Как изменить адрес входа в админку wordpress —
Любой, у кого есть проект на Вордпресс (или на других CMS) может столкнуться с проблемой взлома его любимого детища. Если ваш сайт не мега популярен, то взламывать его специально никто не станет. Однако в сети круглосуточно шныряет огромное количество ботов и вредоносных программ, однажды туда запущенных злоумышленниками. Эти программы постоянно проверяют на предмет уязвимости то один, то другой сайт. В любое время очередь может дойти и до вас.
Что бы не было мучительно больно за свое детище, из за взлома которого вы потеряете все свои труды, на начальном этапе создания сайта необходимо принять меры по защите своего блога от взлома.
Рекомендуется все процедуры провести тогда, когда ваш сайт еще пустой. Это связано с тем, что некоторые защитные плагины вносят изменения в структуру сайта и отдельные его файлы. Когда сайт уже наполнен и работает, такие изменения могут привести к проблемам с работоспособностью или доступностью ресурса.
1. При установке Вордпресс на ваш сайт CMS по умолчанию ставит ваш логин как admin. В обязательном порядке меняйте логин на любой свой. Это первое правило безопасности.
2. Серьезный пароль. Помните, что блог – это ваш бизнес. Не нужно ставить пароль в виде даты своего рождения, цифр вида 12345 или 55555 и тому подобного. Такие пароли с легкостью взламываются программами путем простого перебора. Отнеситесь к созданию пароля серьезно: минимум 8 знаков, сочетание больших и маленьких букв, а так же цифр. Используйте в пароле знаки дефиса, скобки и нижнее подчеркивание. Это максимально усложнит подбор, а при наличии спец. символов делает взлом путем простого перебора практически невозможным.
3. Убираем виджет входа. По умолчанию в сайдбаре сайта на Вордпресс практически всегда стоит виджет «Мета». В нем есть пункт «Войти». Убираем этот виджет и больше никогда его не выставляем на всеобщее обозрение. Это делается для того, что бы не дать злоумышленникам доступ к странице со входом в админпанель.
4. Прячем страницу входа в панель управления. По умолчанию страница входа на любой блог Вордпресс имеет вид http:// адрес блога/wp-admin Бот или хакер заходит на страницу входа и начинает попытки получить доступ к сайту путем подбора пароля. Для того, что бы избежать таких попыток взлома необходимо изменить адрес страницы на другой, известный только вам. Сделать это можно например с помощью плагина WPS Hide Login.
Плагин устанавливается стандартно из репозитория Вордпресс. После установки заходим в «Настройки». Находим там вот такое поле:
И вписываем туда любой адрес, какой вам понравится. Не забудьте обязательно записать его в блокнот. Теперь ваша страница для входа на сайт будет находиться по этому адресу. Любой, кто попытается зайти на стандартную страницу входа /wp-admin или /wp-login.php получит сообщение об ошибке 404 (страница не найдена).
Этот плагин далеко не единственный, кто прячет страницу входа на сайт. Подобные плагины вы легко сможете найти в официальном репозитарии WordPress.
5. В большинстве тем, при публикации поста выводится имя автора. А это как вы наверное догадались – ваш логин входа на сайт. Необходимо изменить его через панель управления. Для этого зайдите в ваш профиль и отредактируйте его.
6. Если вы планируете разрешить регистрацию на вашем сайте, не давайте пользователям прав выше «Участник». Если регистрации не будет, обязательно проверьте запрет на регистрацию в панели управления.
Будьте внимательны, не храните пароли на компьютере или телефоне. Самым надежным способом остается на данное время старая добрая бумага. Записывайте пароли в блокнот, не открывайте спам и не переходите по подозрительным ссылкам. Будьте бдительны и удачи вам в сайтостроении!
Решение проблемы со входом в админку WordPress — ОШИБКА: Cookies заблокированы из-за неожиданного вывода на экран
На одном из сайтов на WordPress, который я администрирую, возникла неожиданная проблема со входом в админку. При заходе на страницу входа, появлялась вот такая надпись:
ОШИБКА: Cookies заблокированы из-за неожиданного вывода на экран.
Посмотрите документацию или обратитесь за помощью на форумы поддержки.
На сайте это выглядело так:
При этом вход в админку блокировался. Поиски решения проблемы в интернете мне не помогли, хотя такая проблема возникала часто у многих админов. Но не один из вариантов её решения мне не помог, не смотря на то что другим это помогало. Я нашёл другое решение, о котором расскажу ниже.
Но сначала поделюсь самыми популярными и продуктивными советами по способу решения этой проблемы:
1. Большинству пользователей, чтобы снова получить доступ было всего лишь достаточно пересохранить файл functions.php темы оформления в UTF-8 без BOM. Ещё может помочь та же процедура с файлом wp-config.php в корневой папке вашего сайта. Проще всего это сделать в бесплатной программе Notepad++ вот таким способом:
Бесплатно скачать последнюю версию программы можно с официального сайта вот здесь (английская версия) или русскую версию вот по этой ссылке
2.
Вторая частая причина возникновения данной ошибки, это проблема с одним из плагинов. Здесь решение чуть посложнее. Так как придётся проверять работу каждого установленного на ваш сайт плагина. Сделать это можно двумя способами.
Первый способ, который предлагается на официальном сайте WordPress.org заключается в следующем:
переименовываете каталог wp-content/plugins (например в wp-content/badplugins),
затем создаёте новый пустой каталог со старым названием wp-content/plugins,
и по одному тестируете плагины, по очереди копируя их из папки wp-content/badplugin в папку wp-content/plugins, проверяя после каждого копирования исчезла ли проблема или нет.
Второй способ, это просто удалять по одному плагину до исчезновения проблемы. Но потом вам придётся восстанавливать удалённые плагины и заново их настраивать. Будет проще если вы перед этим сделаете резервную копию сайта, и когда обнаружите проблемный плагин, просто восстановите из неё сайт и сразу после этого удалите «нехороший» плагин.
Такая же ошибка может возникать и из-за выбранной вами темы оформления, тогда просто нужно будет её поменять. Но если вы к моменту возникновения проблемы уже сильно модифицировали свою тему, как я например, то такое решение вас вряд ли устроит.
Мне не один из приведённых способов не помог. Так же я обращался в техническую поддержку хостинга. Там к сожалению мне тоже не смогли помочь, порекомендовав в итоге всё тот же форум сайта WordPress.org
Решил я её достаточно просто, испробовав множество различных способов, я всё таки пришёл к выводу, что проблема всё-таки в файле functions.php темы оформления. Поэтому я просто заменил этот файл на изначальный его вариант, который я извлёк из архива темы и закачал на сайт. Проблема была решена.
Предупреждение для тех кто решит воспользоваться моим способом решения: если вы как-то меняли внешнее оформление страницы входа wp-login.php то оно не сохраниться, страница примет стандартный вид страницы входа в админку сайта на WordPress
Если у вас возникли вопросы по этой теме или вы сталкнулись с такой же проблемой и не смогли её решить, пишите мне в комментах, будем решать её вместе.
Понравилось это:
Нравится Загрузка…
Как защитить страницу входа в WordPress
Безопасность
Последнее обновление:
Веб-безопасность должна быть постоянной и постоянной заботой для всех веб-сайтов. Какие бы меры предосторожности вы ни приняли, всегда есть возможности для улучшения. Это потому, что не существует такой вещи, как защита от дурака. Добавьте к этому, что хакеры находятся на охоте 24 часа в сутки, 7 дней в неделю, поэтому вы должны постоянно быть начеку. Хостинг, слабые пароли, старые версии WordPress или сомнительные темы/плагины — это возможные точки входа для ботов на ваш сайт.
Один из способов усложнить жизнь хакерам — усилить защиту вашей страницы администратора WordPress или страницы входа. Это ворота на ваш веб-сайт, и вы можете остановить большую часть вреда прямо на пороге, усилив безопасность на этой странице.
Некоторые способы защиты страницы администратора,
Изменить имя пользователя
Имя пользователя по умолчанию в WordPress — «Администратор», и боты это знают.
Вы можете изменить имя пользователя, выполнив следующие простые шаги:
- Войдите в WordPress, используя существующую учетную запись администратора.
- Добавьте нового пользователя, нажав Пользователи > Добавить нового .
- Выберите «Администратор» в качестве роли для этого нового пользователя. Введите здесь уникальное имя пользователя, так как этот вновь добавленный пользователь станет новым пользователем-администратором.
- Выйдите из старой учетной записи «Администратор».
- Войдите снова, используя новое уникальное имя пользователя, которое вы создали.
- Удалить исходного пользователя «Администратор». Вам нужно будет переназначить все свои старые сообщения от старого пользователя «Администратор» новому пользователю.
Вы также можете изменить имя пользователя, зайдя в phpMyAdmin. Прочтите об этом на SiteGround.
Надежный пароль
Изменение имени пользователя — это только полдела. Укрепите свой пароль, чтобы боты не могли его угадать. Дни рождения, имя питомца, любимый спортсмен — все это можно угадать правильно. Атаки грубой силы — это просто частые и повторяющиеся попытки угадать пароль методом проб и ошибок. И они обязательно добьются успеха, если пароль слабый. Поэтому важны надежные пароли.
Надежный пароль в идеале должен состоять из комбинации цифр и букв, как в верхнем, так и в нижнем регистре. Добавьте символ или два, например «!» или «@». WordPress предоставляет возможность создать надежный пароль, и вы тоже можете его использовать. Или воспользуйтесь помощью генератора паролей. Проверьте надежность вашего пароля в разделе Насколько безопасен мой пароль. И регулярно меняйте пароль.
Трудно вспомнить пароль? Попробуйте менеджеры паролей, такие как LastPass, DashLane, KeePass, 1Password и RoboForm.
Менеджер паролей хранит все ваши пароли в зашифрованном виде, и вы можете получить к нему доступ с любого устройства.
Если я еще не обосновал необходимость надежного пароля, этот отчет SplashData, в котором перечислены самые плохие пароли 2015 года, может вас убедить.
Ограничение доступа пользователей
Если вы единственный, кто имеет доступ к администратору, это не для вас. Но если вы разрешаете нескольким пользователям доступ к серверной части, вы должны строго контролировать их привилегии. Разрешайте доступ и привилегии только к тем областям и в том объеме, который необходим им для выполнения своих задач.
Мало того, пользователи вашего сайта также должны использовать надежные пароли. Для этого вы можете установить плагин Force Strong Passwords. Этот плагин позволяет пользователям получать доступ к сайту только в том случае, если они установили для себя надежный пароль. Или вы можете взглянуть на решение Login Security Solution, которое также проверяет и обеспечивает надежность пароля, не раздражая настоящих пользователей.
Ограничить количество попыток входа в систему
Боты получают доступ к вашему сайту, пробуя различные комбинации имени пользователя и пароля. Им может потребоваться много попыток, прежде чем они смогут взломать систему. Если мы ограничим количество попыток, которые могут быть предприняты с одного IP-адреса, мы можем резко сократить шансы ботов на получение доступа.
Существуют специальные плагины, которые могут выполнять эту задачу –
- Ограничить количество попыток входа – ограничивает количество попыток входа для каждого IP-адреса. Это широко используемый плагин, хотя он давно не обновлялся.
- Brute Force Login Protection — защищает ваш веб-сайт от атак методом грубой силы с использованием .htaccess.
- Jetpack Protect — для защиты веб-сайтов WordPress от сетевых атак ботов.
Также стоит отметить, что некоторые веб-хостинги предлагают эту встроенную функцию. Например, WP Engine добавил это на свою платформу хостинга еще в начале 2015 года, чтобы сделать веб-сайты, которые они размещают, более безопасными (в дополнение к их бесплатному SSL, двухфакторной аутентификации, автоматическому резервному копированию, нескольким брандмауэрам, сканированию на наличие вредоносных программ и многому другому).
Изменить URL-адрес входа
URL-адресом для входа на все веб-сайты WordPress по умолчанию является основной URL-адрес вашего сайта, за которым следует wp-login.php или wp-admin – например, my сайт .com/wp-login.php . Хакеры знают об этом, и если вы сможете изменить этот URL-адрес, им будет труднее попасть на ваш сайт.
Вы можете установить Protect WP-Admin, чтобы изменить URL-адрес вашей панели администратора и заблокировать ссылки по умолчанию. Вы можете изменить его на что угодно, например, mywebsite.com/allow_admin_access . Когда запрос mywebsite.com/wp-login.php или mywebsite.com/wp-admin достигает сайта, он будет перенаправлен на домашнюю страницу. И только пользовательский URL будет разрешен для панели администратора.
Абсолютно надежный способ защитить вашу страницу администратора — полностью заблокировать доступ к вашей странице wp-admin и wp-login.
php . Но это можно использовать, только если вы используете один IP-адрес, который не меняется. В противном случае вы рискуете быть заблокированным на своем сайте. Если вы можете отслеживать несколько IP-адресов, вы все равно можете использовать этот вариант.
Вы также можете ограничить доступ к вашему файлу wp-login.php , используя базовую аутентификацию HTTP. Это внешний уровень безопасности, который пользователь должен пройти, чтобы попасть на страницу входа. Вам нужно будет создать файл .htpasswd, чтобы перечислить все авторизованные имена пользователей и их соответствующие зашифрованные пароли. Атака грубой силы может быть запущена и против базовой аутентификации HTTP, но хакерам потребуется вдвое больше усилий, чтобы взломать оба уровня.
Добавьте SSL на свой сайт
SSL — это стандартная технология безопасности. HTTP — это протокол передачи гипертекста для передачи данных между сервером и браузером. Безопасной версией HTTP является HTTPS, где «S» означает «безопасный».
Вместе они подтверждают личность веб-сайта для пользователя и гарантируют пользователю конфиденциальность между веб-сайтом и браузером пользователя.
После того, как вы настроили SSL/HTTPS, сервер шифрует данные, и только браузер пользователя может их расшифровать. Для любой нежелательной третьей стороны данные не будут иметь никакого смысла и будут отображаться в виде строки символов. В качестве бонуса вы обнаружите, что Google отдает предпочтение HTTPS при ранжировании веб-сайтов.
Получение SSL-сертификата больше не является обязательным, особенно если вы используете браузер Chrome. Это связано с тем, что Google намерен помечать все сайты, не использующие HTTPS, как «небезопасные».
Сегодня все сайты, не использующие HTTPS, просто нейтральны в отношении указания статуса SSL, но это изменится в январе 2017 года. Все веб-сайты, требующие пароли или собирающие информацию о кредитной карте, должны стать безопасными, иначе они рискуют быть помечены как небезопасные Google.
Многие компании, такие как Comodo, DigiCert и SSL.com, предлагают услуги по сертификации. Сертификаты можно получить без особых затрат у SSLMate и бесплатно у Lets Encrypt. Некоторые поставщики услуг хостинга предлагают бесплатный SSL со своими планами хостинга. Подробнее об установке SSL можно прочитать в нашем руководстве по HTTPS и бесплатному SSL.
Двухфакторная аутентификация
Двухфакторная аутентификация — один из самых безопасных способов защитить ваш сайт от хакеров. Работает в дополнение к стандартному логину/паролю, который у вас уже есть. После того, как вы введете эти учетные данные, на вашем устройстве, часто на вашем смартфоне, будет сгенерирован код. Только при вводе этого кода вы получаете доступ к сайту.
Многие бесплатные и платные плагины доступны для установки на вашем сайте. Этот метод безопасности существует уже довольно давно, но в настоящее время все чаще применяется для доступа к веб-сайтам. Вы можете прочитать больше о двухфакторной аутентификации в нашем предыдущем посте.
Плагины безопасности
Многие веб-сайты устанавливают плагины, которые комплексно обеспечивают безопасность WordPress. Они включают в себя защиту брандмауэра, сканирование вредоносных программ, занесение IP-адресов в черный и белый списки, мониторинг активности пользователей, ведение журнала аудита и, как правило, усиливают всестороннюю безопасность. Доступны как бесплатные, так и премиальные варианты.
Некоторые плагины, включающие защиту входа в систему,
- Wordfence — обеспечивает использование надежных паролей и предотвращает атаки методом грубой силы.
- iThemes — борется с автоматизированными атаками и ограничивает количество попыток входа в систему. Он также реализует более жесткие учетные данные пользователя.
- All-in-One Security and Firewall — предотвращает атаки методом грубой силы и позволяет блокировать IP-адрес, блокируя пользователя по истечении заданного периода времени. Другие функции защиты входа включают блокировку входа в систему, а также занесение в белый и черный списки IP-адресов.
- BulletProof Security — защита входа и перебора.
- McAfee Secure — предлагает несколько уровней защиты, включая отметку надежного сайта, сканирование на наличие вредоносных программ и защиту личных данных для магазинов электронной коммерции (огромный плюс).
Заключительные мысли
Методы, перечисленные в этом посте, в основном простые, но очень эффективные способы, с помощью которых вы можете предотвратить проникновение ботов, вредоносных программ и злоумышленников на ваш сайт. Вы также можете добавить капчи или другие небольшие тесты, чтобы проверить, не является ли попытка входа человеком, и предотвратить ботов. Если вам нужны дополнительные советы по безопасности WordPress, прочитайте, что Фредди говорит в этом посте.
Как войти в панель администратора WordPress?
Улучшить статью
Сохранить статью
Нравится Статья
varunherlekar
автор
10 опубликованных статей
Улучшить статью
Сохранить статью
Нравится Статья
WordPress — это система управления контентом (CMS) , что означает, что это инструмент, который упрощает процесс создания, хранения и отображения веб-материалов.
WordPress начинался как инструмент для улучшения обычной типографики повседневного письма. Тем не менее, он был принят в качестве инструмента для ведения блога, и по мере приближения к четвертому кварталу этого года WordPress продолжает оставаться наиболее широко используемой CMS-системой не только среди блоггеров. WordPress — это программа с полностью открытым исходным кодом, которая регулярно обновляется. Репозиторий можно найти здесь. WordPress, как и любое другое программное обеспечение с открытым исходным кодом, зависит от своего сообщества.
Вход в панель администратора WordPress: После первой установки собственного сайта WordPress у новых пользователей обычно возникают проблемы с поиском URL-адреса для входа. Кроме того, слишком просто забыть или потерять свой собственный URL-адрес для входа. Вы можете время от времени создавать сообщения, добавлять плагины или выполнять другие «бэкэнд» действия на своем сайте WordPress. Обычно это делается через панель инструментов WordPress.
Прежде чем вы сможете получить доступ к панели инструментов WordPress, вам потребуется несколько элементов:
- URL-адрес серверной части WordPress: Если вы установили WordPress в корневую/главную папку вашего домена, ваш URL-адрес для доступа к WordPress будет выглядеть так: :
- Имя пользователя : Это имя пользователя, которое вы создали при первой установке WordPress.
- Пароль: Это пароль, который вы создали в процессе установки WordPress. Он также будет в этом электронном письме, если вы отправили по электронной почте детали установки в процессе установки.
Выполните следующие шаги, чтобы войти в панель администратора WordPress:
Шаг 1: Чтобы начать, откройте веб-браузер и перейдите по адресу example.com/wp-admin или example.