Вы можете легко заблокировать посетителей из определенной страны на своем веб-сайте WordPress. В этом посте мы узнаем, как заблокировать IP-адрес из определенной страны, чтобы повысить безопасность нашего веб-сайта и бороться с атаками методом перебора, которые исходят из определенных стран.
Если вы используете плагин, который позволяет отслеживать запросы и атаки на ваш сайт, вы, возможно, заметили, что пользователи из определенных стран получают доступ только к определенному типу страницы WordPress.
Что будет делать хакер, пытаясь войти на мой сайт?
Ничего хорошего точно!
Обычно страницы, к которым они пытаются получить доступ, — это логин или регистрация WordPress и файл XML-RPC. Но вы можете отключить файл XML-RPC в WordPress, чтобы сделать его более безопасным.
И это не случайно, поскольку существуют известные уязвимости или части WordPress, для которых они будут пытаться проникнуть в спам, внедрить код, украсть данные, получить доступ к вашей панели администрирования или просто взорвать ваш сайт. Хотя вы можете использовать сканеры уязвимостей WordPress или плагин для выявления уязвимостей на вашем веб-сайте WordPress.
Итак, сегодня мы собираемся научить вас, как блокировать страны в WordPress, чтобы пользователи из определенных стран не могли получить доступ ко всему вашему веб-сайту или только к администратору WordPress.
Геоблокировка состоит в блокировке определенных интернет-сервисов и продуктов на основе IP-адреса человека, пытающегося получить к нему доступ, на основе ограничений, установленных властями страны или компанией-продавцом.
На практике мир Интернета не так глобален, как мы могли бы подумать, поскольку благодаря геоблокировке и использованию технологических мер защиты (TPM) предотвращается доступ к местоположениям, которые не разрешены, что является ограничением для электронной торговли. Зарубежные.
IP Geo Block — это бесплатный плагин с более чем 10 000 активных установок, которые позволяют нам блокировать страны в соответствии с их кодом страны, а также:
Если вы еще не знаете, в каких странах заблокировать доступ к вашему веб-сайту WordPress. Вы все еще можете остановить плохой трафик на его пути, есть несколько способов узнать. Также мы можем ограничить или заблокировать определенные IP-адреса для входа в панель управления WordPress, или вы можете использовать плагины WordPress для блокировки IP-адресов, или есть также ручной способ заблокировать доступ к IP-адресу для WP admin.
WP Firewall and Security — это бесплатное, комплексное и простое в использовании решение для плагинов брандмауэра для вашего сайта WordPress. Это снижает угрозы безопасности за счет внедрения новейших рекомендуемых WordPress методов обеспечения безопасности, а также проверки слабых мест безопасности вашего сайта в целом.
Помимо функций безопасности входа, базы данных и файловой системы, вы также получаете множество функций брандмауэра, установив плагин.
К ним относятся возможность отказываться от плохих или вредоносных строк запроса и защита от атаки WordPress на межсайтовый скриптинг (XSS), доступ к защите от уязвимостей WordPress PingBack, возможность регистрировать все 404 события на вашем сайте и т. д.
Вы также сможете запретить другим людям ссылаться на ваши изображения и сможете предотвратить обход вашего сайта поддельными ботами Google. В дополнение ко всему этому у вас будет доступ к функции предотвращения входа с использованием грубой силы на основе файлов cookie, которая позволит вам мгновенно блокировать атаки с использованием грубой силы.
Некоторые другие функции включают добавление простой математической капчи в форму входа в WordPress для борьбы с атаками на вход методом перебора, возможность переименования URL-адреса страницы входа администратора (чтобы хакеры и боты не могли получить доступ к вашему реальному URL-адресу входа в WordPress) и т. д.
Наконец, плагин поставляется с впечатляющей поддержкой и может быть переведен на более чем 10 языков.
Bulletproof Security — это еще один плагин freemium, который поставляется с комплексной защитой безопасности и достаточным количеством функций, чтобы обеспечить достойную защиту для любого веб-сайта среднего размера. Его бесплатные функции включают брандмауэр на уровне приложений, сканер вредоносных программ WordPress, мастер комплексной настройки, безопасность и мониторинг соединений, средство защиты от нежелательной почты, режим обслуживания и многое другое.
Профессиональные функции, которые вы получаете, включают в себя самовосстанавливающуюся и карантинную систему обнаружения и предотвращения вторжений, автоматические белые списки IP-адресов и обновления IP-адресов в режиме реального времени.
Хотя это и не самый удобный вариант, Bulletproof Security — отличный плагин, поскольку он обладает множеством уникальных функций по сравнению с другими плагинами брандмауэра на рынке.
В любом случае, чтобы найти источник плохих запросов, установите любой из этих двух плагинов. Вы также можете точно узнать, откуда трафик поступает на ваш сайт с помощью Google Analytics.
На панели управления Google Analytics перейдите к сеансам по странам> Обзор местоположения, чтобы найти сведения о своих пользователях. Здесь вы увидите визуальное представление вашего глобального трафика.
Google Analytics покажет вам только, откуда поступает трафик, а не какой тип трафика вы получаете. Основываясь на содержании вашего сайта и профиле аудитории, вы сможете определить, наносит ли трафик из страны ущерб вашему сайту.
В этом отчете о веб-трафике Google Analytics вы можете увидеть, какие каналы обеспечивают наибольший трафик на ваш сайт. Например, вы можете видеть, что у обычного поиска наибольшее количество посетителей. Это люди, которые приходят из поисковых систем.
С помощью отчета о веб-трафике Google Analytics вы также поймете, на каком уровне кампании работают лучше.
Как мы знаем, сама CMS не имеет встроенных функций для оптимизации контента в зависимости от местоположения.
К счастью, существует множество бесплатных и премиальных плагинов, которые помогут вам. Эти плагины для геотаргетинга WordPress могут улучшить веб-сайты для глобальной аудитории. Большинству плагинов требуется, чтобы вы получили бесплатный/платный API для запроса информации о геолокации IP с сервера плагина или стороннего сервера.
Давайте рассмотрим некоторые плагины, которые могут помочь вам оптимизировать трафик, а также выполнять другие действия на основе IP-адресов посетителей.
Плагин IP2Location Country Blocker дает владельцам веб-сайтов возможность ограничивать и блокировать IP-адреса стран в WordPress. Плагин обладает множеством функций и позволяет вам легко ограничить доступ к содержимому веб-сайта по своему усмотрению.
После установки плагина вы сможете ограничить контент, а также разрешить или запретить посетителям из определенных стран доступ к вашему сайту. Вы искали простое решение для блокировки IP-адресов стран? Хорошо, это все.
Блокировщик IP2Location Country имеет множество функций. Некоторые из основных включают:
Если вы ищете простое в использовании и простое в настройке решение для блокировки IP-адресов стран, то IP2Location Country Blocker — отличный вариант.
WP-Ban — это слегка продвинутая версия простого IP-запрета!
Это не только позволяет вам запретить определенный список IP-адресов, но также позволяет вам запретить весь диапазон IP-адресов (т.Е. Если вы хотите заблокировать определенного провайдера).
Вы также можете внести в белый список определенные IP-адреса, которые вы не хотите запрещать. Сам плагин будет отображать сообщение, уведомляющее пользователя о запрете, каждый раз, когда пользователь пытается получить доступ к блогу.
Сам плагин будет отображать сообщение, уведомляющее пользователя о запрете, каждый раз, когда пользователь пытается получить доступ к блогу.
Вы также можете отслеживать количество попыток посещения вашего блога, используя статистику, записанную плагином. Он также отображает ваши данные, чтобы убедиться, что вы не потерпите крах в процессе.
Он также отображает ваши данные, чтобы убедиться, что вы не потерпите крах в процессе.
Как использовать WP-Ban?
Функция iQ Block Country очень похожа на функцию плагина выше, позволяя вам разрешать или ограничивать посетителям из определенных стран просмотр частей вашего контента. Эффективно блокировать коррумпированных хакеров из целых стран, а также спам-комментарии. И если вы хотите разрешить некоторым посетителям доступ из заблокированных стран, это тоже возможно. Вам нужно будет только внести их IP-адреса в белый список.
Плагин обеспечивает практически железную безопасность вашей страницы администратора, разрешая вход только на определенные IP-адреса или адреса, расположенные в вашей родной стране. Посетители, которым отказано во въезде, могут быть перенаправлены на другую страницу или веб-сайт. Или вы можете показать им сообщение, которое можно оформить с помощью CSS.
Чтобы использовать плагин, вам нужно будет загрузить базу данных GeoIP от третьей стороны или получить от них API, чтобы получить доступ к геоданным. Плагин хорошо работает со многими (но не со всеми) плагинами кэширования.
WP GeoIP — это плагин для перенаправления WordPress для конкретной страны. Вам когда-нибудь нужен был надежный инструмент для вашего веб-сайта на базе WordPress, который помог бы перенаправлять посетителей по странам? Не смотрите дальше! Перенаправление WP GeoIP по странам позволяет автоматически определять страны ваших пользователей на основе IP-адреса и предпринимать действия на основе их ввода.
С помощью GeoIP можно управлять трафиком вашего сайта, перенаправляя посетителей из разных стран на определенные сообщения или страницы. Вы можете использовать его для многих преимуществ, таких как:
Он имеет некоторые сложные функции, такие как исключения IP-адресов, все страны, кроме одного правила, отсутствие параметра перенаправления в URL, функция однократного перенаправления файлов cookie и т. д.
Если вы еще не знаете, в каких странах вы хотите заблокировать доступ к своему веб-сайту WordPress, но все же хотите остановить плохой трафик, есть несколько способов узнать.
После установки мы переходим в Настройки> IP Geo Block, чтобы начать его настройку.
Во-первых, мы собираемся настроить правила проверки, в которых мы создадим белый и черный список стран.
Наиболее целесообразно поместить страну, из которой мы обычно подключаемся, в белый список, а страны, которые, как мы обнаружили, постоянно подвергаются атакам, в черный список.
Сначала мы нажмем кнопку “Сканировать код вашей страны”. Эта опция покажет нам код страны, с которой мы подключаемся.
Затем мы настраиваем белый и черный список стран. В белый список будут включены страны, которые не будут заблокированы или доступ к которым будет разрешен.
И в черном списке мы настроим страны, которые мы хотим заблокировать.
Просто в раскрывающемся списке опции “Правило соответствия” мы выбираем Белый список и черный список.
И мы вводим код каждой страны, разделенный запятыми, в опции “Белый список кода страны” или “Черный список кода страны” в зависимости от того, хотим мы его заблокировать или нет.
Мы можем найти коды стран по ссылке под опцией или здесь.
ZZ — это код для неизвестных стран, полезный, если хакеры скрывают страну, из которой они подключаются, и по умолчанию она настроена в черном списке.
В опции “Белый список дополнительных IP-адресов до кода страны (CIDR)” мы можем настроить белый список по IP, чтобы ввести наш собственный IP или IP внешних серверов обслуживания, которые мы используем, например, IP серверов плагина Jetpack.
С помощью опции “Код ответа” мы можем имитировать ошибку, которая будет показана пользователям из стран с ограниченным доступом. По умолчанию для него установлено значение 403 Forbidden.
“Максимальное количество неудачных попыток входа в систему на IP-адрес” Этот параметр настраивает количество неудачных попыток входа в систему, которые может совершить IP-адрес перед блокировкой.
Здесь приходит мониторинг веб-сайта WordPress, который поможет вам с журналом активности пользователей. Могут быть серьезные последствия, если вы не сможете отслеживать активность пользователей в WordPress.
Как только эти параметры будут настроены, мы собираемся настроить параметры блокировки по странам серверной части.
В этих настройках мы можем выбрать, кто будет иметь доступ к различным частям серверной части в соответствии с белым или черным списком стран, которые мы настроили ранее.
Нам просто нужно установить флажки “Блокировать по стране”, чтобы активировать блокировку в каждом варианте.
Область администрирования и форма входа в систему защищают область администрирования и логины WordPress от доступа пользователей, регистрации и формы потери пароля.
По умолчанию они помечены, и рекомендуется иметь их, чтобы иметь минимальную конфигурацию безопасности этого плагина.
Комментарий к сообщению, этот параметр защищает формы комментариев, по умолчанию он не установлен, поскольку, если мы используем внешнюю систему комментариев, которая не является оригинальной WordPress, мы можем оставить без доступа к вашей системе.
XML-RPC Эта опция активирует защиту XML-RPC-файла WordPress, который обрабатывает пингбэки, а также используется мобильными приложениями и некоторыми плагинами, такими как Jetpack. Если jestpack не установлен в вашем WordPress, вы можете отключить файл XML-RPC вручную или с помощью плагина.
С помощью этого типа опций вы должны быть осторожны, если у вас много стран в черном списке, имейте в виду, что если вы используете внешние сервисы с их собственными серверами, они могут быть затронуты, и эти сервисы могут перестать работать.
Или вы также можете включить IP-адреса серверов внешних служб в белый список IP.
И с помощью этих правил будет достаточно защитить логин и файл XML-RPC, которые являются наиболее уязвимыми частями установки WordPress.
Admin Ajax — это файл, используемый для нескольких сервисов как для посетителей, так и для администраторов, и многие темы и плагины используют его для правильной работы, поэтому мы рекомендуем вам не активировать блокировку для этой опции для правильного функционирования вашего сайта.
С помощью параметров области плагинов и тем мы можем отключить доступ по странам к папкам на нашем сервере, где расположены наши плагины и темы.
В разделе настроек целевого интерфейса параметров плагина вы можете настроить блокировку общедоступной части вашего сайта.
Другими словами, посетители из стран, включенных в черный список, будь то боты или люди, не смогут видеть содержимое вашего сайта.
Эта часть конфигурации является необязательной и обычно не настраивается, поскольку мы обычно хотим, чтобы все могли видеть содержимое нашего веб-сайта.
Мы просто активируем его, выбираем, использовать ли правила проверки, которые мы создали в начале, или создать определенный белый или черный список для общедоступной части.
Мы можем выбрать, чтобы не отображался весь наш веб-сайт или конкретные страницы, которые мы не хотим видеть.
И мы завершили настройку плагина, как вы можете видеть, он очень полный, мы можем просматривать статистику и входить в систему на разных вкладках, и если мы хотим удалить его, не оставляя следов в базе данных, мы можем использовать опцию “Удалить все настройки при удалении”.
Вы можете найти более подробную информацию об этом плагине на веб-сайте Ip Geo Block.
В дополнение к функционированию в качестве CDN, Cloud Rash включает функции для повышения безопасности вашего сайта. Через брандмауэр вы можете блокировать и контролировать посетителей с IP-адресами из определенных стран.
Первое, что нужно сделать, это войти в свою учетную запись Cloudflare. Откройте приложение брандмауэра, затем добавьте новую строку в файл правил доступа (правила доступа) и выберите действие для выполнения из выпадающего меню.
Чтобы ввести название страны, вы можете использовать функцию двухбуквенного кода страны.
Доступны следующие 4 действия:
Нажмите зеленую кнопку Добавить, чтобы подтвердить и добавить это новое правило.
Вы также можете использовать файл .htaccess, чтобы заблокировать доступ пользователей (и ботов) из определенной страны к сайту. Это файл конфигурации, который используется серверами. Оно включает, например, инструкции по перенаправлению в случае ошибок.
Учитывая важность перенаправления для SEO и трафика на ваш сайт, мы всегда рекомендуем вам сделать резервную копию перед редактированием файла .htaccess.
Вы можете использовать несколько инструментов для доступа и изменения этого файла. На самом деле вы можете открыть его из cPanel, используя файловый менеджер или FTP-клиент, или использовать специальный плагин.
Также важно отметить, что злоумышленники используют .htaccess уже довольно давно. Независимо от того, хотят ли злоумышленники перенаправить поисковые системы или скрыть вредоносное ПО, их первым выбором является этот файл. В то же время следует также рассмотреть возможность предотвращения взлома WordPress .htaccess.
Поскольку многие наши пользователи используют Yoast SEO на своем сайте WordPress, мы объясним, как редактировать файл .htaccess с помощью этого плагина.
После активации плагина на боковой панели администратора WordPress добавляется меню под названием SEO. Во-первых, вам нужно убедиться, что вы включили функцию расширенных настроек плагина.
Нажмите на доску объявлений, затем откройте вкладку Функции. Здесь вы можете включить опцию Страницы дополнительных настроек.
После выполнения этого и сохранения изменений новые инструменты voices Advanced e будут добавлены в меню Yoast SEO.
Нажмите Инструменты, затем выберите Редактировать файл. Этот инструмент позволяет редактировать robots.txt (о котором мы уже рассказывали вам здесь) и файлы .htaccess.
Вы можете использовать такую услугу, как блокировка IP-адреса страны, чтобы выбрать страну для блокировки и сгенерировать список IP-адресов для блокировки. Просто выберите свою страну, выберите .htaccess Deny и скопируйте сгенерированный список.
Как только вы откроете файл .htaccess, вы можете заблокировать определенные IP-адреса со своего сайта WordPress, добавив эти коды:
order allow, deny deny from 192.168.0.1 allow from all
Вы можете ввести список IP-адресов для блокировки вместо строки “запретить из”. “Разрешить от всех” означает, что доступ предоставляется ко всем IP-адресам, кроме тех, которые указаны в списке запрещенных.
Однако у этого подхода есть некоторые недостатки. Директива deny предписывает серверу проверять полный список для каждого отдельного запроса, что снижает производительность сервера и сайта.
Мы рекомендуем вам использовать эту процедуру только тогда, когда количество IP-адресов, подлежащих блокировке, очень мало. В противном случае использование Cloudflare является лучшим решением.
В зависимости от ваших причин для внедрения геоблокировки, обычно существуют лучшие и более надежные решения, которые служат этой цели.
Как правило, мы не рекомендуем геоблокировать ваш сайт WordPress по нескольким причинам. Если ваша основная причина — блокировать угрозы, установите плагин безопасности на свой сайт и избегайте всех этих хлопот.
Неправильное разрешение IP-адресов может привести к двум последствиям: во-первых, вы можете непреднамеренно заблокировать нужных вам пользователей из другой страны; во-вторых, блокировка может работать не полностью. В любом случае, решение не идеально.
Если вы запретите трафик со всей страны, это все равно, что выплеснуть ребенка вместе с водой из ванны. Может быть законный трафик из этих стран, и вы полностью потеряете их посещения.
Например, один пользователь увидел много фишинговых мошенничеств на своем веб-сайте из Германии. У него был соблазн заблокировать трафик и из Германии, но он не смог. Сервисы, которые его веб-сайт использовал на серверах, расположенных в Германии, такие как службы мониторинга времени безотказной работы и резервного копирования.
Это серьезная запись в списке. Блокировка стран по IP-адресу может повлиять на рейтинг Google, поскольку блокировка может непреднамеренно заблокировать поиск ботов Google на вашем сайте. Это особенно актуально, если вы хотите заблокировать страны, где находятся боты поисковой системы. В зависимости от используемого вами метода блокировка по стране может или не может быть в состоянии сделать исключение для дружественных роботов-поисковиков сайтов.
Это звучит абсурдно, но случается довольно часто. Были случаи, когда владельцам веб-сайтов блокировали доступ к их собственным сайтам из-за неточного характера геоблокации. В этом случае отменить непреднамеренную блокировку является сложной задачей.
Блокировка страны не гарантирует, что ваш сайт защищен от вредоносных программ и фишинговых мошенников. Для проведения многоцелевой и более успешной атаки вредоносное ПО может быть размещено на устройствах по всему миру и, возможно, в странах, внесенных в белый список.
По нашему мнению, это плохая замена хорошему брандмауэру.
Если ваша геоблокировка использует базу данных для поиска, ошибка в базе данных может привести к тому, что что-то будет заблокировано непреднамеренно или не будет заблокировано, когда это должно быть.
Это особенно актуально, потому что IP-адреса и, соответственно, диапазоны IP-адресов постоянно меняются. Если вы использовали один из ручных методов с ACL для блокировки стран, вам придется периодически обновлять список, чтобы убедиться, что он все еще работает.
Более опытные злоумышленники будут использовать прокси или VPN для обхода правил блокировки страны. Возможно, вам действительно удастся заблокировать прямой трафик, но тогда процент плохих найдет способ обойти его.
Есть некоторые доказательства того, что реклама Google наказывает сайты с геоблокировкой. Многие пользователи сообщают, что их объявления были отклонены после ограничения трафика из других стран.
В некоторых случаях реклама Google была отклонена или не работала из-за вредоносной атаки или вредоносного скрипта, внедренного в код веб-сайта. Если Google Adwords идентифицирует сайт WordPress как носитель вредоносного или нежелательного программного обеспечения, они не позволят показывать ни одну из ваших объявлений, связанных с этим сайтом, и любые новые объявления, указывающие на этот сайт, также будут отклонены.
Когда вы думаете о блокировке по стране, вы обычно хотите заблокировать трафик из нескольких стран. Однако существуют и другие способы реализации блоков:
Заблокируйте всех и внесите в белый список конкретные IP-адреса по мере необходимости: очевидно, что это очень решительная мера, поэтому она сильно зависит от варианта использования веб-сайта. Часто этот метод используется, когда сайт имеет небольшую и специфическую аудиторию или может содержать конфиденциальную информацию.
Блокируйте только доступ к странице входа в систему: в отличие от всего интерфейса веб-сайта. Этот метод часто предлагается в качестве решения проблемы с рекламой Google, которую мы описали в предыдущем разделе.
Блокировка стран — это продвинутая мера безопасности, которую мы не должны применять легкомысленно по разным причинам, и в большинстве случаев настройки попыток входа в систему более чем достаточно, чтобы иметь безопасный веб-сайт.
Если вы все еще хотите использовать блокировки доступа WordPress по странам, мы рекомендуем:
Если вы блокируете страны с помощью файла .htaccess, обновите IP-адреса.
Вы получаете много комментариев и запросов на регистрацию от ботов или подозрительных пользователей. Анализируя данные, вы обнаружите, что все они поступают из определенной страны или имеют похожие точки доступа.
В этих случаях вы можете решить заблокировать IP-адреса из определенной страны. Если вы оказались в такой ситуации, вы можете сделать это с помощью такой службы, как Cloudflare, или отредактировав файл .htaccess.
Это довольно радикальное решение, поэтому необходимо взвесить преимущества и риски. Если список IP-адресов для блокировки не слишком длинный, вы можете использовать файл .htaccess, в противном случае Cloudflare — простое и легкое в реализации решение.
Вы когда-нибудь были в такой ситуации? Вам когда-нибудь приходилось блокировать отдельные IP-адреса или целые страны?