Olvasási idő: 4 perc
Éppen egy éve a szerverem terhelése nagyon gyakran meghaladta a tarifa által megengedett határt. Sőt, a probléma nem magukban a webhelyeken volt, hanem a támadók banális támadásában az adminisztrációs panelen, hogy saját céljaikra hozzáférjenek.
Ma elmesélem, hogyan kezeltem a problémát, amit minden esetre otthon is megtehetek.
Ennek eredményeként úgy döntöttek, hogy megváltoztatják a bejelentkezési űrlap címét az adminisztrációs panelen, valamint bezárják az adminisztrációs panelt minden idegen számára, aki nem rendelkezik az IP-címemmel.
Érdemes megjegyezni, hogy egyes hosting cégek maguk is automatikusan új rendszergazdai címet hoztak létre minden felhasználó számára. Ha használja az ilyen hosting szolgáltatások szolgáltatásait, akkor ne olvassa el a további cikkeket, és ne pazarolja az idejét.
Hogyan változtassuk meg a WordPress rendszergazdai címét
Korábban publikáltam egy ilyen cikket. Itt is hasonló eredménynek tűnik, de a hatás és a cél más.
Ne felejtsen el biztonsági másolatot készíteni azokról a fájlokról, amelyekkel dolgozik.
- Először másolja át a wp-login.php fájlt a webhely gyökeréből (ahol a wp-config.php található) ftp-n keresztül a számítógépére.
- Nevezze át tetszés szerint. Például vhod.php
- Nyissa meg ezt a fájlt az ingyenes Notepad++ programmal (vagy azzal, amivel kényelmesebb szerkeszteni), és cserélje ki a wp-login.php kifejezés minden előfordulását a vhod.php-re.
Ezt gyorsan megteheti a CTRL+F lenyomásával a Jegyzettömbben++. Nos, a megjelenő ablakban írja be:
Így egy másodperc alatt lecseréltem a szükséges kifejezés előfordulását az egész fájlban. 12-szer jött össze.
Feltöltjük az új fájlt az ftp-re.
Hasonló dolgot kell tenni a general-template.php fájlban is, amelyet az ftp-n a wp-includes mappában találsz. Azok. módosítsa a wp-login.php kifejezés előfordulását vhod.php -re, de magát a fájlnevet ne változtassa meg!
Most már van egy .htaccess fájl a webhely gyökerében. Azt is átmásoljuk a számítógépünkre, és megnyitjuk szerkesztésre (használhat egy normál Windows Jegyzettömböt). Beszúrunk egy kódrészletet, amely blokkolja mindenki hozzáférését a wp-login.php fájlhoz
Rendelje meg: Megtagadás, Engedélyezze a Megtagadást mindenkitől
< Files wp - login . php >
Elutasítás, engedélyezés
Mindentől tagadni
< / Files >
Ez a lépés tehermentesített, és elrejtette a meghatalmazási űrlapot is. A terhelést enyhítette a bemutatott kód beszúrása a .htaccess-be: ha a http://site.ru/wp-login.php címet hívták volna, az 403-as hibát adna, nem 404-et.
Ismételjük meg röviden a működési algoritmust:
- Nevezze át a wp-login.php fájlt tetszőleges névre, és cserélje ki a név előfordulásait egy új névre.
- Hasonlóképpen a general-template.php fájlban a régi wp-login.php nevet cseréljük az újra.
- A .htaccess fájlban a wp-login.php elérési tilalmát regisztráljuk mindenki számára
A WordPress frissítése után már csak a general-template.php fájlt kell kijavítani. Hanem azért, mert A motort nem frissítik túl gyakran - ez kicsi dolog a hatáshoz képest.
Korlátozást állítottunk be az IP-n keresztüli bejelentkezésre .htaccess-en keresztül
További intézkedésként az oldal védelme érdekében korlátozást fogadtam el az adminisztrációs panelbe IP-n keresztüli bejelentkezésre. A problémát nagyon egyszerűen megoldották: hozzon létre egy üres .htaccess fájlt, és adja hozzá a következő kódot
parancs megtagadás, engedélyezés engedélyezése 192.168.0.1-től megtagadás mindentől
parancs megtagad, enged
engedélyezése 192.168.0.1-től
tagadja meg mindenkitől
Mentjük a fájlt, és bedobjuk a wp-admin mappába, ugyanoda a webhely gyökerében.
A példában szereplő IP-címem helyett az igazit tedd be. Ezenkívül több IP-címet is hozzáadhat egy-egy új sorral:
parancs megtagadás, engedélyezés 126.142.40.16 engedélyezés 195.234.69.6 megtagadás mindentől
parancs megtagad, enged
engedélyezése 126.142.40.16-tól
engedélyezése 195.234.69.6-tól
tagadja meg mindenkitől
Ha az IP dinamikus, akkor csak az első, második vagy harmadik pontig írhat számokat:
Sziasztok! A nyár elején különösen aktívvá vált hatalmas brute force támadásokról szóló cikkben több egyszerű hackertámadást is leírtam. Az egyik pont egy plugint említett wBiztonságos hitelesítés, amely lehetővé teszi a WordPress rendszergazdai cím megváltoztatását, és megnehezíti a hackerek feladatát. Ma úgy döntöttem, hogy részletesebben írok róla, különösen, mivel a Brute Force támadások folytatódnak.
Hogyan lehet bejelentkezni a WordPress adminisztrátorba?
Sok kezdő blogger (és nem csak) annak érdekében, hogy ne felejtse el az adminisztrációs panel címét, telepítsen egy „Meta” widgetet az oldalsávba egy közvetlen „Bejelentkezés” hivatkozással. Ne feledje egyszer s mindenkorra – erre a widgetre nincs szükség a blogjában, ha nem használ felhasználói regisztrációs rendszert. A WordPress adminisztrációs területéhez való eljutáshoz egyszerűen kövesse a linket your-site.ru/wp-login.php vagy a your-site.ru/wp-admin.
Remélem ezt mindenki nagyon jól tudja? Mindenesetre a hackerek biztosan ismerik és használják ezeket a címeket a WordPress adminisztrációs terület feltörésére. Ezért nem kell segíteni nekik azzal, hogy még egyszer megmutatjuk nekik, hol van a „bejárat”. Jobb lenne elrejteni az adminisztrációs panelt a szabványos hivatkozások megváltoztatásával.
A WordPress adminisztrációs terület elrejtése a wSecure Authentication bővítménnyel
Számos módja van ennek a probléma megoldásának. Például a Makhost hostingon megvalósított szkript vagy néhány összetett beépülő modul, például a Better WP Security használata. De megmutatom a legegyszerűbb módszert, ami senkinek nem okoz nehézséget.
Ehhez telepítjük a wSecure Authentication bővítményt, amelynek egyetlen feladata a /wp-admin és /wp-login.php oldal elrejtése, valamint az adminisztrációs területhez való hozzáférés korlátozása az idegenek számára. Cserébe létrehozzuk saját egyedi URL-jét, amellyel bejelentkezhet a WordPress blog adminisztrációs paneljébe.
Lépjen a „Beállítások” menübe – „wSecure Configuration”. A beépülő modult három sor kitöltésével állítjuk be:
- 1. Engedélyezés – engedélyezze a bővítményt, és állítsa „Igen”-re.
- 2. Kulcs – írja be a titkos kulcsot. Az angol betűket különböző esetekben és számokban használhatja. Ha például a wpMgSkz lehetőséget választja, akkor a WordPress rendszergazdai címe így fog kinézni: /wp-admin/?wpMgSkz. Ügyeljen arra, hogy a kulcs elé tegyen kérdőjelet.
- 3. Átirányítási beállítások – adja meg, hogy a felhasználó hova kerüljön átirányításra, ha megadja a szabványos bejelentkezési URL-t.
Alapértelmezés szerint az „Átirányítási beállítások” úgy van beállítva, hogy átirányítsa a főoldalra, de beállíthatja a „ Egyéni útvonal“. Ehhez válassza ki az „Egyéni elérési út” lehetőséget a legördülő listából, és írjon be egy tetszőleges címet, vagy hagyja el a bővítményben megadott címet. Ebben az esetben mindenki egy ehhez hasonló oldalt fog látni:
Akár egy speciálisan létrehozott oldalra is átirányíthatod a hackert, és ott írhatsz neki pár kedves szót :-).
A beépülő modul működésének ellenőrzéséhez keresse fel a blogot egy másik böngészőből, vagy törölje a cookie-kat. És néha megesik, hogy a blog adminisztrációs panelje először az új és a régi címen nyílik meg.
Így egyszerűen módosíthatja a WordPress adminisztrátori URL-jét az alapértelmezett URL elrejtésével. Ha ezen felül összetett jelszót választasz, nem használod az „admin” bejelentkezést, és a jelszó kitalálásakor telepíted az IP blokkoló plugint, akkor ez gyakorlatilag megvédi blogodat a brute force támadásoktól.
Mi a teendő, ha nem lehet bejelentkezni az adminisztrációs területre?
Ha valamilyen okból a wSecure Authentication beépülő modul telepítése után nem tud belépni a blog adminisztrációs paneljébe, akkor ne essen pánikba. Személy szerint nekem nem volt ezzel semmi bajom, de volt egy hasonló helyzet.
A tény az, hogy egyes hosting cégek, például a Makhost és a Sprinthost ügyfeleik webhelyeinek biztonságáról gondoskodva maguk változtatták meg a szabványos címeket, és alternatív hivatkozásokat biztosítottak a WordPress adminisztrációs területére való bejelentkezéshez. A bővítmény már telepítve volt, és ezek a hivatkozások egy nem létező oldalra irányítottak. Mit kell tenni?
Valójában manapság számos oka van annak, hogy miért érdemes bezárnia a WordPress által üzemeltetett webhely engedélyezési oldalát a kíváncsi szemek elől. Az egyik legfontosabb és legjelentősebb ok az lesz, hogy az engedélyezési oldal bezárásával bárki elől, aki akarja, megvédheti webhelyét az illetéktelen hozzáféréstől - hackeléstől.
Hiszen manapság rengeteg csaló található az interneten, akik speciális programokkal, jelszavak brutális erőltetésével vagy sebezhetőségek keresésével hozzáférhetnek rendszergazdai fiókjához. Természetesen nem fogja tudni megvédeni magát 100%-ban a WordPress webhelyek feltörésével foglalkozó szakértőkkel szemben, de ez segít megmenteni az idegeit az amatőr amatőröktől.
Ezenkívül egyesek a webhely ellenőrzésének módszeréhez folyamodnak, és automatikusan beírják a /wp-admin sort az URL-cím után, és ha egy támadónak sikerül ezt megtennie, akkor pontosan tudni fogja, hol kell „ásni” és milyen biztonsági réseket találhat a CMS-ben. jobban oda kellene figyelni.
A csalók gyakran használnak ilyen programokat például arra, hogy információkat szerezzenek a webhelyére vagy bármely más CMS-re telepített WordPress rendszer verziójáról, mivel a régebbi összeállítások olyan konkrét hibákat és sebezhetőségeket tartalmaznak, amelyekkel a támadók nem csak az Ön adatait törhetik fel bejelentkezés a webhely adminisztrációs paneljébe, hanem a mélyebb és részletesebb hozzáférés érdekében is.
Például egy csaló meg tudja tölteni az Ön oldalát vírusokkal vagy tolakodó reklámjaival, vagy akár bizalmas adatokat másolhat le ügyfeleiről, átveszi az adatbázist megrendelésekkel, regisztrált személyek e-mailjeivel, megtudhatja bejelentkezési nevüket és jelszavukat.
A motornak a https://s-host.com.ua tárhelyre való betöltése után azonnal telepítjük a webhely biztonságát növelő bővítményeket. Először is megváltoztatjuk és elrejtjük a bejelentkezési oldalt a webportál adminisztrációs területén, megváltoztatva a szabványos elérési utat (domain/wp-admin).
A bővítmény telepítése
Az oldal új címének megadásához a WPS Hide Login alkalmazást fogjuk használni - egy egyszerű, de nagyon funkcionális bővítményt. Előnye, hogy nincsenek további beállítások.
Alapvetően csak a „Konzol”/„Bővítmények”/„Új hozzáadása” oldalra kell lépnie, majd használnia kell a keresést. A telepítéshez és aktiváláshoz keresse meg a WPS Hide Login elemet.
A WordPress rendszergazdai bejelentkezési oldalának módosítása
A beépülő modul telepítése és aktiválása után megjelenik az összes bővítmény listájában a „Konzol”/„Bővítmények” oldalon (vegye figyelembe, hogy a bővítmény nem jelenik meg az általános menüben).
Most kattintson a Beállítások gombra a bővítmény alatt:
A „Beállítások”/„Általános” oldalon csak meg kell találnia a WPS bejelentkezés elrejtése blokkot, és végre kell hajtania a beállításokat.
Tehát a bejelentkezési url két mezőt tartalmaz: az első statikus – az Ön domainje (nem módosítható), a második egy kitöltendő mező (a bejelentkezési lehetőség alapértelmezés szerint elérhető).
Adja meg a kívánt rendszergazdai címet, és mentse a változtatásokat:
Most, ha felkeresi a webhelyed/wp-admin oldalt, nem fog mást látni, mint egy hibaértesítést:
Valószínűleg már tudja, hogyan léphet be a WordPress adminisztrációs területére?
Ezt legalább négyféleképpen teheti meg, ha hozzáadja a következőket webhelye címéhez:
- /admin, azaz így: http://webhelyed/admin
- /wp-admin
- /Belépés
- /wp-login.php
Általában az első három átirányítási lehetőség továbbra is a következő oldalra vezet: http://your_site/wp-login.php
Kiderült, hogy bárki hozzáadhatja a fent leírt négy előtag bármelyikét webhelye címéhez, és látni fogja az adminisztrátori bejelentkezést:
Ez persze egyáltalán nem jelenti azt, hogy bárki könnyen bekerülhet az adminisztrációs panelbe, mert tudnia kell a Felhasználónevet vagy az e-mail címedet és a jelszavadat is.
Ha az adminisztrátor felhasználó rendelkezik bejelentkezési névvel: – akkor ez egyáltalán nem körültekintő az Ön részéről, és a támadónak csak ki kell tippelnie vagy kitalálnia a jelszavát.
Ezen kívül láttad a feliratot: Felhasználónév vagy e-mail? Igen, igen, a WordPress használhatja az e-mailt felhasználónévként. De megadhat egy e-mail címet valahol az oldalon, amely megegyezik a rendszergazda felhasználó e-mail címével. Kiderült, hogy a támadó először megpróbálhatja beírni az E-mail címét, majd a WordPress ismét segít neki, mert ha az e-mail nem megfelelő, akkor ezt az üzenetet fogja látni:
és ha az e-mail helyes, a WordPress kiírja, hogy a jelszó helytelen:
Ennek eredményeként olyan helyzet áll elő, amikor a potenciális támadónak ahhoz, hogy feltörje webhelyét (az adminisztrációs panelhez való hozzáférés), csak ki kell tippelnie vagy kitalálnia a jelszavát.
Hogyan védhetjük meg az adminisztrátori bejelentkezést egy lehetséges fenyegetéstől? A válasz egyszerű – próbálja meg növelni a belépéshez szükséges ismeretlenek számát.
Most nézzük meg közelebbről:
- Lehetőség szerint ügyeljen arra, hogy az adminisztrátor felhasználó e-mailje sehol ne szerepeljen az oldalon – a nyilvános e-mail legyen valami más.
- A jelszavad nem lehet egyszerű, a WordPress telepítésekor maga generál egy összetett jelszót, ha nem akarod használni, akkor találj ki valami többé-kevésbé összetett jelszót, amely kis és nagy karaktereket, számokat és néhány szimbólumot, például -, ?, _ stb.
- A felhasználónév sem lehet egyszerű: admin, menedzser, root, rendszergazda, felhasználóés más egyszerű szavak!
- És végül meg kell adnia a harmadik legfontosabb ismeretlent - módosítsa az adminisztrátori bejelentkezési URL-t, ehhez telepítsen egy egyszerű bővítményt: WPS Hide Login
WPS Bejelentkezés elrejtése
Egy egyszerű, ingyenes és meglehetősen népszerű bővítmény, amely lehetővé teszi az adminisztrátori bejelentkezési URL módosítását.
A bővítmény telepítése és aktiválása után az adminisztrátori részre kell lépnie: Beállítások / Általános, majd görgessen az oldal aljára, és csak egy paramétert lát, amelyet ez a bővítmény adott hozzá:
Alapértelmezés szerint a plugin a http://yoursite/login bejelentkezést javasolja – de ez semmiképpen sem a legjobb megoldás! Találj ki valamit a sajátoddal, például: yyyy12_go)))
A paraméter módosítása után ne felejtsen el a gombra kattintani Változtatások mentése– ellenkező esetben, ha a beépülő modul aktív, akkor a http://webhely/bejelentkezés címen keresztül kell bejelentkeznie
Mindenképpen próbáljon meg kijelentkezni, majd újra bejelentkezni az adminisztrációs területre, de olyan új bejelentkezési címet használjon, amelyet saját maga talált ki, és ami a legfontosabb, ne felejtse el!
Az adminisztrátori belépési pont módosítása után, amikor a szabványos URL-ekhez próbál hozzáférni, a felhasználó 404-es hibaoldalt kap.
Figyelem! Ha hirtelen elfelejti az új rendszergazdai bejelentkezési címet, le kell tiltania ezt a bővítményt. Ezt megteheti anélkül, hogy fel kellene lépnie az adminisztrációs panelre, ha hozzáfér a webhely mappáihoz és fájljaihoz. Csak át kell neveznie vagy törölnie kell a plugin mappát wps-hide-login, ami a mappában lesz bővítmények(a plugins mappa a wp-content mappában található).
Ennek eredményeként: a fenti intézkedések végrehajtása után adminisztrátori bejelentkezési védelmet kell kapnunk három ismeretlennel: E-mail / Felhasználónév, összetett jelszó és saját egyedi bejelentkezési URL - ez pedig jelentősen megnehezítheti a fiatal hackerek erőfeszítéseit)
A bejelentkezési oldal megváltoztatásához módosítania kell a fájlt .htaccess. Egy levél hibája tönkreteheti az egész webhelyet, ezért készítsen biztonsági másolatot a fájlról .htaccessés témamappák.
A biztonsági mentés a tárhelyen vagy egy plugin használatával is elvégezhető. Készítsen teljes biztonsági másolatot, vagy ellenőrizze, hogy az utolsó automatikus biztonsági mentés a webhely utolsó módosítása után történt-e.
Ha látogatói vannak webhelyére, kipróbálhatja a bejelentkezési URL módosítását egy helyi vagy műszaki webhelyen.
Az első módszerrel módosíthatja a fájlt .htaccess, a másodikban - a fájlok változásai .htaccessÉs függvények.php. Ezt követően le kell tiltania a hozzáférést a régi rendszergazdai bejelentkezési oldalhoz.../ wp-login.php.
Fájl a webhely gyökérmappájában található, a fájl a téma mappában található.
Hogyan lehet megváltoztatni a bejelentkezési oldalt a WordPressben
1. módszer: A fájl szerkesztése .htaccess
Adja hozzá a kódot az elején .htaccess a WordPress egyetlen telepítésében, és a következő sorok után több webhelyes telepítésben:
Add hozzá ezt a kódot:
Módosítsa a 11. bejelentkezési oldalt a sorban 2 az Ön címére, ahol bejelentkezési oldalt szeretne létrehozni az oldalra. Ha nem változtat semmit, a webhely bejelentkezési oldala a my-site.ru/myloginpage11 lesz.
Változás 123456qwerty sorokban 2 És 7 valami a sajátodért. Ez egy titkos kulcs, amely csak latin betűket és számokat tartalmazhat.
Mentse el a fájlt, és ellenőrizze a webhelyet. Ha 500-as szerverhiba jelenik meg, akkor valahol hibát követett el. Tekintse át újra a módosításokat, vagy kezdje elölről.
Ha a webhely működik, de a módosítások nem érvényesülnek, állítsa vissza a böngésző gyorsítótárát, és próbálja újra.
2. módszer: Szerkessze a fájlt .htaccessÉs függvények.php
Illessze be a kódot a fájl elejére .htaccess egyetlen telepítésben vagy a következő sorok után több helyről történő telepítésnél:
Add hozzá ezt a kódot:
Cserélje ki a myloginpage22-t a saját címére. Ha így hagyja, az új webhely bejelentkezési címe my-site.ru/myloginpage22 lesz.
Mentse el a fájlt, és ellenőrizze a webhely működését. Ha 500-as hibaüzenetet kap, próbálja megkeresni a hibát, vagy kezdje elölről.
Ezt követően elkezdheti használni ezt a bejelentkezési címet az adminisztrációs panelen, de ha azt szeretné, hogy a WordPress mindenhol ezt a címet kezdje használni az oldal bejelentkezési címeként, akkor hozzá kell adnia egy kódrészletet a fájlhoz függvények.php vagy adja hozzá a kódot egy bővítményhez, amely hozzáadja a kódot az aktuális témához.
Add hozzá ezt a kódot függvények.php:
A WordPress technikai támogatási fórumának kódja. Módosítsa a22 bejelentkezési oldalt arra a címére, amelyet hozzáadott .htaccess.
Minden készen van, ellenőrizheti. Adjon hozzá egy widgetet metainformációkkal az oldalsávhoz, és kattintson a webhely bejelentkezési hivatkozására. Ha mindent helyesen csinált, akkor egy új bejelentkezési oldalra kell kerülnie.
Hogyan lehet elrejteni a régi bejelentkezési oldalt a wp-login.php webhelyen
Az új webhely bejelentkezési oldala további biztonsági intézkedés lesz a webhely számára, de nem tiltja meg a szabványos oldalhoz való hozzáférést wp-login.php ennek nincs értelme.
Hogyan lehet elrejteni egy oldalt wp-login.php olvasni a látogatóktól.
