
iThemes Security заблокировал пользователя — как войти в админку WordPress (РЕШЕНО)
11.07.2022
iThemes Security — это плагин для WordPress затрудняющий атаки на сайт и сбор информации, выполняемых хакерами.
Среди прочих функций в iThemes Security имеется защита от брут-форма путей (поиск «скрытых» папок и файлов), а также защита от взлома учётных данных пользователей, путём перебора паролей.
После настройки обычно плагин iThemes Security работает нормально и не требует особого внимания. Но иногда может возникнуть проблема с блокировкой вашего пользователя, поскольку кто-то пытался подобрать пароль к вашей учётной записи.
Ситуация может возникнуть при следующем сценарии:
1. Вы активировали функцию защиты учётных записей от брут-форса паролей
2. Атакующий многократно пытался угадать пароль от вашей учётной записи
3. В результате учётная запись была заблокирована
4. Когда вы пытаетесь ввести логин и пароль от вашей учётной записи, чтобы попасть в панель администрирования WordPress, вы получаете сообщение, что она заблокирована:
ВЫ БЫЛИ ЗАБЛОКИРОВАНЫ. You have been locked out
Вам не нужно ждать, пока учётная запись будет разблокирована.
Если у вас есть доступ к файловой системе, то вы можете немедленно войти в административную панель WordPress.
Я не знаю, как обойти блокировку iThemes Security, вместо этого план действия следующий:
1. Отключить iThemes Security
2. Войти в админку WordPress
3. Включить iThemes Security
Для отключения любого плагина WordPress достаточно убрать папку с плагином. Причём её необязательно удалять — достаточно переименовать.
Откройте файловый менеджер ваших сайтов и найдите там следующий путь: SITE/wp-content/plugins/
Если вы используете командную строку, то путь до плагина следующий: SITE/wp-content/plugins/better-wp-security
Найдите папку better-wp-security и переименуйте её во что угодно, например в «-better-wp-security».
Сразу после этого вы можете войти в панель администрирования WordPress.
Как только вы вошли в панель администрирования WordPress, вы вновь можете активировать плагин iThemes Security. Для этого переименуйте папку «-better-wp-security» в «better-wp-security».
Всё готово! Какой-либо дополнительной настройки iThemes Security не требуется.
Проверка журналов показала, что атака (брут-форс учётных данных пользователей) совершались через файл xmlrpc.php.
Файл xmlrpc.php предоставляет функции, которыми не пользуются большинство веб-мастеров, но активно эксплуатируют хакеры. По этой причины можно безболезненно заблокировать доступ к файлу xmlrpc.php. Если вы не знаете для чего этот файл, то скорее всего вы его не используете и можете заблокировать к нему доступ без последствий для вас.
Смотрите также: Что такое файл xmlrpc.php и как он влияет на безопасность сайтов WordPress
Вы можете отключить XML-RPC с помощью файла .htaccess или плагина.
.htaccess — это файл конфигурации, который вы можете создавать и изменять.
Просто вставьте следующий код в свой файл .htaccess, находящийся в корне вашего сайта WordPress (решение использует mod_rewrite):
# Блокировка запросов на файл WordPress xmlrpc.php RewriteRule ^xmlrpc\.php - [NC,F]
Ваш сервер должен поддерживать файлы .htaccess и mod_rewrite — большинство хостингов это умеют.
Связанные статьи:
- Как запретить просматривать или комментировать сайт на WordPress пользователям Tor (100%)
- Как узнать пароль от Wi-Fi (77.8%)
- Как на WordPress добавить последние записи с других сайтов, из Дзен, из YouTube (64.5%)
- Как узнать дату публикации статьи на чужом сайте (64.5%)
- Как в WordPress разрешить использовать WebP (64.5%)
- Резкий рост доходов в Lexprofit (RANDOM - 1.1%)