Вече знаете как да влезете в административната зона на WordPress?
Можете да направите това по поне четири начина, като добавите следното към адреса на вашия сайт:
- /admin, т.е. като този: http://yoursite/admin
- /wp-admin
- /Влизам
- /wp-login.php
Като цяло и трите първи опции чрез пренасочване (пренасочване) така или иначе ще ви отведат до страницата: http://your_site/wp-login.php
Оказва се, че всеки може да добави някой от четирите префикса, описани по-горе, към адреса на вашия сайт и да види входа на админ панела:
Разбира се, това изобщо не означава, че този всеки може лесно да влезе и в админ панела, защото все пак трябва да знае потребителското име или вашия имейл и паролата.
Ако вашият администраторски потребител има вход: - тогава това изобщо не е благоразумно от ваша страна и нападателят ще трябва само да познае или познае вашата парола.
Освен това видяхте ли надписа: Username or e-mail ? Да, да, това е имейл, който WordPress може да използва като потребителско име. Но можете да посочите имейл адрес някъде на сайта, който да съвпада с имейла на администраторския потребител. Оказва се, че първото нещо, което атакуващият може да опита е да въведе вашия имейл и тук WordPress отново ще му помогне, защото ако имейлът не съвпада, той ще види това съобщение:
и ако имейлът е правилен, WordPress ще изпише, че паролата за него не е правилна:
В резултат на това имаме ситуация, в която потенциален нападател ще трябва само да отгатне или познае паролата ви, за да хакне вашия сайт (достъп до административния панел).
Как да защитим входа на админ панела от потенциална заплаха? Отговорът е прост - опитайте се да увеличите броя на неизвестните, необходими за влизане.
А сега нека разгледаме по-отблизо:
- Ако е възможно, уверете се, че имейлът на администраторския потребител не е споменат никъде на сайта - публичният имейл трябва да е нещо друго.
- Вашата парола не трябва да е проста, инсталиране на WordPressгенерира за вас сложна парола, ако не искате да я използвате, измислете някаква повече или по-малко сложна парола, която включва малки и големи знаци, цифри и някои знаци като -, ?, _ и т.н.
- Вашето потребителско име също не трябва да е просто, не: администратор, мениджър, root, администратор, потребители други прости думи!
- И накрая, трябва да въведете третото най-важно неизвестно - променете URL адреса за вход на администратора, за това инсталирайте прост плъгин: WPS Скриване на входа
WPS Скриване на влизане
Прост, безплатен и доста популярен плъгин, който ви позволява да промените URL адреса за влизане на администратор.
След като инсталирате и активирате плъгина, трябва да отидете в администраторския раздел: Настройки / Общи, след това превъртете до самия край на страницата и вижте само един параметър, добавен от този плъгин:
По подразбиране приставката предлага използването на http://yoursite/login login - но това в никакъв случай не е най-доброто най-добрият вариант! Измислете нещо свое, например: yyy12_go)))
След като промените този параметър, не забравяйте да кликнете върху бутона Запазите промените– в противен случай, когато плъгинът е активен, ще влезете чрез http://yoursite/login
Не забравяйте да опитате да излезете и да влезете отново в админ панела, но на новия адрес за вход, който сами сте измислили, и най-важното - не го забравяйте!
След промяна на входната точка към административния панел, при опит за достъп до стандартните URL адреси, потребителят ще получи страница с грешка 404.
внимание!Ако внезапно забравите новия администраторски адрес за вход, ще трябва да деактивирате този плъгин. Можете да направите това, без да влизате в админ панела, ако имате достъп до папките и файловете на сайта. Просто трябва да преименувате или изтриете папката на приставката wps-скриване-влизане,който ще бъде в папката добавки(папката с плъгини е в папката wp-content).
В резултат на това: след прилагане на всички горепосочени мерки, трябва да получим защитата на влизането в администраторския панел с три неизвестни: имейл / потребителско име, сложна парола и собствен уникален URL адрес за влизане - и това може значително да усложни опитите на младите хакери)
Всъщност днес има голям брой причини, поради които трябва да затворите страницата за оторизация на сайта на WordPress от любопитни очи. Една от най-важните и тежки причини ще бъде, че като затворите страницата за оторизация от всеки, можете да защитите сайта си от неоторизиран достъп - хакване.
Наистина днес в интернет има много измамници, които с помощта на специални програмипароли с груба сила или търсене на уязвимости ще могат да получат достъп до вашия администраторски акаунт. Разбира се, не можете да сте 100% защитени от експерт по хакване на WordPress, но това ще ви помогне да запазите нервите си от аматьори аматьори.
Освен това някои прибягват до метода за проверка на вашия сайт чрез автоматично вмъкване на низа /wp-admin след URL адреса и ако атакуващият успее да направи това, тогава той ще знае точно къде да „копае“ и какви уязвимости на вашата CMS трябва да открие да се обърне повече внимание.
Измамниците често използват такива програми, за да открият например информация за версията на WordPress или всяка друга CMS, инсталирана на вашия сайт, тъй като по-старите модули съдържат специфични грешки и уязвимости, които могат да бъдат използвани от нападател, за да хакне не само вашата информация за въвеждане административния панел на сайта, но и за по-задълбочен и подробен достъп.
Например, измамник ще може да напълни вашия сайт с вируси или натрапчива реклама или дори да копира поверителни данни за вашите клиенти, да превземе базата данни с поръчки, регистрирани писма, да разбере тяхното потребителско име и парола.
Инсталирайте плъгини, които повишават сигурността на сайтовете веднага след зареждане на двигателя на хостинг https://s-host.com.ua. Първо, ще променим скриването на страницата за вход на администратора на уеб портала, като променим пътя по подразбиране до нея (domain/wp-admin).
Инсталиране на плъгин
За да дадем нов адрес на страницата, ще използваме WPS Hide Login - прост, но много функционален плъгин. Предимството му е липсата на допълнителни настройки.
По принцип всичко, което трябва да направите, е да отидете на страницата „Конзола“/„Добавки“/„Добавяне на ново“ и след това да използвате търсенето. Намерете WPS Hide Login, за да го инсталирате и активирате.
Промяна на страницата за вход на администратор на WordPress
След като инсталирате и активирате приставката, тя ще се появи в списъка с всички разширения на страницата „Конзола“/„Добавки“ (моля, обърнете внимание, че приставката не се показва в общото меню).
Сега щракнете върху бутона Настройки под плъгина:
След като сте на страницата „Настройки“ / „Общи“, просто трябва да намерите блока WPS Hide Login и да направите корекции.
И така, в URL адреса за влизане има две полета: първото е статично - вашият домейн (не може да се променя), второто е поле за попълване (опцията за влизане се предлага по подразбиране).
Въведете желания администраторски адрес и запазете промените:
Сега, ако отидете на your-site/wp-admin, няма да видите нищо освен съобщение за грешка:
Това е прост и лек плъгин, който сигурно скрива страницата за вход и предотвратява достъпа до административната зона на WordPress. Плъгинът не променя кода на вашия сайт, не преименува файлове или прави промени в конфигурацията на вашия сървър. Може да прихваща заявки към администраторски страници, което означава, че може да работи на всеки WordPress сайт, независимо от вашия сървър.
Плъгинът има няколко нива на сигурност. Когато промените страницата за вход, ще получите имейл с връзка за възстановяване на достъпа, в случай че забравите адреса на страницата за вход. Освен това плъгинът ще се увери, че адресите на вашите публикации и страници не се припокриват с новия адрес на страницата за вход, тъй като ако адресите съвпадат, страницата за вход ще бъде зациклена.
Защо да скриете администратора на WordPress и да скриете WordPress като цяло?
Десетки ботове всеки ден атакуват вашето администраторско влизане в WordPress в /wp-login.php и /wp-admin/, брутфорсират пароли и искат да получат достъп до вашия администраторски панел. Дори да сте сигурни, че сте си създали комплекс и силна парола, това не гарантира сигурност и не облекчава страницата ви за вход. Най-лесният начин да защитите страницата за вход е просто да промените адреса й на уникален, който само вие ще знаете.
ВЪЗМОЖНОСТИ
- Блокира достъпа до страницата wp-login.php, wp-signup.php
- Блокира достъпа до директорията /wp-admin
- Позволява ви да зададете собствен URL адрес на страницата за вход
- Работи със и без постоянни връзки
- Възможно е да възстановите достъпа до стария адрес на страницата за вход
Ако използвате приставка за кеширане на страници, трябва да поставите префикс на новия URL адрес към списъка със страници, които не трябва да се кешират.
Директорията wp-admin и страницата wp-login.php стават недостъпни, така че е важно да маркирате или запомните новия URL. Деактивирането на този плъгин ще върне вашия сайт в предишното му състояние по подразбиране.
БЛАГОДАРИМ ВИ НА АВТОРИТЕ НА ПЛУГИНИТЕ
Използвали сме няколко полезни функцииот добавки:
WPS Hide Login, WP Hide & Security Enhancer, Hide My WP – WordPress Security Plugin, Easy Hide Login, Hide WP Admin and Login – WordPress Security, Clearfy – WordPress оптимизиращ плъгин и деактивиране на ultimate tweaker, Преименуване на wp-login.php
Каним ви да разгледате няколко други безплатни добавки, които нашият екип също е разработил.
Време за четене: 4 мин
Преди година натоварването на сървъра ми много често надвишаваше лимита, разрешен от лимита на тарифата. В същото време проблемът не беше в самите сайтове, а в банална атака от нарушители на админ панела, за да получат достъп за някои от техните цели.
Днес ще ви разкажа как се справих с проблема, който ви съветвам да направите за всеки случай у дома.
В резултат на това беше решено да се промени адреса на формата за вход в административния панел, както и да се покрие административният панел за всички външни лица, които нямат моя IP.
Струва си да се отбележи, че някои хостинг компании сами са създали автоматично нов администраторски адрес за всички потребители. Ако използвате услугите на такъв хостинг, тогава не четете повече статии и не губете време.
Как да промените адреса на администратора на WordPress
Публикувах тази статия преди. Тук изглежда подобен резултат, но ефектът и целта са различни.
Не забравяйте да направите резервни копияфайлове, с които работим.
- Първо, копирайте файла wp-login.php от корена на сайта (където се намира wp-config.php) на ftp на вашия компютър.
- Преименувайте го както искате. Например vhod.php
- Отворете този файл безплатна програма Notepad++ (или каквото предпочитате да редактирате) и заменете всички срещания на фразата wp-login.php с vhod.php.
Можете бързо да направите това, като натиснете CTRL+F в Notepad++. Е, в прозореца, който се появява, въведете:
Така че за секунда замених появата на фразата, която ми трябваше в целия файл. Срещна се 12 пъти.
Качете новия файл на ftp.
Подобно нещо ще трябва да се направи във файла general-template.php, който ще намерите в папката wp-includes точно там на ftp. Тези. променете срещането на фразата wp-login.php на vhod.php, но не променяйте самото име на файла!
Сега имате .htaccess файл на същото място в основата на сайта. Ние също го копираме на нашия компютър и го отваряме за редактиране (можете да използвате обикновен бележник Windows Notepad). Вмъкваме такава част от кода, която блокира достъпа на всички до файла wp-login.php
Отказ на поръчка, Разрешаване на отказ от всички
< Files wp - login . php >
Отказ на поръчка
Отказва от всички
< / Files >
Точно тази стъпкапремахна натоварването и също скри формуляра за оторизация. Натоварването беше премахнато чрез вмъкване на представения код в .htaccess: ако имаше извикване на http://site.ru/wp-login.php, то щеше да върне грешка 403, а не 404.
Нека повторим накратко алгоритъма на работа:
- Преименувайте файла wp-login.php на произволно име и заменете срещанията на името в него с ново.
- По същия начин заменяме старото име wp-login.php във файла general-template.php с новото.
- Ние предписваме във файла .htaccess забрана за достъп до wp-login.php за всички
След актуализиране на WordPress ще трябва да се коригира само файлът general-template.php. Но тъй като двигателят се актуализира не толкова често - това е дреболия в сравнение с ефекта.
Слагаме ограничение за влизане по IP през .htaccess
Като допълнителна мярка за защита на сайта приех ограничение за влизане в админ панела по IP. Проблемът беше решен много просто: създайте празен .htaccess файл и добавете следния код към него
поръчка отказва, разрешава разрешава от 192.168.0.1 отказва от всички
поръчка отказва, разрешава
позволи от 192.168.0.1
отричам от всички
Запазваме файла и го качваме в папката wp-admin на същото място в корена на сайта.
Вместо моето IP от примера, сложете вашето истинско. Освен това можете да добавите множество IP адреси с нова линиявсеки:
поръчка отказва, разрешава разрешава от 126.142.40.16 разрешава от 195.234.69.6 отказва от всички
поръчка отказва, разрешава
позволи от 126.142.40.16
позволи от 195.234.69.6
отричам от всички
Ако IP е динамичен, тогава можете да поставите числа само до първата-втора-трета точка:
Здравейте всички! Днес ще говоря за защитата на вашия блог или WordPress сайт, а именно как да скриете адреса за вход в административната област на сайта. Ако вече сте търсили в интернет статии по теми: защита на административния панел на wordpress, скриване на административния панел на wordpress и т.н., тогава вероятно сте виждали едно и също нещо навсякъде, или използвайте различни добавки, или заменете стандартния файл wp-login.php с друг файл с различно име. Използването на плъгини обаче забавя сайта и замяната на файла wp-login.php не води до желания резултат, тъй като адресът http://your-site/wp-admin винаги ще пренасочва към формата за влизане в сайта , а вашият заменен ще бъде изписан в адресната лента wp-login.php
Ето защо в тази статия ще видите просто и универсален начинскриване на администраторския адрес на wordpress.
И така, да започваме. Същността на метода също е да се замени файлът wp-login.php, но самият файл ще остане, при поискването му ще се генерира грешка 404. Например, нека променим адреса за вход на администратора на adminka.php.
Отворете файла wp-login.php с помощта на произволен редактор, например Notepad++. За да отворите търсенето на думи, натиснете клавишната комбинация Ctrl + F. Изберете раздела "Замяна" и заменете всички думи wp-login.php с adminka.php, като щракнете върху бутона "Замени всички". След това запазваме този файл, наричайки го също adminka.php. Сега можем да го качим в директорията на сайта.
Сега имаме по същество два файла за вход: първият е стандартният wp-login.php, вторият е нашият adminka.php. Освен това адресът на wp-admin ще продължи да работи.
Ако вече сте чели някои статии за скриването на административния панел на WordPress, вероятно сте видели, че след тази стъпка файлът general-template.php в папката wp-includes също се променя. Проблемът с този метод е, че когато актуализирате WordpPress се актуализира и даден файл, а също така, ако файлът wp-login.php бъде изтрит или празен в метода, този файл също се актуализира и всичко трябва да се направи отново, така че административният панел отново да е достъпен само на вашия адрес.
Намерих друг начин и той е универсален, тъй като не зависи от актуализации на WordPress.
Същността на метода е проста: трябва да добавите кода по-долу към файла functions.php на вашата тема веднага след отварящия php таг. С този код ще издадем грешка 404 при достъп до адресите wp-admin и wp-login.php и също ще накараме бутоните за влизане, излизане и възстановяване на парола да работят. Имайте предвид, че регистрацията няма да работи, така че тази опция е подходяща само ако сте единственият потребител на вашия сайт и регистрацията е деактивирана за вас. Иначе какъв е смисълът да сменяш адреса за влизане, ако така или иначе всички ще го знаят.
Като напомняне, нашият нов администраторски адрес е adminka.php, така че първо дефинираме константата ADMIN_URL с тази стойност.
Define("ADMIN_URL", "adminka.php"); add_action("init", "redirect_login_page"); add_filter("login_url", "new_wp_login_url", 10, 3); add_filter("URL_адрес_за_излизане", "URL_за_нов_wp_изход", 10, 2); add_filter("url_загубена_парола", "new_wp_url_загубена_парола", 10, 2); функция redirect_login_page() ( $page_viewed = $_SERVER["REQUEST_URI"]; if (strpos($page_viewed, "wp-login.php") !== false || (is_admin() && !(current_user_can("administrator") || current_user_can("super admin")) && !(defined("DOING_AJAX") && DOING_AJAX))) ( глобален $wp_query; $wp_query->set_404(); status_header(404); get_template_part("404"); изход ; ) ) функция new_wp_login_url($redirect = "", $force_reauth = false) ( $login_url = site_url(ADMIN_URL, "login"); if (!empty($redirect)) $login_url = add_query_arg("redirect_to", urlencode( $redirect), $login_url); if ($force_reauth) $login_url = add_query_arg("reauth", "1", $login_url); return $login_url; ) функция new_wp_logout_url() ( $args = array("action" => "изход"); $logout_url = add_query_arg($args, site_url(ADMIN_URL, "login")); $logout_url = wp_nonce_url($logout_url, "log-out"); return $logout_url; ) функция new_wp_lostpassword_url() ( $args = масив ("действие" => "загубена парола"); $lostpassword_url = add_query_arg ($args, network_site_url(ADMIN_URL, "вход")); върне $lostpassword_url; )
Това е всичко! Така по прост начинние сме защитили входа до админ панела на нашия сайт, като по този начин сме забранили достъпа на нарушители до нашия админ панел. Сега те дори няма да могат да отгатнат паролата, докато не знаят адреса за влизане. Този метод обаче има и минус, но не толкова значителен. Този методще работи само с текущата тема, въпреки че винаги можете да пишете даден кодвъв вашия собствен малък плъгин и по този начин се отървете от този минус.
Зареждане...