Защита админ-панели на WordPress | Feanor184.ru
Ноябрь24
Всегда задавался вопросами безопасности блога. Последнее время часто стал замечать, что пароль от моей админки не раз пытаются подобрать(можно отследить специальными скриптами или плагинами). Для wordpress существует огромное количество плагинов, закрывающих доступ к админке, меняющих ее адрес, ограничивающих количество попыток ввода перед блокировкой IP злоумышленника. Все они широко используются и имеют кучу отзывов в сети. Можно было бы использовать для защиты своего блога их — но есть некоторые моменты, почему мне бы этого делать не хотелось:
1. Плагины можно ломать и обходить — что неоднократно доказывали разные народные умельцы.
2. Ставя плагин — мы не всегда представляем четко механизм его работы. Хорошо, если он действительно работает так, как написано в описании. А если он имеет другие недокументированные функции? Скажем, устанавливает на ваш сайт некий скриптик…( нет, я вовсе не параноик, просто сталкивался с подобной вещью и был очень зол на разработчиков, с тех пор ставлю малоизвестные плагины очень аккуратно )
3. Мы никогда не можем быть уверены, что плагин не даст сбой после обновления или после установки другого схожего плагина( был случай, когда плагин после обновления смел базу разрешенных ip адресов для подключения — пришлось заново настраивать. После подобного случая быстро от него отказался. ).
4. Лишний плагин грузит ресурсы нашего сайта.
Поэтому я предпочитаю вопросы безопасности сайта решать сам, руками, без помощи сторонних сервисов и плагинов.
Защита админ-панели через .htaccess
Чтобы защитить свой блог от взлома, логичнее всего закрыть доступ к админ панели. В WordPress за это отвечает папка wp-admin — в ней находятся все файлы вашей админки.
Самый надежный способ защиты — ограничить доступ к этой папке для всех, кроме собственных компьютеров. Мы будем это делать по IP адресам( как узнать свой ip адрес? ). Для нужно создать в папке wp-admin нашего сайта файл .htaccess (должен начинаться с символа точки) и написать в нем следующий код:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WP Access Control" AuthType Basic <LIMIT GET> #Запрещаем доступ всем! order deny,allow # кроме. . указанных ниже deny from all # разрешаем IP из Дома allow from xx.xx.xx.xxx # разрешаем IP от Друга allow from xx.xx.xx.xxx # разрешаем IP с Работы allow from xx.xx.xx.xxx </LIMIT>
Как видно из кода, мы указываем серверу «Apache» запрет доступа к папке для пользователей со всех айпи. И далее вносим исключения и прописываем доступ с каких «айпишников» мы разрешаем. Если разрешений довольно много, то можно добавить к ним комментарии — для памяти( возможно в будущем нужно будет что-то поменять ).
Как это действует?
Все довольно просто. Если пользователь, IP адрес которого не числится в списках разрешенных, обратится к нашей админке с запросом в схеме протокола http://НАШ_ДОМЕН/wp-admin, то он увидит примерно следующую картину:
В следущей статье о защите можно узнать как скрыть имя админа сайта в WordPress и избавить себя от назойливых злоумышленников.
WordPress для «Чайников» | Разработка на WordPress
Обзор полезных блогов про WordPress
Хочется порекомендовать нашим читателям несколько отличных блогов про WordPress, которые несомненно будут интересны и полезны как разработчикам, так и владельцам Вордпресс сайтов.
Как перенести блог с WordPress.com на хостинг – пошаговая инструкция
Напомним, что ранее мы писали инструкцию о том, как перенести WordPress сайт на другой хостинг. Вероятно, вам известно, что сервис WordPress.com позволяет создать блог на WordPress бесплатно. Это действительно очень удобно и сервис можно назвать крайне…
Уникальные анонсы записей на главной странице WordPress блога
По умолчанию, на главной странице WordPress публикуются анонсы записей, которые формируются автоматически , то есть используется несколько первых предложений из статьи. Но это легко изменить, и WordPress имеет для этого встроенную функцию — «цитата». Чтобы…
Как запретить или разрешить индексацию WordPress сайта
По умолчанию, WordPress не разрешает индексировать сайт. Это нужно для того, чтобы пустые сайты не индексировались поисковыми системами. Но если ваш сайт уже содержит достаточно информации и вы желаете разрешить поисковым системам индексировать WordPress сайт,. ..
Как редактировать меню в Wordperss
Редактировать меню на WordPress сайте достаточно просто, если ваша тема (шаблон) поддерживает данную функцию. Но некоторые шаблоны не поддерживают произвольное редактирование меню, поэтому я рекомендую вам добавить произвольное меню на WordPress сайт самостоятельно. Если ваша…
Как русифицировать админку WordPress
Если вы установили WordPress на хостинг, а админка WordPress оказалась на английском языке, то это легко исправить. Чтобы русифицировать админку WordPress, совсем не обязательно перестанавливать движок, но необходимо будет закачать на хостинг файлы перевода WordPress. Русифицируем админку…
Как отключить комментарии в WordPress
Нередко пользователям WordPress требуется отключить комментарии. Отключить комментарии в WordPress можно несколькими способами. Вот некоторые из них. Отключить WordPress комментарии при редактировании страниц Вы можете отключить комментарии для конкретной страницы или записи при создании и.
CMS WordPress
CMS WordPress — это бесплатная система управления сайтом. WordPress очень популярная платформа, и в настоящий момент насчитывается очень много WordPress сайтов.
Настройка ЧПУ в WordPress
Для настройки ЧПУ на WordPress вам необходимо зайти в панель управления сайтом (http://вашсайт.ru/wp-admin/). Далее нужно перейти на вкладку Настройки — Постоянные ссылки (ЧПУ). Чтобы настроить ЧПУ вы можете выбрать один из предложенных вариантов или ввести…
Как добавлять и присваивать метки в WordPress
Всем записям в WordPress можно присваивать метки, которые могут говорить, о чем написан пост. Для того чтобы добавить метку к записи, достаточно ввести их через запятую в соответствующем поле при редактировании записи. Это поле обычно…
Как добавить новую рубрику в WordPress
В WordPress все записи можно группировать по рубрикам. Рубрик может быть сколько угодно много. Для того чтобы добавить новую рубрику, сначала вам необходимо перейти в панель администратора. Затем в левой панели перейти на вкладку «Записи…
Как добавить новую запись в WordPress
Для того, чтобы добавить новую запись в блог на WordPress, в панели администратора нужно перейти на вкладку «Записи» в меню слева. Затем щелкнуть по ссылке «Добавить новую». Вам откроется страница «Добавить запись». Содержимое поста, записи…
Как обновить движок WordPress
Для того, чтобы обновить версию WordPress, в админ панели необходимо перейти на вкладку «Консоль — Обновления». Откроется страница обновления движка Вордпресс, плагинов и тем. Если ваша версия WordPress нуждается в обновлении, то вы увидите кнопку…
Админка WordPress – краткий видеокурс
Панель администратора (админ панель) в WordPress служит для управления сайтом. Войти в панель администрирования сайтом можно по адресу http://www.ваш-сайт.ru/wp-admin. В админ панели вы сможете добавить новые записи или страницы, установить плагины или настроить WordPress сайт.
Видео. Установка плагинов на WordPress
Установить плагин на WordPress можно несколькими способами. Я покажу как быстро установить плагин в админке WordPress, как установить плагин из ZIP архива и как установить плагин на WordPress вручную.
Как устроен WordPress
Так как WordPress, по большей части, это блоговый движок, то устроен он очень просто (несмотря на это, на Вордпресс работает множество сложных сайтов, интернет магазинов и новостных ресурсов). Движок имеет две основные части, это Административная…
Установка WordPress на хостинг
Установка WordPress выполняется за несколько шагов. Сначала нужно скачать файлы движка WordPress. Закачать WordPress на хостинг с помощью ftp клиента. Когда вы закачали движок на хостинг, перейдите на ваш сайт. Вы должны увидеть приветственное сообщение.
Site Health: Руководство по пониманию этого раздела вашего администратора WP : Cornershop Creative
Угловой магазин Креатив
Дата изменения: Пн, 30 января 2023 г., 12:34
«Состояние сайта» — это функция, впервые представленная в WordPress 5. 2 в 2019 году. Она предоставляет умеренно полезный инструмент для мониторинга общего состояния данного сайта WordPress. Кое-что из того, что он проверяет, критически важно, и на него следует обратить пристальное внимание (но это редко бывает проблемой), другие вещи, которые он проверяет, на самом деле не так уж важны. Хотя то, что он проверяет, может быть расширено с помощью плагинов, в этом руководстве представлен обзор того, на что смотрит WP Core и о чем нужно заботиться. Но сначала….
Отключение работоспособности сайтаБольшая часть информации, предоставляемой этим инструментом, не применима к действиям. Возможно, будет проще полностью отключить всю систему работоспособности сайта, чем иметь дело с любыми ложными срабатываниями, вызывающими беспокойство. Есть два способа сделать это:
- Установить и активировать плагин WP Disable Site Health или
- Добавить этот фрагмент кода в Crate (или в любое другое место, наиболее подходящее для пользовательского кода)
Если сайт не проходит их, то должен быть привлечен разработчик, чтобы обеспечить надежную и безопасную работу
- Часовой пояс PHP по умолчанию действителен services
- HTTP-запросы работают должным образом
- Файлы могут быть загружены
- Может обмениваться данными с WordPress. org
- Сайт может выполнять циклические запросы
Если эти тесты не пройдены, это может быть признаком серьезных проблем, но также может быть и поводом для беспокойства; это просто зависит от ситуации.
- Фоновые обновления работают: если это просто жалоба на git, скорее всего, все в порядке. Если файлы WordPress недоступны для записи, это может быть серьезной проблемой (за исключением Pantheon). отлаживается.
- Установленные обязательные и рекомендуемые модули: все зависит от того, чего не хватает. Все необходимые и некоторые рекомендуемые очень и очень важны. Другие не имеют большого значения.
- SQL Server обновлен: зависит от того, насколько он устарел
- Автоматические обновления подключаемых модулей/тем выглядят правильно настроенными: клиент/сайт/хост
- REST API доступен: обычно это необходимо, особенно. для Гутенберга, но могут быть причины его отключить.
- Текущая версия PHP: хорошо, если у вас установлена версия PHP не ниже 7.2, поэтому все, что старше этой версии, вызывает некоторое беспокойство. Если он работает под управлением PHP 5.x, это определенно проблема. PHP 7.3? Не так плохо.
- Запланированное событие задерживается: иногда происходит на сайтах с низким трафиком и может указывать на то, что cron работает неправильно; также может просто означать, что сайт давно не посещался и действительно в порядке, но просто немного отстает от графика 9.0018
- Ядро не обновлено: лучше постоянно обновлять WordPress, но если это не так, на это может быть веская причина.
- Плагины не обновлены: лучше всего обновлять все плагины, но если они не обновляются, на это может быть веская причина.
- Темы не обновлены. Лучше всего обновлять все темы, но если они не обновлены, то на это может быть веская причина.
- Обнаружены сеансы PHP: это может быть по ряду причин, например, плагин, использующий сеансы, и, вероятно, ошибка, которая появляется и исчезает. Если этот тест ВСЕГДА не проходит, возможно, это плохой код. Но чаще всего это мимолетная проблема.
- Поддерживается кодировка UTF8MB4: это тайна и обычно не относится к клиентам с сайтами только на английском языке. Пока поддерживается UTF8, все в порядке. Однако, если на сайте есть что-то вроде арабского или китайского, это может быть критично.
Как скрыть страницу входа на ваш сайт без плагина
WordPress — популярная цель, потому что ее используют десятки миллионов людей. Не секрет, что страницу входа по умолчанию можно найти, перейдя по адресу
Атака полным перебором — это метод, который хакеры используют для получения доступа к вашему веб-сайту, угадывая ваш пароль для входа. Один из способов предотвратить атаки — скрыть страницу входа, особенно если ваш сайт работает на WordPress.
Существует веский аргумент в пользу того, чтобы сделать это для повышения производительности. Если вы получаете слишком много HTTP-запросов, например, от армии ботов-зомби, одержимых желанием проникнуть на ваш сайт, вашему серверу может не хватить памяти. Это может значительно замедлить работу вашего сайта и разозлить посетителей.
Прежде чем начать, сделайте резервную копию файлов. Никогда не доверяйте каталогу, который вы не можете стереть, и никогда не доверяйте компьютеру, который вы не можете выбросить из окна. Итак, давайте сделаем это!
- 1
Вручную создайте новый файл входа PHP
- 1.1 1. Создайте новый файл
- 1,2 2. Скопируйте и вставьте код
- 1,3 3. Найдите и замените строку «wp-login.php»
- 1,4 4. Удалите файл wp-login.php
- 1,5 5. Проверьте свой новый URL-адрес для входа
- 2 Непонятная страница входа с переадресацией URL
- 3 Почему вы должны использовать плагин, чтобы скрыть страницу входа на ваш сайт
- 4 WPS Скрыть логин
- 5 Дополнительные меры безопасности
- 6 Подведение итогов
Создание нового файла входа PHP вручную
По умолчанию файл wp-login. php содержит весь код, который создает страницу входа и обрабатывает последовательность входа. Мы можем использовать код из wp-login.php в нашем новом файле.
Это грубый, но эффективный способ изменить имя вашего файла wp-login.php . Это, в свою очередь, изменит ваш URL-адрес для входа. Все, что вам нужно, это доступ к файлам вашего сайта и текстовый редактор. Для этого примера я использую бесплатный текстовый редактор Notepad++.
Нам нужно сделать всего 5 вещей:
- Создать новый файл.
- Скопируйте код из вашего wp-login.php , затем вставьте его в новый файл.
- Замените каждый экземпляр wp-login.php новым именем файла. Найти и заменить ваш друг.
- Удалите файл wp-login.php .
- Войдите через новый URL-адрес.
1. Создать новый файл
Создайте новый файл в текстовом редакторе и сохраните его в корневую папку. Назовите этот файл так, как вы хотите, чтобы ваш URL-адрес для входа был. В данном случае я назвал его new-login.php .
Нажмите, чтобы увеличить
2. Скопируйте и вставьте код
Затем откройте файл wp-login.php , выберите весь код и скопируйте его в новый файл. Обязательно сохраните его.
Нажмите, чтобы увеличить
3. Найдите и замените строку «wp-login.php»
Теперь найдите и замените каждый экземпляр «wp-login.php» в файле, а затем замените его своим новым именем файла. В Notepad++ есть функция поиска и замены, которую я могу использовать для поиска каждого экземпляра «wp-login» и быстрой его замены.
Нажмите, чтобы увеличить
4. Удалите файл wp-login.php
Теперь вы можете удалить wp-login.php . Не волнуйтесь, у вас все равно будет резервная копия на случай, если что-то пойдет не так.
Нажмите, чтобы увеличить
5. Проверьте новый URL-адрес для входа
Теперь вы сможете войти в систему, перейдя по новому URL-адресу. В моем случае это localhost/test/wordpress/new-login.php . Любые HTTP-запросы к каталогам /wp-login.php или /wp-admin приведут посетителей к странице 404, которая не найдена.
Нажмите, чтобы увеличить
Непонятная страница входа с переадресацией URL
Вы можете использовать перенаправление URL-адресов (также известное как перенаправление URL-адресов), чтобы скрыть страницу входа без подключаемого модуля. На сервере Apache вы используете модуль mod_rewrite для управления URL-адресами. Это может быть сложно, но позволяет выполнять бесконечное количество задач, например, создавать псевдоним для страницы wp-login.php .
Этот метод не столько связан с безопасностью, сколько с тем, как URL-адрес отображается в адресной строке. Добавьте следующий код в свой 9mynewlogin$ http://www.yoursite.com/wp-login.php [NC,L]
Теперь вы можете получить доступ к URL-адресу администратора с http://www. yoursite.com/mynewlogin. Имейте в виду, что это не помешает людям получить доступ к странице wp-login.php . Это просто позволяет людям входить в систему с другого URL-адреса.
Почему вы должны использовать плагин, чтобы скрыть страницу входа на ваш сайт
Когда следует использовать плагин, чтобы скрыть страницу входа на сайт? Почти всегда. Есть несколько чертовски веских причин, по которым вам лучше просто использовать плагин, чтобы скрыть URL-адрес входа. Хотя создание нового пути входа вручную не вызовет проблем с будущими обновлениями, рекомендуется НЕ взламывать ядро.
Вы можете столкнуться с проблемами совместимости с плагинами, которые содержат код с wp-login.php . Даже если это весело, могут произойти некоторые непредсказуемые вещи. Слишком много возни с ядром может серьезно все испортить. Кроме того, существует множество надежных плагинов, которые могут сделать всю работу за вас бесплатно.
Что касается использования . htaccess , существует огромное количество способов, которыми вы можете использовать его, чтобы скрыть свой логин. Опять же, это удобство достигается за счет сложности. Кроме того, неправильное использование правил перезаписи может потреблять память на вашем сервере, эффективно замедляя работу вашего сайта. Перенаправления также могут вызвать проблемы с AJAX, который WordPress активно использует.
Лучший способ изменить страницу входа — использовать PHP. В WordPress, если вы собираетесь использовать PHP, рекомендуется использовать плагин. Есть несколько очень хорошо написанных плагинов, которые вы можете получить бесплатно или написать свои собственные.
WPS Скрыть логин
Помните ранее (последний абзац), когда я говорил, что существует множество бесплатных плагинов? Это один из них. WPS Hide Login позволяет изменить форму входа одним щелчком мыши. Вы можете установить его для одного сайта или для вашей сети. Он очень легкий, не использует редиректы. и он не изменяет файлы ядра. Это намного чище, чем редирект или взлом ядра. Он просто добавляет поле формы в настройки панели инструментов. Вы можете скачать этот плагин из официального репозитория плагинов WordPress.
Дополнительные меры безопасности
Неразумно использовать неизвестность как единственную меру безопасности. Если вы скрываете свою страницу входа, вам также нужно убедиться, что все остальное заблокировано. В том числе:
- Использование надежных паролей. Нет оправдания не делать этого. WordPress автоматизирует это для вас с помощью генератора паролей.
- Двухэтапная аутентификация. Вы можете создать базу данных пользователей с пользователями или группами, которым разрешен доступ к определенным страницам. См. раздел Аутентификация и авторизация на сайте Apache.org.
- Ограничение контроля доступа. Ограничьте доступ к ресурсам на вашем сайте.
Чтобы узнать о подключаемых модулях входа, посетите wordpress.