Timp de citire: 4 min
Cu doar un an în urmă, încărcarea serverului meu a depășit foarte des limita permisă de tarif. Mai mult decât atât, problema nu a fost în site-urile în sine, ci într-un atac banal al atacatorilor pe panoul de administrare pentru a avea acces pentru unele dintre propriile lor scopuri.
Astăzi vă spun cum am rezolvat problema, pe care vă sfătuiesc să o faceți acasă, pentru orice eventualitate.
Ca urmare, s-a decis schimbarea adresei formularului de autentificare în panoul de administrare, precum și închiderea panoului de administrare pentru toți străinii care nu au IP-ul meu.
Este de remarcat faptul că unele companii de găzduire au creat automat o nouă adresă de administrator pentru toți utilizatorii. Dacă utilizați serviciile unor astfel de servicii de găzduire, atunci nu citiți alte articole și nu pierdeți timpul.
Cum se schimbă adresa de administrator WordPress
Am publicat anterior un astfel de articol. Se pare că există un rezultat similar aici, dar efectul și scopul sunt diferite.
Nu uitați să faceți copii de rezervă ale fișierelor cu care lucrați.
- Mai întâi, copiați fișierul wp-login.php de la rădăcina site-ului (unde se află wp-config.php) prin ftp pe computer.
- Redenumiți-l după cum doriți. De exemplu vhod.php
- Deschideți acest fișier cu programul gratuit Notepad++ (sau orice altceva vă este mai convenabil să editați) și înlocuiți toate aparițiile expresiei wp-login.php cu vhod.php .
Puteți face acest lucru rapid apăsând CTRL+F în Notepad++. Ei bine, în fereastra care apare, introduceți:
Așa că într-o secundă am înlocuit apariția expresiei de care aveam nevoie în întregul fișier. A apărut de 12 ori.
Încărcăm noul fișier pe ftp.
Un lucru similar va trebui făcut în fișierul general-template.php, pe care îl veți găsi în folderul wp-includes chiar acolo pe ftp. Acestea. schimbați apariția expresiei wp-login.php în vhod.php , dar nu schimbați numele fișierului în sine!
Acum aveți un fișier .htaccess acolo în rădăcina site-ului. De asemenea, îl copiem pe computer și îl deschidem pentru editare (puteți folosi un Notepad Windows obișnuit). Inserăm o bucată de cod care blochează accesul tuturor la fișierul wp-login.php
Comanda Deny, Permite Deny de la toți
< Files wp - login . php >
Comanda Respinge, Permite
Negați din partea tuturor
< / Files >
Acest pas a fost cel care a ușurat sarcina și, de asemenea, a ascuns formularul de autorizare. Încărcarea a fost ușurată prin inserarea codului prezentat în .htaccess: dacă ar exista un apel către http://site.ru/wp-login.php, ar da o eroare 403, nu 404.
Să repetăm pe scurt algoritmul de operare:
- Redenumiți fișierul wp-login.php cu un nume arbitrar și înlocuiți aparițiile numelui cu unul nou.
- În mod similar, în fișierul general-template.php înlocuim vechiul nume wp-login.php cu cel nou.
- Înregistrăm în fișierul .htaccess o interdicție de acces la wp-login.php pentru toată lumea
După actualizarea WordPress, tot ce rămâne de corectat este fișierul general-template.php. Dar pentru că Motorul nu este actualizat foarte des - acesta este un lucru mic în comparație cu efectul.
Am stabilit o restricție privind conectarea prin IP prin .htaccess
Ca măsuri suplimentare pentru protejarea site-ului, am adoptat o restricție privind autentificarea în panoul de administrare prin IP. Problema a fost rezolvată foarte simplu: creați un fișier .htaccess gol și adăugați următorul cod la el
comanda refuza, permite permite de la 192.168.0.1 refuză de la toate
comanda refuza, permite
permite de la 192.168.0.1
nega de la toti
Salvăm fișierul și îl plasăm în folderul wp-admin în același loc la rădăcina site-ului.
În loc de IP-ul meu din exemplu, pune-l pe cel real. Mai mult, puteți adăuga mai multe IP-uri cu o linie nouă fiecare:
Comanda refuza, permite permite de la 126.142.40.16 permite de la 195.234.69.6 refuza de la toate
comanda refuza, permite
permite de la 126.142.40.16
permite de la 195.234.69.6
nega de la toti
Dacă IP-ul este dinamic, atunci puteți pune numere doar până la primul, al doilea sau al treilea punct:
Salutare tuturor! Într-un articol despre atacurile masive de forță brută, care au devenit deosebit de active la începutul acestei veri, am descris mai multe atacuri de hacking simple. Unul dintre puncte a menționat un plugin wAutentificare sigură, care vă permite să schimbați adresa de administrator WordPress și să îngreunați sarcina hackerilor. Astăzi am decis să scriu despre asta mai detaliat, mai ales că atacurile Brute Force continuă.
Cum să vă conectați la administratorul WordPress?
Mulți bloggeri începători (și nu numai), pentru a nu uita adresa panoului de administrare, instalează un widget „Meta” în bara laterală cu un link direct „Autentificare”. Amintiți-vă o dată pentru totdeauna - acest widget nu este necesar pe blogul dvs. dacă nu utilizați un sistem de înregistrare a utilizatorilor. Pentru a ajunge la zona de administrare WordPress, trebuie doar să urmați linkul your-site.ru/wp-login.php sau your-site.ru/wp-admin.
Sper că toată lumea știe asta foarte bine? În orice caz, hackerii cunosc cu siguranță și folosesc aceste adrese pentru a sparge zona de administrare WordPress. Prin urmare, nu este nevoie să-i ajutați arătându-le încă o dată unde este „Intrarea”. Ar fi mai bine să ascundeți panoul de administrare prin schimbarea legăturilor standard.
Cum să ascundeți zona de administrare WordPress folosind pluginul wSecure Authentication
Există mai multe modalități de a rezolva această problemă. De exemplu, folosind un script, așa cum este implementat pe găzduirea Makhost, sau unele pluginuri complexe, cum ar fi Better WP Security. Dar vă voi arăta cea mai simplă metodă care nu va provoca dificultăți nimănui.
Pentru a face acest lucru, vom instala pluginul wSecure Authentication, singura sarcină a căruia este să ascundem paginile /wp-admin și /wp-login.php și să limităm accesul la zona de administrare pentru străini. În schimb, vă vom crea propria adresă URL unică pentru a vă conecta la panoul de administrare a blogului WordPress.
Accesați meniul „Setări” – „Configurare wSecure”. Configuram pluginul completând trei rânduri:
- 1. Activare – activați pluginul și setați-l la „Da”.
- 2. Cheie – introduceți cheia secretă. Puteți folosi litere engleze în diferite cazuri și numere. De exemplu, dacă selectați wpMgSkz, atunci adresa de administrator WordPress va arăta astfel: /wp-admin/?wpMgSkz. Asigurați-vă că puneți un semn de întrebare în fața cheii.
- 3. Opțiuni de redirecționare - specificați unde va fi redirecționat utilizatorul dacă introduce URL-ul standard de conectare.
În mod implicit, „Opțiuni de redirecționare” este setat să redirecționeze către pagina principală, dar puteți seta „ Cale personalizată„. Pentru a face acest lucru, selectați „Cale personalizată” în lista derulantă și introduceți orice adresă sau lăsați-o pe cea specificată în plugin. În acest caz, toată lumea va vedea o pagină ca aceasta:
Puteți chiar să redirecționați hackerul către o pagină special creată și să-i scrieți acolo câteva cuvinte amabile :-).
Pentru a verifica cum funcționează pluginul, accesați blogul dintr-un browser diferit sau ștergeți cookie-urile. Și uneori se întâmplă ca panoul de administrare al blogului să se deschidă mai întâi atât la adresele noi, cât și la cele vechi.
Acesta este cât de ușor este să schimbați adresa URL de administrator WordPress prin ascunderea adresei URL implicite. Dacă, pe lângă aceasta, alegeți o parolă complexă, nu utilizați autentificarea „admin” și instalați pluginul de blocare a IP atunci când ghiciți parola, atunci acest lucru vă va proteja practic blogul de a fi piratat de atacuri de forță brută.
Ce să faci dacă este imposibil să te autentifici în zona de administrare?
Dacă dintr-un motiv oarecare, după instalarea pluginului wSecure Authentication, nu reușiți să intrați în panoul de administrare al blogului dvs., atunci nu vă panicați. Personal, nu am avut probleme cu asta, dar a existat o situație similară.
Cert este că unele companii de găzduire, de exemplu, Makhost și Sprinthost, având grijă de securitatea site-urilor clienților lor, au schimbat ele însele adresele standard și au furnizat link-uri alternative pentru autentificarea în zona de administrare WordPress. Aveam deja instalat pluginul, iar aceste link-uri m-au redirecționat către o pagină inexistentă. Ce să fac?
De fapt, astăzi există un număr mare de motive pentru care ar trebui să închideți pagina de autorizare a unui site web alimentat de WordPress din privirile indiscretelor. Unul dintre cele mai importante și semnificative motive va fi că prin închiderea paginii de autorizare de la oricine dorește, vă puteți proteja site-ul de accesul neautorizat - hacking.
Până la urmă, astăzi există o mulțime de escroci pe Internet care, folosind programe speciale prin forțarea brutală a parolelor sau căutând vulnerabilități, vor putea obține acces la contul tău de administrator. Desigur, nu vă veți putea proteja 100% de un expert în hacking site-uri WordPress, dar acest lucru vă va ajuta să vă salvați nervii de amatorii amatori.
De asemenea, unii recurg la metoda de verificare a site-ului dvs., introducând automat linia /wp-admin după adresa URL, iar dacă un atacator reușește să facă acest lucru, atunci va ști exact unde să „sape” și ce vulnerabilități ale CMS-ului dvs. ar trebui să acorde mai multă atenție.
Escrocii folosesc adesea astfel de programe pentru, de exemplu, pentru a afla informații despre versiunea sistemului WordPress instalată pe site-ul dvs. web sau orice alt CMS, deoarece ansamblurile mai vechi conțin erori și vulnerabilități specifice cu care un atacator vă poate pirata informațiile nu numai pentru autentificarea în panoul de administrare a site-ului, dar și pentru acces mai profund și mai detaliat.
De exemplu, un fraudator va putea să vă umple site-ul cu viruși sau cu reclamele sale intruzive sau poate chiar să copieze date confidențiale despre clienții dvs., să preia baza de date cu comenzi, e-mailuri ale persoanelor înregistrate, să le afle login-ul și parola.
Vom instala pluginuri care măresc securitatea site-ului imediat după încărcarea motorului pe hosting https://s-host.com.ua. În primul rând, vom schimba și ascunde pagina de conectare în zona de administrare a portalului web, schimbând calea standard către aceasta (domeniu/wp-admin).
Instalarea pluginului
Pentru a oferi paginii o nouă adresă, vom folosi WPS Hide Login - un plugin simplu, dar foarte funcțional. Avantajul său este că nu există setări suplimentare.
Practic, trebuie doar să mergeți la pagina „Consola”/”Plugin-uri”/”Adăugați nou” și apoi să utilizați căutarea. Găsiți WPS Hide Login pentru a-l instala și activa.
Schimbarea paginii de conectare admin WordPress
După instalarea și activarea pluginului, acesta va apărea în lista tuturor extensiilor de pe pagina „Consola”/”Plugins” (rețineți că pluginul nu este afișat în meniul general).
Acum faceți clic pe butonul Setări de sub plugin:
Odată ajuns în pagina „Setări”/”General”, tot ce trebuie să faci este să găsești blocul WPS Hide Login și să faci ajustări.
Deci, URL-ul de autentificare conține două câmpuri: primul este static - domeniul dvs. (nu poate fi schimbat), al doilea este un câmp de completat (opțiunea de autentificare este oferită implicit).
Introdu adresa de administrator dorită și salvează modificările:
Acum, dacă accesați site-ul dvs./wp-admin, nu veți vedea decât o notificare de eroare:
Probabil știi deja cum să intri în zona de administrare WordPress?
Puteți face acest lucru în cel puțin patru moduri, adăugând următoarele la adresa site-ului dvs.:
- /admin, adică astfel: http://site-ul dvs./admin
- /wp-admin
- /log in
- /wp-login.php
În general, toate primele trei opțiuni de redirecționare vă vor conduce în continuare către pagina: http://your_site/wp-login.php
Se pare că oricine poate adăuga oricare dintre cele patru prefixe descrise mai sus la adresa site-ului dvs. și va vedea autentificarea administratorului:
Desigur, asta nu înseamnă deloc că oricine poate intra cu ușurință în panoul de administrare, pentru că trebuie să cunoască și numele de utilizator sau e-mailul și parola.
Dacă utilizatorul dvs. administrator are un login: – atunci acest lucru nu este deloc prudent din partea dvs. și atacatorul va trebui doar să vă ghicească sau să ghicească parola.
În plus, ați văzut inscripția: Nume de utilizator sau e-mail? Da, da, WordPress poate folosi e-mailul ca nume de utilizator. Dar ați putea indica o adresă de e-mail undeva pe site care se potrivește cu e-mailul utilizatorului administrator. Se pare că primul lucru pe care îl poate încerca un atacator este să vă introducă E-mail-ul și apoi WordPress îl va ajuta din nou, pentru că dacă E-mail-ul nu este potrivit, va vedea acest mesaj:
iar dacă e-mailul este corect, WordPress va scrie că parola pentru acesta este incorectă:
Ca urmare, avem o situație în care un potențial atacator, pentru a vă sparge site-ul (acces la panoul de administrare), va trebui doar să vă ghicească sau să ghicească parola.
Cum să protejați autentificarea administratorului de o potențială amenințare? Răspunsul este simplu - încercați să creșteți numărul de necunoscute necesare pentru a intra.
Acum să aruncăm o privire mai atentă:
- Dacă este posibil, asigurați-vă că e-mailul utilizatorului administrator nu este menționat nicăieri pe site - e-mailul public ar trebui să fie altceva.
- Parola dvs. nu ar trebui să fie simplă, atunci când instalați WordPress în sine generează o parolă complexă pentru dvs., dacă nu doriți să o utilizați, veniți cu o parolă mai mult sau mai puțin complexă, inclusiv caractere mici și mari, numere și unele simboluri precum -, ?, _ etc.
- Nici numele dvs. de utilizator nu ar trebui să fie simplu: admin, manager, root, administrator, user si alte cuvinte simple!
- Și, în sfârșit, trebuie să introduceți a treia cea mai importantă necunoscută - schimbați adresa URL de conectare a administratorului, pentru a face acest lucru, instalați un plugin simplu: WPS Ascundeți autentificare
WPS Ascunde autentificarea
Un plugin simplu, gratuit și destul de popular, care vă permite să schimbați adresa URL de conectare a administratorului.
După instalarea și activarea pluginului, trebuie să mergeți la secțiunea de administrare: Setări / General, apoi derulați până în partea de jos a paginii și vedeți doar un parametru adăugat de acest plugin:
În mod implicit, pluginul sugerează utilizarea login-ului http://yoursite/login - dar aceasta nu este în niciun caz cea mai bună opțiune! Vino cu ceva al tău, de exemplu: aaa12_go)))
După modificarea acestui parametru, nu uitați să faceți clic pe butonul Salvează modificările– în caz contrar, cu pluginul activ, veți avea un login prin http://yoursite/login
Asigurați-vă că încercați să vă deconectați și să vă conectați din nou în zona de administrare, dar folosind o nouă adresă de conectare pe care ați creat-o și, cel mai important, nu o uitați!
După schimbarea punctului de intrare al administratorului, atunci când încearcă să acceseze adrese URL standard, utilizatorul va primi o pagină de eroare 404.
Atenţie! Dacă uitați brusc noua adresă de conectare a administratorului, va trebui să dezactivați acest plugin. Acest lucru se poate face fără a accesa panoul de administrare dacă aveți acces la folderele și fișierele site-ului. Trebuie doar să redenumiți sau să ștergeți folderul plugin wps-hide-login, care va fi în folder pluginuri(dosarul de pluginuri se află în folderul wp-content).
Ca rezultat: după aplicarea tuturor măsurilor de mai sus, ar trebui să primim protecție de autentificare admin cu trei necunoscute: e-mail / nume de utilizator, o parolă complexă și propria noastră adresă URL de conectare unică - iar acest lucru poate complica semnificativ eforturile tinerilor hackeri)
Pentru a schimba pagina de autentificare, trebuie să faceți modificări fișierului .htaccess. O greșeală dintr-o singură scrisoare poate distruge întregul site, așa că faceți o copie de rezervă a fișierului .htaccessși foldere cu teme.
Backup-ul se poate face pe găzduire sau folosind un plugin. Faceți o copie de rezervă completă sau verificați dacă ultima copie de rezervă automată a fost după ultimele modificări aduse site-ului.
Dacă aveți vizitatori pe site-ul dvs., puteți testa modificarea adresei URL de conectare pe un site local sau tehnic.
În prima metodă veți face modificări fișierului .htaccess, în al doilea - modificări în fișiere .htaccessȘi funcții.php. După aceasta, va trebui să dezactivați accesul la vechea pagină de autentificare admin.../ wp-login.php.
Fişier aflat în folderul rădăcină al site-ului, fișierul aflat în folderul cu teme.
Cum se schimbă pagina de autentificare în WordPress
Metoda 1: Editarea fișierului .htaccess
Adăugați codul la început .htaccessîntr-o singură instalare a WordPress și după aceste rânduri într-o instalare Multisite:
Adăugați acest cod:
Schimbați myloginpage11 în linie 2 la adresa dvs. la care doriți să aveți o pagină de conectare la site. Dacă nu modificați nimic, pagina de conectare a site-ului va fi my-site.ru/myloginpage11.
Schimbați 123456qwerty în linii 2 Și 7 pentru ceva al tău. Aceasta este o cheie secretă care poate conține doar litere și cifre latine.
Salvați fișierul și verificați site-ul. Dacă primiți o eroare de server 500, atunci ați făcut o greșeală undeva. Examinați din nou modificările sau începeți de la capăt.
Dacă site-ul funcționează, dar modificările nu sunt aplicate, resetați memoria cache a browserului și încercați din nou.
Metoda 2: Editați fișierul .htaccessȘi funcții.php
Lipiți codul chiar la începutul fișierului .htaccessîntr-o singură instalare sau după aceste linii într-o instalare Multisite:
Adăugați acest cod:
Înlocuiți myloginpage22 cu adresa dvs. Dacă îl lăsați așa cum este, noua adresă de conectare a site-ului va fi my-site.ru/myloginpage22.
Salvați fișierul și verificați cum funcționează site-ul. Dacă primiți o eroare 500, încercați să găsiți eroarea sau începeți de la capăt.
După aceasta, puteți începe să utilizați această adresă de conectare în panoul de administrare, dar dacă doriți ca WordPress să înceapă să folosească această adresă peste tot ca adresă de conectare pentru site, trebuie să adăugați un fragment la fișier funcții.php sau adăugați codul la un plugin, care va adăuga codul la tema curentă.
Adăugați acest cod la funcții.php:
Cod de pe forumul de asistență tehnică WordPress. Schimbați myloginpage22 la adresa dvs. la care ați adăugat-o .htaccess.
Totul este gata, puteți verifica. Adăugați un widget cu metainformații în bara laterală și faceți clic pe linkul de conectare la site. Dacă ați făcut totul corect, ar trebui să fiți direcționat către o nouă pagină de conectare a site-ului.
Cum să ascundeți vechea pagină de conectare pe site-ul web wp-login.php
Noua pagină de autentificare a site-ului va fi o măsură suplimentară de securitate pentru site, dar fără a interzice accesul la pagina standard wp-login.php nu are sens.
Cum să ascunzi o pagină wp-login.php citit de la vizitatori.
