Waktu membaca: 4 menit
Setahun yang lalu, beban server saya sering kali melebihi batas yang diperbolehkan oleh tarif. Selain itu, masalahnya bukan pada situs itu sendiri, tetapi pada serangan dangkal oleh penyerang di panel admin untuk mendapatkan akses untuk beberapa tujuan mereka sendiri.
Hari ini saya akan memberi tahu Anda bagaimana saya mengatasi masalah ini, yang saya sarankan Anda lakukan di rumah, untuk berjaga-jaga.
Akibatnya, diputuskan untuk mengubah alamat formulir login di panel admin, serta menutup panel admin untuk semua orang asing yang tidak mengetahui IP saya.
Perlu dicatat bahwa beberapa perusahaan hosting sendiri secara otomatis membuat alamat admin baru untuk semua pengguna. Jika Anda menggunakan layanan dari layanan hosting tersebut, maka jangan membaca artikel selanjutnya dan jangan buang waktu.
Cara mengubah alamat admin WordPress
Saya sebelumnya menerbitkan artikel seperti itu. Tampaknya ada hasil yang serupa di sini, namun efek dan tujuannya berbeda.
Jangan lupa untuk membuat salinan cadangan dari file yang Anda gunakan.
- Pertama, salin file wp-login.php dari root situs (tempat wp-config.php berada) melalui ftp ke komputer Anda.
- Ubah namanya sesuka Anda. Misalnya vhod.php
- Buka file ini dengan program Notepad++ gratis (atau apa pun yang lebih nyaman bagi Anda untuk mengeditnya) dan ganti semua kemunculan frasa wp-login.php dengan vhod.php .
Anda dapat dengan cepat melakukan ini dengan menekan CTRL+F di Notepad++. Nah, pada jendela yang muncul, masukkan:
Jadi dalam sedetik saya mengganti kemunculan frasa yang saya perlukan di seluruh file. Itu muncul 12 kali.
Kami mengunggah file baru ke ftp.
Hal serupa perlu dilakukan di file general-template.php, yang dapat Anda temukan di folder wp-includes di ftp. Itu. ubah kemunculan frasa wp-login.php menjadi vhod.php , tetapi jangan ubah nama file itu sendiri!
Sekarang Anda memiliki file .htaccess di root situs. Kami juga menyalinnya ke komputer kami dan membukanya untuk diedit (Anda dapat menggunakan Notepad Windows biasa). Kami memasukkan sepotong kode yang memblokir akses semua orang ke file wp-login.php
Pesan Tolak, Izinkan Tolak dari semua
< Files wp - login . php >
Perintah Tolak, Izinkan
Tolak dari semua
< / Files >
Langkah inilah yang meringankan beban dan juga menyembunyikan formulir otorisasi. Beban dikurangi dengan memasukkan kode yang disajikan ke .htaccess: jika ada panggilan ke http://site.ru/wp-login.php, itu akan memberikan kesalahan 403, bukan 404.
Mari kita ulangi secara singkat algoritma operasinya:
- Ganti nama file wp-login.php menjadi nama sembarang dan ganti kemunculan nama tersebut dengan yang baru.
- Begitu pula pada file general-template.php, kita ganti nama lama wp-login.php dengan yang baru.
- Kami mendaftar di file .htaccess larangan akses ke wp-login.php untuk semua orang
Setelah update WordPress, yang perlu diperbaiki hanyalah file general-template.php. Tapi karena Mesin tidak terlalu sering diperbarui - ini adalah hal kecil dibandingkan dengan efeknya.
Kami menetapkan batasan login melalui IP melalui .htaccess
Sebagai tindakan tambahan untuk melindungi situs, saya menerapkan pembatasan masuk ke panel admin melalui IP. Masalahnya diselesaikan dengan sangat sederhana: buat file .htaccess kosong dan tambahkan kode berikut ke dalamnya
perintah tolak, izinkan izin dari 192.168.0.1 tolak dari semua
perintah tolak, izinkan
izinkan dari 192.168.0.1
menyangkal dari semua
Kami menyimpan file dan memasukkannya ke folder wp-admin di tempat yang sama di root situs.
Alih-alih IP saya dari contoh, masukkan IP asli Anda. Selain itu, Anda dapat menambahkan beberapa IP dengan masing-masing baris baru:
pesanan ditolak, izinkan izin dari 126.142.40.16 izinkan dari 195.234.69.6 tolak dari semua
perintah tolak, izinkan
izinkan dari 126.142.40.16
izinkan dari 195.234.69.6
menyangkal dari semua
Jika IP-nya dinamis, maka Anda hanya dapat memasukkan angka hingga titik pertama, kedua, atau ketiga:
Halo semua! Dalam sebuah artikel tentang serangan brute force besar-besaran, yang menjadi sangat aktif pada awal musim panas ini, saya menjelaskan beberapa serangan peretasan sederhana. Salah satu poin menyebutkan plugin wOtentikasi Aman, yang memungkinkan Anda mengubah alamat admin WordPress dan mempersulit peretas. Hari ini saya memutuskan untuk menulisnya lebih detail, terutama karena serangan Brute Force terus berlanjut.
Bagaimana cara masuk ke admin WordPress?
Banyak blogger pemula (dan tidak hanya), agar tidak lupa alamat panel admin, memasang widget “Meta” di sidebar dengan link “Login” langsung. Ingat sekali dan untuk selamanya - widget ini tidak diperlukan di blog Anda jika Anda tidak menggunakan sistem registrasi pengguna. Untuk masuk ke area admin WordPress, cukup ikuti tautannya situs-Anda.ru/wp-login.php atau situs-anda.ru/wp-admin.
Saya harap semua orang mengetahui hal ini dengan baik? Bagaimanapun, peretas pasti mengetahui dan menggunakan alamat ini untuk meretas area admin WordPress. Oleh karena itu, tidak perlu membantu mereka dengan sekali lagi menunjukkan di mana “Pintu Masuk” itu berada. Akan lebih baik untuk menyembunyikan panel admin dengan mengubah tautan standar.
Cara menyembunyikan area admin WordPress menggunakan plugin wSecure Authentication
Ada beberapa cara untuk mengatasi masalah ini. Misalnya menggunakan skrip seperti yang diterapkan pada hosting Makhost, atau beberapa plugin kompleks seperti Better WP Security. Tetapi saya akan menunjukkan kepada Anda metode paling sederhana yang tidak akan menimbulkan kesulitan bagi siapa pun.
Untuk melakukan ini, kami akan menginstal plugin wSecure Authentication, satu-satunya tugasnya adalah menyembunyikan halaman /wp-admin dan /wp-login.php dan membatasi akses ke area admin untuk orang asing. Sebagai imbalannya, kami akan membuat URL unik Anda sendiri untuk masuk ke panel admin blog WordPress Anda.
Buka menu “Pengaturan” – “Konfigurasi Aman”. Kami mengonfigurasi plugin dengan mengisi tiga baris:
- 1. Aktifkan – aktifkan plugin dan atur ke “Ya”.
- 2. Kunci – masukkan kunci rahasia. Anda dapat menggunakan huruf bahasa Inggris dalam berbagai huruf dan angka. Misalnya, jika Anda memilih wpMgSkz, maka alamat admin WordPress akan terlihat seperti ini: /wp-admin/?wpMgSkz. Pastikan untuk memberi tanda tanya di depan kunci.
- 3. Opsi Pengalihan - tentukan ke mana pengguna akan diarahkan jika dia memasukkan URL login standar.
Secara default, “Opsi Pengalihan” diatur untuk mengalihkan ke halaman utama, tetapi Anda dapat mengatur “ Jalur khusus“. Untuk melakukan ini, pilih “Jalur Kustom” di daftar drop-down dan masukkan alamat apa pun atau biarkan alamat yang ditentukan di plugin. Dalam hal ini, semua orang akan melihat halaman seperti ini:
Anda bahkan dapat mengarahkan peretas ke halaman yang dibuat khusus dan menulis beberapa kata baik untuknya di sana :-).
Untuk memeriksa cara kerja plugin, kunjungi blog dari browser lain atau hapus cookie Anda. Dan terkadang panel admin blog pertama kali terbuka di alamat baru dan lama.
Begini cara mudah mengubah URL admin WordPress dengan menyembunyikan URL default. Selain itu, jika Anda memilih kata sandi yang rumit, tidak menggunakan login “admin”, dan memasang plugin pemblokiran IP saat menebak kata sandi, maka ini secara praktis akan melindungi blog Anda dari peretasan oleh serangan brute force.
Apa yang harus dilakukan jika tidak mungkin masuk ke panel admin?
Jika karena alasan tertentu, setelah menginstal plugin wSecure Authentication, Anda tidak dapat masuk ke panel admin blog Anda, jangan panik. Secara pribadi, saya tidak punya masalah dengan ini, tapi ada situasi serupa.
Faktanya adalah beberapa perusahaan hosting, misalnya Makhost dan Sprinthost, yang menjaga keamanan situs kliennya, sendiri mengubah alamat standar dan menyediakan tautan alternatif untuk masuk ke area admin WordPress. Saya sudah menginstal pluginnya, dan tautan ini mengarahkan saya ke halaman yang tidak ada. Apa yang harus dilakukan?
Faktanya, saat ini ada banyak alasan mengapa Anda harus menutup halaman otorisasi situs web yang didukung oleh WordPress dari pengintaian. Salah satu alasan paling penting dan signifikan adalah dengan menutup halaman otorisasi dari siapa pun yang menginginkannya, Anda dapat melindungi situs Anda dari akses tidak sah - peretasan.
Lagi pula, saat ini ada banyak penipu di Internet yang, menggunakan program khusus dengan memaksa kata sandi atau mencari kerentanan, akan dapat memperoleh akses ke akun administrator Anda. Tentu saja, Anda tidak akan bisa 100% melindungi diri Anda dari pakar peretasan situs WordPress, tetapi ini akan membantu Anda menyelamatkan diri dari para amatir.
Selain itu, beberapa orang menggunakan metode pemeriksaan situs Anda, secara otomatis memasukkan baris /wp-admin setelah alamat URL, dan jika penyerang berhasil melakukan ini, maka dia akan tahu persis di mana harus "menggali" dan apa kerentanan CMS Anda harus lebih diperhatikan.
Penipu sering menggunakan program semacam itu untuk, misalnya, mencari informasi tentang versi sistem WordPress yang diinstal di situs web Anda atau CMS lainnya, karena versi lama mengandung kesalahan dan kerentanan tertentu yang tidak hanya dapat diretas oleh penyerang. masuk ke panel administrasi situs, tetapi juga untuk akses yang lebih dalam dan detail.
Misalnya, penipu akan dapat mengisi situs Anda dengan virus atau iklannya yang mengganggu, atau dia bahkan dapat menyalin data rahasia tentang klien Anda, mengambil alih database dengan pesanan, email orang yang terdaftar, mengetahui login dan kata sandi mereka.
Kami akan memasang plugin yang meningkatkan keamanan situs segera setelah memuat mesin ke hosting https://s-host.com.ua. Pertama-tama, kita akan mengubah dan menyembunyikan halaman login di area admin portal web dengan mengubah jalur standar ke sana (domain/wp-admin).
Menginstal plugin
Untuk memberi halaman alamat baru, kami akan menggunakan WPS Hide Login - sebuah plugin sederhana namun sangat fungsional. Kelebihannya adalah tidak ada pengaturan tambahan.
Pada dasarnya, Anda hanya perlu membuka halaman “Konsol”/”Plugin”/”Tambah Baru” dan kemudian menggunakan pencarian. Temukan WPS Sembunyikan Login untuk menginstal dan mengaktifkannya.
Mengubah Halaman Login Admin WordPress
Setelah menginstal dan mengaktifkan plugin, plugin akan muncul di daftar semua ekstensi di halaman “Konsol”/”Plugin” (perhatikan bahwa plugin tidak ditampilkan di menu umum).
Sekarang klik tombol Pengaturan di bawah plugin:
Setelah berada di halaman “Pengaturan”/”Umum”, yang harus Anda lakukan adalah menemukan blok WPS Sembunyikan Login dan melakukan penyesuaian.
Jadi, url Login berisi dua bidang: yang pertama adalah statis - domain Anda (tidak dapat diubah), yang kedua adalah bidang yang harus diisi (opsi login ditawarkan secara default).
Masukkan alamat admin yang diinginkan dan simpan perubahannya:
Sekarang, jika Anda membuka situs Anda/wp-admin, Anda tidak akan melihat apa pun selain pemberitahuan kesalahan:
Anda mungkin sudah tahu cara masuk ke area admin WordPress?
Anda dapat melakukan ini setidaknya dengan empat cara dengan menambahkan berikut ini ke alamat situs Anda:
- /admin, yaitu seperti ini: http://situsanda/admin
- /wp-admin
- /Gabung
- /wp-login.php
Secara umum, ketiga opsi pengalihan pertama akan tetap mengarahkan Anda ke halaman: http://your_site/wp-login.php
Ternyata siapa pun dapat menambahkan salah satu dari empat awalan yang dijelaskan di atas ke alamat situs Anda dan akan melihat login admin:
Tentu saja, ini tidak berarti bahwa siapa pun dapat dengan mudah masuk ke panel admin, karena dia juga perlu mengetahui Username atau email Anda dan kata sandi Anda.
Jika pengguna administrator Anda memiliki login: – maka hal ini sama sekali tidak bijaksana bagi Anda dan penyerang hanya perlu menebak atau menebak kata sandi Anda.
Selain itu, Anda melihat tulisan: Nama pengguna atau email? Ya iya, WordPress bisa menggunakan email sebagai Username. Namun Anda dapat menunjukkan alamat email di suatu tempat di situs yang cocok dengan email pengguna administrator. Ternyata hal pertama yang bisa dicoba penyerang adalah memasukkan E-mail Anda dan kemudian WordPress akan membantunya lagi, karena jika E-mail tersebut tidak sesuai, dia akan melihat pesan ini:
dan jika E-mailnya benar, WordPress akan menulis bahwa kata sandinya salah:
Akibatnya, kami menghadapi situasi di mana calon penyerang, untuk meretas situs Anda (akses ke panel admin), hanya perlu menebak atau menebak kata sandi Anda.
Bagaimana cara melindungi login admin dari potensi ancaman? Jawabannya sederhana - cobalah menambah jumlah hal yang tidak diketahui yang diperlukan untuk masuk.
Sekarang mari kita lihat lebih dekat:
- Jika memungkinkan, pastikan bahwa email pengguna administrator tidak disebutkan di mana pun di situs - email publik harus berupa email lain.
- Kata sandi Anda tidak boleh sederhana, ketika menginstal WordPress itu sendiri menghasilkan kata sandi yang rumit untuk Anda, jika Anda tidak ingin menggunakannya, buatlah kata sandi yang lebih atau kurang rumit, termasuk karakter kecil dan besar, angka dan beberapa simbol seperti -, ?, _ dll.
- Nama pengguna Anda juga tidak harus sederhana: admin, manajer, root, administrator, pengguna dan kata-kata sederhana lainnya!
- Dan terakhir, Anda harus memasukkan hal terpenting ketiga yang tidak diketahui - ubah URL login admin, untuk melakukan ini, instal plugin sederhana: WPS Sembunyikan Login
WPS Sembunyikan Login
Plugin sederhana, gratis dan cukup populer yang memungkinkan Anda mengubah URL login admin.
Setelah menginstal dan mengaktifkan plugin, Anda harus pergi ke bagian admin: Pengaturan / Umum, lalu gulir ke bagian paling bawah halaman dan lihat hanya satu parameter yang ditambahkan oleh plugin ini:
Secara default, plugin menyarankan penggunaan login http://yoursite/login - tetapi ini bukan pilihan terbaik! Ciptakan sesuatu milik Anda sendiri, misalnya: yyy12_pergi)))
Setelah mengubah parameter ini, jangan lupa klik tombolnya Simpan perubahan– jika tidak, dengan plugin aktif, Anda akan login melalui http://situsAnda/login
Pastikan untuk mencoba keluar dan masuk kembali ke area admin, tetapi gunakan alamat login baru yang Anda buat sendiri, dan yang paling penting, jangan lupa!
Setelah mengubah titik masuk admin, ketika mencoba mengakses URL standar, pengguna akan menerima halaman kesalahan 404.
Perhatian! Jika Anda tiba-tiba lupa alamat login admin baru, Anda harus menonaktifkan plugin ini. Ini dapat dilakukan tanpa masuk ke panel admin jika Anda memiliki akses ke folder dan file situs. Anda hanya perlu mengganti nama atau menghapus folder plugin wps-sembunyikan-login, yang akan ada di folder tersebut plugin(folder plugins terletak di folder wp-content).
Hasilnya: setelah menerapkan semua tindakan di atas, kita akan menerima perlindungan login admin dengan tiga hal yang tidak diketahui: Email / Nama Pengguna, kata sandi yang rumit, dan URL login unik kita sendiri - dan ini dapat secara signifikan mempersulit upaya peretas muda)
Untuk mengubah halaman login, Anda perlu melakukan perubahan pada file .htaccess. Kesalahan dalam satu huruf dapat merusak keseluruhan situs, jadi buatlah cadangan file .htaccess dan folder tema.
Backup bisa dilakukan di hosting atau menggunakan plugin. Buat cadangan lengkap, atau periksa apakah pencadangan otomatis terakhir dilakukan setelah perubahan terakhir pada situs.
Jika Anda memiliki pengunjung ke situs Anda, Anda dapat menguji perubahan URL login di situs lokal atau teknis.
Pada metode pertama Anda akan melakukan perubahan pada file .htaccess, yang kedua - perubahan file .htaccess Dan fungsi.php. Setelah ini, Anda perlu menonaktifkan akses ke halaman login admin lama.../ wp-login.php.
Mengajukan terletak di folder root situs, file terletak di folder tema.
Cara mengubah halaman login di WordPress
Metode 1: Mengedit file .htaccess
Tambahkan kode di awal .htaccess dalam satu instalasi WordPress dan setelah baris ini dalam instalasi Multisite:
Tambahkan kode ini:
Ubah myloginpage11 di baris 2 ke alamat Anda di mana Anda ingin memiliki halaman login ke situs. Jika Anda tidak mengubah apa pun, halaman login situs tersebut adalah my-site.ru/myloginpage11.
Ubah 123456qwerty dalam baris 2 Dan 7 untuk sesuatu milikmu sendiri. Ini adalah kunci rahasia yang hanya dapat berisi huruf dan angka latin.
Simpan file dan periksa situsnya. Jika Anda menerima kesalahan server 500, maka Anda telah membuat kesalahan di suatu tempat. Tinjau kembali perubahan Anda atau mulai dari awal.
Jika situs berfungsi tetapi perubahan tidak diterapkan, setel ulang cache browser Anda dan coba lagi.
Metode 2: Edit file .htaccess Dan fungsi.php
Tempelkan kode di awal file .htaccess dalam instalasi tunggal atau setelah baris ini dalam instalasi Multisite:
Tambahkan kode ini:
Ganti myloginpage22 dengan alamat Anda. Jika Anda membiarkannya apa adanya, alamat login situs baru adalah my-site.ru/myloginpage22.
Simpan file dan periksa cara kerja situs. Jika Anda mendapatkan kesalahan 500, coba cari kesalahannya atau mulai lagi dari awal.
Setelah ini, Anda dapat mulai menggunakan alamat login ini di panel admin, tetapi jika Anda ingin WordPress mulai menggunakan alamat ini di mana pun sebagai alamat login situs, Anda perlu menambahkan cuplikan ke file fungsi.php atau tambahkan kode ke plugin, yang akan menambahkan kode ke tema saat ini.
Tambahkan kode ini ke fungsi.php:
Kode dari forum dukungan teknis WordPress. Ubah myloginpage22 ke alamat yang Anda tambahkan .htaccess.
Semuanya sudah siap, Anda bisa memeriksanya. Tambahkan widget dengan informasi meta ke sidebar dan klik tautan login situs. Jika Anda melakukan semuanya dengan benar, Anda akan dibawa ke halaman login situs baru.
Cara menyembunyikan halaman login lama di website wp-login.php
Halaman login situs baru akan menjadi langkah pengamanan tambahan untuk situs tersebut, namun tanpa melarang akses ke halaman standar wp-login.php ini tidak masuk akal.
Cara menyembunyikan halaman wp-login.php membaca dari pengunjung.
