Реклама на портале

Как скрыть свою страницу входа в WordPress от хакеров и ботов. Как скрыть страницу WordPress Как скрыть стандартный вход на вордпресс

Мы, конечно же, горячо любим и гордимся Wordpress, но бывают случаи, когда лучше скрыть тот факт, что наш сайт работает на этой платформе. Периодически в ней (а также в темах или плагинах) обнаруживаются критические уязвимости в части безопасности, так зачем же давать злоумышленнику лишнюю подсказку в поисках бреши?

В этом обзоре я хочу рассказать о некоторых, лучших на мой взгляд, плагинах, которые надежно спрячут страницу входа в админпанель Wordpress . Это послужит еще одним барьером против некоторых грубых атак. Таким образом, если кто-то зайдет по адресу.../wp-admin или.../wp-login. , то получит ошибку 404 . А вы сможете задать странице входа другой адрес .

Среди рассматриваемых плагинов есть платные и бесплатные продукты, но я рекомендую использовать плагины премиум-класса, в частности самый популярный и продаваемый плагин Hide My WP.

Hide My WP

Hide My WP защищает от популярных грубых атак на Wordpress сайты . Он контролирует доступ к PHP файлам и блокирует 90% XSS и SQL-Injection атак. Кроме того, он сделает ваш сайт незаметным для некоторых Wordpress-ориентированных ботов.
В общем, Hide My WP относится к категории must have и однозначно стоит своих денег!

Стоимость: $23

Modal Log In for WordPress

Этот плагин не только скрывает стандартную форму входа в админпанель Wordpress , но и предлагает не менее функциональную альтернативу в виде модальной формы на базе .
Из других, заслуживающих внимание функций, стоит отметить:
  1. Обновление плагина из админпанели Wordpress
  2. Редактор , совместимый с и планшетными устройствами
  3. Простой и ясный интерфейс
  4. Перенаправление на другую страницу после авторизации
  5. Admin и login rewrite (установка альтернативных адресов)
  6. Активация режима «Сайт на реконструкции»
Стоимость: $21

Lockdown WP Admin

Lockdown WP Admin делает недоступным административный каталог /wp-admin/ для незалогиненого пользователя. Попытка напрямую перейти в этот каталог приведет к ошибке 404. Сам же URL для входа может быть изменен при помощи этого же плагина.

Стоимость: Бесплатно

WPS Hide Login

WPS Hide Login - очень легкий плагин, позволяющий быстро и безопасно изменить адрес входа в админпанель Wordpress . При этом плагин не изменяет и не переименовывает системные файлы и не устанавливает правила переадресации. Он просто перехватывает обращения к соответствующим страницам. При деактивации плагина Wordpress возвращается к первоначальному состоянию.

Стоимость: Бесплатно

Всем привет! В статье о массовых брутфорс атаках, которые стали особенно активны в начале этого лета, я описал несколько простых от взлома. В одном из пунктов упоминался плагин wSecure Authentication , который позволяет сменить адрес админки WordPress и усложнить задачу для взломщиков. Сегодня решил написать о нем подробнее, тем более что Brute Force атаки продолжаются.

Как зайти в админку WordPress?

Многие начинающие блоггеры (и не только), чтобы не забыть адрес панели администратора устанавливают в сайдбаре виджет “Мета ” с прямой ссылкой “Вход “. Запомните раз и навсегда – этот виджет не нужен на блоге, если вы не используете систему регистрации пользователей. Чтобы попасть в админку WordPress достаточно перейти по ссылке ваш-сайт.ru/wp-login.php или ваш-сайт.ru/wp-admin .

Надеюсь, все это прекрасно знают? Во всяком случае, хакеры уж точно знают и используют эти адреса для взлома админки Вордпресс. Поэтому не надо им помогать, лишний раз показывая где “Вход “. Будет лучше спрятать админку, изменив стандартные ссылки.

Как скрыть админку WordPress с помощью плагина wSecure Authentication

Для решения этой задачи существует несколько способов. Например, с помощью скрипта, как это реализовано на хостинге Макхост, или некоторых сложных плагинов, типа Better WP Security . Но я покажу самый простой способ, который не вызовет ни у кого сложностей.

Для этого установим плагин wSecure Authentication , единственной задачей которого является скрыть страницы /wp-admin и /wp-login.php и ограничить доступ в админку посторонним. Взамен мы создадим свой уникальный URL для входа в панель администратора блога WordPress.

Переходим в меню “Настройки ” – “wSecure Configuration “. Настраиваем плагин, заполнив три строчки:

  • 1. Enable (Включить) – включаем плагин и ставим “Да”.
  • 2. Ключ – вводим секретный ключ. Можно использовать английские буквы в разном регистре и цифры. Например, если выбрать wpMgSkz , то адрес админки WordPress будет выглядеть так: /wp-admin/?wpMgSkz . Обязательно перед ключом ставить знак вопроса.
  • 3. Redirect Options (Опции перенаправления) – указываем, куда будет перенаправлен пользователь, если он введет стандартный URL входа.

По умолчанию в “Redirect Options ” стоит редирект на главную страницу, но можно задать “Пользовательский путь “. Для этого выбираем в выпадающем списке “Custom Path ” и вписываем любой адрес или оставляем тот, который прописан в плагине. В этом случае все будут видеть такую страницу:

Можно вообще перенаправить взломщика на специально созданную страницу и написать ему там пару ласковых слов:-).

Чтобы проверить работу плагина зайдите на блог с другого браузера или почистите cookie. А то бывает, что сначала админпанель блога открывается и по новому, и по старому адресу.

Вот так просто можно изменить адрес админки WordPress, спрятав стандартный URL. Если вдобавок к этому выбрать сложный пароль, не использовать логин “admin” и установить плагин блокировки IP при подборе пароля, то это практически обезопасит ваш блог от взлома путем перебора паролей.

Что делать, если невозможно зайти в админку?

Если по каким-то причинам, после установки плагина wSecure Authentication у вас не получается попасть в админпанель блога, то не стоит паниковать. Лично у меня проблем с этим не возникало, но была похожая ситуация.

Дело в том, что некоторые хостинги, например, Макхост и Спринтхост, заботясь о безопасности сайтов своих клиентов, сами сменили стандартные адреса и предоставили альтернативные ссылки для входа в админку Вордпресс. У меня уже был установлен плагин, и по этим ссылкам меня перебрасывало на несуществующую страницу. Что делать?

Страница логина WordPress является одной из самых уязвимых частей Вашего веб-сайта. Конечно же, злоумышленники прекрасно знают об этом. Поэтому важной задачей любого владельца сайта является максимальная защита страницы логина.

В сети существует множество способов для решения данной задачи – разных по сложности и времени исполнения. Однако в данной статье мы поговорим о защите страницы логина WordPress с помощью плагинов.

Table of Contents

Для чего нужно защищать страницу входа WordPresss?

На страницу входа можно попасть двумя способами:

  1. Введите wp-login.php в адресную строку браузера;
  2. Перейдите по ссылке http://yoursite.dev/wp-admin/

Для чего хакеры и боты атакуют вашу страницу входа?

А теперь представьте себе, какая нагрузка на сайт создается при каждом таком подборе пароля и нажатия кнопки «Войти»! Обычные пользователи могут испытывать трудности при работе с сайтом, а причиной того служат роботы, перебирающие пароли. Это называется «брутфорс атака» или «атака перебора паролей».

Самый простой способ защититься от брутфорс атак – это создать уникальный адрес вашей страницы входа, то есть не wp-login, и wp-admin, а какой-то свой. Причем важно, чтобы при открытии стандартных адресов авторизации выскакивала «страница 404». Тогда бот, при попадании на такую страницу, видит «Ошибку 404» и уходит с сайта. Очень хитрый и простой способ!

Как защитить страницу входа в WordPress с помощью плагина Clearfy

Для защиты страницы логина мы будем использовать один из наших бесплатных плагинов. Первый – это плагин Clearfy со встроенной функцией защиты страницы входа WordPress. Помимо этого, в плагине присутствует множество функций для защиты, оптимизации (в том числе и SEO) и ускорения.

Защита директории wp-admin

Единственная его функция – защита страницы входа.

Заключение

В данной статье мы рассказали, почему так важно защищать страницу логина, а также рассмотрели возможности наших плагинов для решения задачи.

Исходя из поставленных целей, Вы можете выбрать, какой именно плагин Вам больше подходит – Clearfy или Hide My Login.

Помните, что своевременная и надежная защита Вашего сайта сохранит Вам массу времени и финансовых ресурсов.

Это простой и легкий плагин, который безопасно скрывает страницу логина и закрывает доступ к админке WordPress. Плагин не изменяет код вашего сайта, не переименовывает файлы и не вносит изменения в конфигурацию вашего сервера. Он может перехватывать запросы к страницам админки, а значит может работать на любом WordPress сайте, независимо от вашего сервера.

В плагине есть несколько уровней безопасности. При изменении страницы логина вам на почту придёт письмо с ссылкой восстановления доступа, в случае если вы забудете адрес страницы входа. Также плагин позаботится о том, чтобы адреса ваших записей и страниц не пересекались с новым адресом страницы логина, так как если адреса будут совпадать, страница логина будет зациклена.

Зачем скрывать админку WordPress и скрывать WordPress в целом?

Десятки ботов ежедневно атакуют ваш вход в админку WordPress по адресам /wp-login.php и /wp-admin/, перебирая пароли и желая получить доступ в вашу админ панель. Даже если вы уверены, что создали сложный и надежный пароль, это не гарантирует безопасность и не избавляет от нагрузки вашу страницу логина. Проще всего защитить страницу логина, просто изменив её адрес на уникальный, который будет известен только вам.

ВОЗМОЖНОСТИ

  • Блокирует доступ к странице wp-login.php, wp-signup.php
  • Блокирует доступ к каталогу /wp-admin
  • Позволяет задавать собственный адрес страницы логина
  • Работает с постоянными ссылками и без
  • Есть возможность восстановить доступ к старому адресу страницы логина

Если вы используете плагин для кэширования страниц, вы должны добавить префикс нового URL входа в список страниц, которые не должны кэшироваться.

Каталог wp-admin и страница wp-login.php становятся недоступными, поэтому важно создать закладку или запомнить новый URL. Деактивация этого плагина вернёт ваш сайт в прежнее стандартное состояние.

СПАСИБО АВТОРАМ ПЛАГИНОВ

Мы использовали несколько полезных функций из плагинов:
WPS Hide Login, WP Hide & Security Enhancer, Hide My WP – WordPress Security Plugin, Easy Hide Login, Hide WP Admin and Login – WordPress Security, Clearfy – WordPress optimization plugin and disable ultimate tweaker, Rename wp-login.php

Мы приглашаем вас ознакомиться с несколькими другими бесплатными плагинами, которые наша команда также разработала.

Вы наверняка уже знаете как можно попасть в админку WordPress?

Сделать это можно как минимум четырьмя способами, добавив к адресу вашего сайта следующее:

  1. /admin, т.е. так: http://вашсайт/admin
  2. /wp-admin
  3. /login
  4. /wp-login.php

В общем-то, все три первых варианта редиректом (перенаправлением) приведут вас всё равно на страницу: http://ваш_сайт/wp-login.php

Получается, что любой желающий сможет добавить к адресу Вашего сайта любую из четырёх выше описанных приставок и увидит вход админку:

Конечно же, это совсем не значит что этот любой желающий сможет также легко попасть в админку, ведь ему нужно еще знать Имя пользователя или Ваш e-mail и Ваш пароль.

Если Ваш пользователь-администратор имеет логин: – то это совсем не осмотрительно с Вашей стороны и злоумышленнику останется только угадать или подобрать Ваш пароль.

Кроме того, вы увидели надпись: Имя пользователя или e-mail ? Да, да, именно e-mail WordPress может использовать как Имя пользователя. А Вы ведь могли где-нибудь на сайте указать E-mail адрес, который совпадает с E-mail пользователя-администратора. Получается первое, что может попробовать злоумышленник – это ввести Ваш E-mail и тут WordPress ему снова поможет, ведь если E-mail не подходит он увидит такое сообщение:

а если E-mail правильный, WordPress-напишет что пароль для него не верный:

В итоге, мы имеем ситуацию при которой потенциальному злоумышленнику для взлома Вашего сайта (доступа в админку) нужно будет только угадать или подобрать Ваш пароль.

Как же защитить вход в админку от потенциальной угрозы? Ответ прост – постараться увеличить количество неизвестных, необходимых для входа.

А теперь давайте подробнее:

  1. По возможности, сделайте так чтобы E-mail пользователя-администратора на сайте нигде не упоминался – публичный E-mail должен быть каким-нибудь другим.
  2. Ваш пароль должен быть не простым, при установке WordPress сам генерирует для вас сложный пароль, если не хотите его использовать придумайте какой-нибудь более менее сложный пароль, включающий в себя маленькие и большие символы, цифры и какие-нибудь символы типа -, ?, _ и т.д.
  3. Имя Вашего пользователя тоже не должно быть простым, никаких: admin, manager, root, administrator, user и прочих простейших слов!
  4. И наконец, нужно ввести третью самую главную неизвестную – поменять URL-адрес входа в админку, для этого установите простой плагин: WPS Hide Login
WPS Hide Login

Простой, бесплатный и довольно популярный плагин, позволяющий изменить URL-адрес входа в админку.

После установки и активации плагина, вам нужно перейти в раздел админки: Настройки / Общие , далее прокрутить страницу до самого низа и увидеть всего один параметр добавляемый этим плагином:

По умолчанию плагин предлагает использовать вход http://вашсайт/login – но это отнюдь не самый лучший вариант! Придумайте что-нибудь своё, например: yyy12_go )))

После изменения этого параметра не забудьте нажать на кнопку Сохранить изменения – иначе при активном плагине у вас будет вход через http://вашсайт/login

Обязательно попробуйте выйти и снова зайти в админку, но уже по новому адресу входа, который вы сами придумали и главное не забудьте его!

После изменения точки входа в админку, при попытке зайти по стандартным URL-адресам пользователь будет получать 404 страницу ошибки.

Внимание! Если вдруг Вы забудете новый адрес входа в админку, вам нужно будет отключить данный плагин. Сделать это можно не попадая в админку при наличии доступа к папкам и файлам сайта. Нужно просто переименовать или удалить папку плагина wps-hide-login, которая будет в папке plugins (папка plugins находится в папке wp-content).

В итоге: после применения всех выше перечисленных мер мы должны получить защиту входа в админку с тремя неизвестными: E-mail / Имя пользователя, сложный пароль и свой уникальный URL-адрес входа – а это может значительно усложнить потуги юных хакеров)