вирусов.

Плюс  у нас идет регулярный бекап базы данных. Благодаря ему, мы в особо сложных случаях сможем удалить полностью файлы зараженного сайта. Затем быстро залить свежий дистрибутив и рабочую базу данных.

Но есть еще одна важная проблема – это нагрузка на CPU сервера хостинга при массированных попытках взлома административной части. Про показатель CPU и снижение нагрузки с помощью скрипта maxcache кэш для сайтов на wordpress я писала с подробной статистикой и скринами.  

При достижении его максимального значения сервер ложится – что означает и сайты лежат. Если у вас на сервере несколько сайтов, а взламывают один из них, то страдают все. Они начинают жутко тормозить и могут стать недоступными даже на долгий период.

Нагрузка на CPU сервера возникает и при попытках взлома. И кеш здесь уже не поможет. Для этого есть специальные плагины. Т.к. любая DDOS атака (а это и перебор паролей) грузит сервер, то следует не допускать такие атаки вообще.

Как происходит подбор паролей? Одновременно с разных айпи идет попытка подобрать логин, пароль к админке.  Представляете, за секунду бесчисленное множество попыток входа? Что будет…  Или подберут, либо сервер не выдержит. Нерабочий сайт – это еще полбеды. Если взломщики добьются своего, то ваш сайт тоже станет рассадником – он станет участником взлома других сайтов. А что с ним сделают поисковики – страшно подумать – бан, черный список и доказывай, что было за недоразумение.

Для того, чтобы понять, что вас атакуют посмотрите в логах запрос «POST» - это и есть посыл ударов. Много «POST»в одно время  - будьте осторожны, ставьте защиту.

 

Обзор плагинов wordpress, которые защищают от подбора паролей.

Плагин Hack me if you can

Скачать на wordpress.org - ]]>https://wordpress.org/plugins/hack-me-if-you-can/]]>

Язык русский и английский. Настройки простейшие.

Смысл идеи – взломщик попадет на страницу авторизации wp-admin или wp-login.php, но там не будет формы. А будет любая ваша запись для него, типа «Ну-ну! Взломай меня!».

А ссылку в вашу админ часть вы придумаете сами. И будет она известна только вам!

Установка очень простая. Залил, активировал, написал послание или оставил пустым. Тогда будет переадресация на 404 или главную страницы. Но здесь стоит подумать – слишком много заходов на 404…

 

Плагин WP Better Security

Скачать ]]>https://wordpress.org/plugins/better-wp-security/]]>

Настройка: придумываете свой адрес для админки. Кроме этого, у плагина есть и другие возможности.

Он проведет анализ степени вашей защищенности.

У него есть мониторинг измененных файлов. Это удобно, вы будет первым узнавать, если было вторжение.

Но WP Better Security достаточно тяжелый и потребляет много ресурсов.

 

 

Плагин Simple Login Lockdown я уже упоминала.

Здесь можно настроить количество попыток ввода пароля. По умолчанию это 5 и после этого IP адрес хулигана блокируется. Также время блокировки IP адреса.

Но этот плагин не решит проблему повышения нагрузки на сервер.

 

Плагин Limit Login Attempts

Скачать ]]>https://wordpress.org/plugins/limit-login-attempts/]]>

Он ограничит число попыток. Но, как понимаете, запросы идут с разных ip одновременно, поэтому атака состоится.

 

Защита от подбора паролей с помощью файла .htaccess

 

Для вордпресс вставьте в начале файла:

< files wp-login.php >

 order deny,allow

 deny from all

 allow from мой_айпи

 < /files >

Где вместо мой_айпи вставьте свой статичный IP. Если он динамичный, то нужно будет сначала подключаться к интернету, затем узнавать свой IP, затем переписывать его в  .htaccess. Иначе сами не попадете на сайт.

Для джумлы:

< files index.php >

 order deny,allow

 deny from all

 allow from мой_айпи

 < /files >

 

Защита от перебора паролей для любых сайтов при помощи HTTP-авторизации

 

Этот способ является наиболее эффективным и надежным в вопросе снижения нагрузки на CPU сервера хостинга. Мне хостер сразу прислал подробную инструкцию, как это делается.

Приведу здесь эти рекомендации, не у всех же есть такой отзывчивый ]]>хостер]]>!

1. Создать файл .htpasswd в корне сайта.

2. Идем на сайт ]]>https://www.htaccesstools.com/htpasswd-generator/]]>

Где будет сгенерировано содержимое файла .htpasswd

3. Вводим логин и пароль любые. Это не данные для входа на ваш сайт.

Генерируем для файла htpasswd

4. Жмем генерировать и вставляем все в наш пустой файл .htpasswd. Пароль там будет в зашифрованном виде.

5. Затем для WordPress в файл .htaccess в корне сайта добавить следующие строки:

<Files wp-login.php>

AuthName "Access Denied"
AuthType Basic
AuthUserFile полный_путь_до_корня_сайта/.htpasswd
require valid-user

</Files>

где "полный_путь_до_корня_сайта" - это абсолютный путь от корня файловой системы. Его можете узнать у хостера или проследить в своей панели самостоятельно.

6. Теперь при входе на сайт вам будет предлагаться окошко авторизации, куда нужно ввести ваши придуманные логин, пароль. И только после удачного входа в этом окошке, вы попадете на привычную страницу входа админки вордпресс и там введете свои данные для wp.

Кстати, так запаролировать можно и отдельные директории сайта.

 

А вот и результат не заставил долго ждать! На скрине виден резкий скачок CPU вниз после установки двойной аутентификации.

Нагрузка на cpu снизилась

Что доказывает на практическом примере эффективность http авторизации.



* Нажимая на кнопку "Отправить" я соглашаюсь с политикой конфиденциальности

Создание сайта

Сделать веб-сайт по приемлемым ценамЗаказать создание сайта под ключ. Цена: недорого.

]]>eTXT]]>

Сервис анализа и проверки траста xt сайтов в Яндексе