Самым распространенным способом взлома блогов является подбор пароля. Часто подбор осуществляется обычной брутфорс-атакой — многократным перебором всевозможных вариантов пароля до тех пор, пока какой-то не подойдет. Защититься от подобного вида взлома поможет плагин Login Lock.
Этот плагин устанавливает максимальное количество неверных вариантов ввода логина и пароля за определенный промежуток времени, после которых пользователь автоматически блокируется. То есть если будет брутфорс-атака, на блог, то она практически сразу же будет заблокирована. Можно пользователю дать определенное количество попыток, по исчерпании которых он получит сообщение, что его аккаунт заблокирован в целях безопасности, и чтобы попасть в него, нужно воспользоваться системой восстановления пароля, либо обратиться напрямую к администратору. Если пароль неправильно ввел несколько раз подряд реальный человек, то он без труда сбросит пароль и получит новый с помощью личного электронного адреса, либо напишет администратору письмо с описанием ситуации. Если же в блог попытается попасть робот, программа, скрипт, то он не сможет восстановить пароль, так как для этого ему придется взламывать еще и почтовый сервер.
Плагин может отсылать администратору сообщение о том, что такой-то пользователь заблокирован из-за неправильно введенного пароля. Так же плагин Login Lock отслеживает IP-адреса, с которых осуществлялся вход в блог, и если какой-то из них будет уличен в попытке взлома (слишком часто с него идут запросы с неверным логином и раролем), то этот адрес может быть заблокирован.
Для увеличения степени безопасности в настройках плагина можно установить минимальную длину пароля, его силу (степень непредсказуемости сочетаний символов, букв и цифр в пароле) и время действия (например, месяц), по окончании которого пользователь должен его будет принудительно сменить. Так же можно принудительно разлогинивать пользователей, если они находятся на сате без признаков активности больше определенного времени (например, если пользователь в течение 15 минут ничего на сайте не делал).
Есть и совсем уникальная функция — сброс паролей абсолютно для всех пользователей. Этой своеобразной тревожной кнопкой можно воспользоваться, когда вы подозреваете, что в блог проникли злоумышленники. Например, недавно wordpress.org поступил подобным образом после того, как разработчики обнаружили и ликвидировали уязвимость — у всех пользователей был свброшен пароль, и пришлось его восстанавливать с помощью личного электронного адреса, указанного при регистрации.
Обратите так же внимание на плагин Login LockDown.
Это почти тоже самое что и Login LockDown только с большими настройками?
Можно и так сказать.