Мы, конечно же, горячо любим и гордимся Wordpress, но бывают случаи, когда лучше скрыть тот факт, что наш сайт работает на этой платформе. Периодически в ней (а также в темах или плагинах) обнаруживаются критические уязвимости в части безопасности, так зачем же давать злоумышленнику лишнюю подсказку в поисках бреши?
В этом обзоре я хочу рассказать о некоторых, лучших на мой взгляд, плагинах, которые надежно спрячут страницу входа в админпанель Wordpress . Это послужит еще одним барьером против некоторых грубых атак. Таким образом, если кто-то зайдет по адресу.../wp-admin или.../wp-login. , то получит ошибку 404 . А вы сможете задать странице входа другой адрес .
Среди рассматриваемых плагинов есть платные и бесплатные продукты, но я рекомендую использовать плагины премиум-класса, в частности самый популярный и продаваемый плагин Hide My WP.
Hide My WP
Hide My WP защищает от популярных грубых атак на Wordpress сайты . Он контролирует доступ к PHP файлам и блокирует 90% XSS и SQL-Injection атак. Кроме того, он сделает ваш сайт незаметным для некоторых Wordpress-ориентированных ботов.В общем, Hide My WP относится к категории must have и однозначно стоит своих денег!
Стоимость: $23
Modal Log In for WordPress
Этот плагин не только скрывает стандартную форму входа в админпанель Wordpress , но и предлагает не менее функциональную альтернативу в виде модальной формы на базе .Из других, заслуживающих внимание функций, стоит отметить:
- Обновление плагина из админпанели Wordpress
- Редактор , совместимый с и планшетными устройствами
- Простой и ясный интерфейс
- Перенаправление на другую страницу после авторизации
- Admin и login rewrite (установка альтернативных адресов)
- Активация режима «Сайт на реконструкции»
Lockdown WP Admin
Lockdown WP Admin делает недоступным административный каталог /wp-admin/ для незалогиненого пользователя. Попытка напрямую перейти в этот каталог приведет к ошибке 404. Сам же URL для входа может быть изменен при помощи этого же плагина.Стоимость: Бесплатно
WPS Hide Login
WPS Hide Login - очень легкий плагин, позволяющий быстро и безопасно изменить адрес входа в админпанель Wordpress . При этом плагин не изменяет и не переименовывает системные файлы и не устанавливает правила переадресации. Он просто перехватывает обращения к соответствующим страницам. При деактивации плагина Wordpress возвращается к первоначальному состоянию.Стоимость: Бесплатно
На самом деле на сегодняшний день существует большое количество причин, по которым вам стоит закрыть от лишних глаз страницу авторизации сайта на движке WordPress. Одной из самых главных и весомых причин станет то, что закрыв от любого желающего страницу авторизации, вы сможете защитить свой сайт от несанкционированного доступа – взлома.
Ведь сегодня в интернете очень много мошенников, которые с помощью специальных программ методом перебора паролей или поиска уязвимостей смогут получить доступ к вашему аккаунту администратора. Конечно, от эксперта по взлому сайтов на WordPress вы не сможете с полной уверенностью на 100% защититься, но это поможет вам сберечь свои нервы от дилетантов-любителей.
Также, некоторые прибегают к методу проверки вашего сайта, автоматически вписывая после URL адреса строку /wp-admin, и если злоумышленнику это удастся сделать – то он будет точно знать куда «копать» и на какие уязвимости вашей CMS стоит обращать большее внимание.
Такие программы мошенники частенько используют для того, чтобы, например, узнать сведения о версии установленной на ваш сайт системы WordPress или любой другой CMS, так как в более старых сборках присутствуют конкретные ошибки и уязвимости, с помощью которых злоумышленнику возможно будет произвести взлом не только вашей информации для входа в панель администрирования сайтом, но и для более глубоко и детального доступа.
Например, мошенник сможет наполнить ваш сайт вирусами или своей навязчивой рекламой, а может и вовсе скопировать себе конфиденциальные данные о ваших клиентах, завладеть базой данных с заказами, почтами зарегистрировавшихся, узнать их логин и пароль.
Установим плагины, повышающие безопасность сайтов, сразу же после загрузки движка на хостинг https://s-host.com.ua . В первую очередь мы изменим спрячем страницу входа в админку веб-портала, изменив стандартный путь к ней (домен/wp-admin).
Установка плагина
Для того, чтобы задать странице новый адрес, мы будем использовать WPS Hide Login - простой, но при этом весьма функциональный плагин. Его преимущество заключается в отсутствие дополнительных настроек.
По сути, вам нужно только перейти на страницу “Консоль”/”Плагины”/”Добавить новый”, а затем воспользоваться поиском. Найдите WPS Hide Login, чтобы установить и активировать его.
Изменение страницы входа в админку WordPress
После установки и активации плагина он появится в списке всех расширений на странице “Консоль”/”Плагины” (обратите внимание на то, что в общем меню плагин не выводится).
Теперь кликните на кнопку Settings под плагином:
Оказавшись на странице “Настройки”/”Общие” вам остается найти блок WPS Hide Login и внести корректировки.
Так, в Login url представлено два поля: первое статичное - ваш домен (изменить нельзя), второе - поле для заполнения (по умолчанию предлагается вариант login).
Впишите желаемый адрес админки и сохраните изменения:
Теперь, если вы перейдете по адресу ваш-сайт/wp-admin, то ничего, кроме уведомления об ошибке не увидите:
Чтобы изменить страницу логина, надо сделать изменения в файле .htaccess . Ошибка в одной букве может положить весь сайт, поэтому сделайте бэкап файла .htaccess и папки с темой.
Бэкап можно сделать на хостинге или с помощью плагина. Сделайте полный бэкап, или проверьте, что последний автоматический бэкап был после последних изменений на сайте.
Если у вас на сайте есть посетители, вы можете протестировать изменение URL авторизации на локальном или техническом сайте.
В первом способе вы сделаете изменения в файле .htaccess , во втором — изменения в файлах .htaccess и functions.php . После этого надо будет отключить доступ к старой странице входа в админку …/wp-login.php .
Файл находится в корневой папке сайта, файл находится в папке темы.
Как изменить страницу авторизации в Вордпресс
Способ 1. Редактирование файла .htaccess
Добавьте код в начале .htaccess в одиночной установке Вордпресс и после этих строк в Мультисайт установке:
Добавьте этот код:
Измените myloginpage11 в строке 2 на свой адрес, по которому вы хотите иметь страницу входа на сайт. Если вы ничего не измените, то страница входа на сайт будет мой-сайт.ru/myloginpage11 .
Измените 123456qwerty в строках 2 и 7 на что-нибудь свое. Это секретный ключ, который может содержать только латинские буквы и цифры.
Сохраните файл и проверьте сайт. Если вы получили ошибку сервера 500, значит, вы где-то допустили ошибку. Просмотрите изменения еще раз или начните заново.
Если сайт работает, но изменения не применились, сбросьте кеш в браузере и попробуйте еще раз.
Способ 2. Отредактируйте файл .htaccess и functions.php
Вставьте код в самом начале файла .htaccess в одиночной установке или после этих строк в Мультисайт установке:
Добавьте этот код:
Замените myloginpage22 на свой адрес. Если вы оставите как есть, то новый адрес входа на сайт будет мой-сайт.ru/myloginpage22 .
Сохраните файл и проверьте, как работает сайт. Если у вас ошибка 500, попробуйте найти ошибку или начните сначала.
После этого можно начать пользоваться этим адресом входа в админку, но если вы хотите, чтобы Вордпресс начал везде использовать этот адрес в качестве адреса входа на сайт, надо добавить снипет в файл functions.php или добавьте код в плагин , который добавит код в текущую тему.
Добавьте этот код в functions.php :
Код из форума техподдержки Вордпресс . Измените myloginpage22 на ваш адрес, который вы добавили в .htaccess .
Все готово, можно проверить. Добавьте виджет с мета информацией в сайдбар и нажмите на ссылку входа на сайт. Если вы все сделали правильно, вы должны попасть на новую страницу входа на сайт.
Как скрыть старую страницу входа на сайт wp-login.php
Новая страница входа на сайт будет дополнительной мерой безопасности сайта, но без запрета доступа к стандартной странице wp-login.php это не имеет смысла.
Как скрыть страницу wp-login.php от посетителей читайте .
Если вы управляете мульти авторским блогом на WordPress или у вас несколько клиентских сайтов, которые необходимо обслуживать не только вам, но и вашим редакторам, то вам было бы интересно знать как ограничить или вообще скрыть некоторые элементы админки wordpress для ваших пользователей?
Существует множество пунктов, в которые пользователям лучше не лезть. И в этой статье я наглядно продемонстрирую как скрыть админку wordpress, а точнее ненужные для других пользователей элементы.
Совершать действия мы будем при помощи полезного плагина Adminimize, скачать который вы можете с официального сайта wordpress.
Устанавливаем и активируем плагин с админки. После активации заходим в Настройки — > Adminimize и шаманим там.
На странице настроек есть Mini меню, которое делит страницу на различные разделы для wordpress экранов администратора. Нажатие на каждую приведет вас к дополнительным опциям. Для каждого раздела вы увидите ряд элементов, которые можно дезактивировать или изменить. Так же вы заметите чек боксы с выбором ролей для ваших пользователей.
После того как вы деактивировали некоторые пункты, вам нужно нажать на «Обновить» или Update Option, которая будет ниже, чтобы сохранить изменения.
Пожалуйста обратите внимание, что изменения не будут видны на странице настроек плагина. Чтобы увидеть их в действии нужно будет открыть новую вкладку в браузере и в ней зайти в админку.
Мы покажем вам каждый элемент в Мини Меню и как его изменить.
После элемента «О плагине» идет следующий элемент Admin Bar Option (проще говоря опции администратора). Он появляется всякий раз, когда вы входите внутрь своего блога. Некоторые из его пунктов могут быть выключены или назначены для разных пользователей вашего сайта, т.е вы можете задать разные роли для своих читателей.
Первая опция позволяет вам скрыть меню пользователя и его подкатегории, которые появляются в правом верхнем углу . После этого вы заметите, что оно подсвечивается розоватым цветом. Деактивация главного меню, скрывает также и его элементы. Например вы можете отключить логотип WordPress и вместе с ним скроются все ссылки, в него входящие.
Среди других опций вы увидите чекбоксы где можно скрыть иконку комментирования + добавить новую.
Помните, что вы также можете скрыть подменю. Например, вы хотите сохранить текущее меню + добавить новое в админ панели, но вы хотите еще при этом скрыть страницы из него, тогда просто добавьте страницы и включите пункт «деактивировать» выборочно для пользователей.
Опция администрирования (бэкенд)
Не все секции настроек плагина будут иметь чекбоксы. Опция администрирования значительно отличается от предыдущих. Она позволяет вам сделать глобальные настройки в админке для всех типов пользователей.
Первая опция здесь — это конфигурация инфо раздела для пользователей в самом верху справа панели администратора, которая находится рядом с аватаром пользователя. Вы можете выбрать либо скрыть ее, либо показать или выйти или показать только «выйти».
Следующая опция – это редиректы. Вы можете перенаправить пользователя, когда тот «кликает» на инфо раздел. Вы уже можете настроить либо перебрасываете вашего пользователя на любую другую страницу, либо оставляете по умолчанию в разделе, либо этот раздел прячете. Все это сохраняете, нажав на кнопку Update Options.
По умолчанию, когда вы работаете над постом (статьей), время публикации скрыто ссылкой, которую можно редактировать. Чтобы запланировать выпуск, вы должны нажать на ссылку редактирования, чтобы метка времени стала видимой.
В опциях администрирования вы можете сделать так, чтобы дата всегда была видимой.
Точно также, по умолчанию в WordPress вы можете скрыть некоторые из категорий в поле категории на странице редактирования записи. Вы можете управлять поведением, выбрав «Активировать» рядом с опцией «Высота категории». Тем самым вы регулируете высоту, чтобы все ваши категории отобразились.
В область футера вы можете поместить любой ваш текст или ссылку, чтобы все пользователи смогли ее увидеть на всех страницах панели управления WordPress. Сделать это можно нажатием на пункт «Advice in footer». Это может быть использовано для для брендинга, добавления шорткода, всего чего угодно.
Последняя опция в панели администрирования плагина – установка переадресации на админку wordpress. Чтобы ее использовать вам нужно деактивировать саму панель в первую очередь. Об этом мы расскажем в будущей статье.
Глобальные настройки
Секция с глобальными опциями позволяет активировать/деактивировать определенные настройки для разных ролей пользователей. Первый пункт здесь – скрыть или показать панель администратора. В отличие от варианта раздела Admin bar, который изменяет лишь верхнее меню админ панели, этот чекбокс отключит целиком всю панель для некоторых выбранных ролей пользователей.
Управление сайтом WordPress почти всегда привлекает злонамеренные попытки входа в систему. Попытки грубой силы подключиться к WordPress настолько распространены, что страница в Кодексе посвященный теме. Мы вас , Вы можете взглянуть на это.
Существует много стратегий для решения этой проблемы, и лучшая стратегия заключается в развертывании нескольких стратегий. В этом уроке я объясню, как реализовать одну из самых простых стратегий: скрыть страницу входа в WordPress.
У меня есть конкретный сайт WordPress, который был установлен несколько лет назад. Это стандартная установка WordPress, работающая с типичной серией плагинов. Для доступа к странице входа все, что вам нужно сделать, это перейти к " сор-админ / "Или" /wp-login.php .
Этот сайт не видит тонны трафика. За один месяц он генерирует около 5000 просмотров страниц. Однако на странице входа в систему на удивление регулярно происходят злонамеренные попытки входа. На этом сайте включен плагин защиты Jetpack, который отслеживает количество попыток злонамеренного входа в систему. С тех пор, как модуль был добавлен в марте прошлого года, было заблокировано более попыток злонамеренного входа в систему 11.600.
Если вы немного разберетесь в математике, это будет равносильно почти злонамеренным попыткам входа в систему 800 в месяц, примерно 25 в день или попытке злонамеренного входа в систему каждые 58 минут.
Попытки подключения происходят с постоянной скоростью. Недели могут пройти без попытки злонамеренного подключения. Затем, внезапно, несколько попыток подключения записываются за короткое время, пытаясь взломать страницу входа на ваш сайт.
Почему вы должны скрывать страницу входа на свой сайт?
Что я могу вам сказать, прежде чем начать. Если ваш сайт просит других войти в систему, попытки злоумышленного входа неизбежны. Эта стратегия не будет работать для вас. В подобной ситуации вам необходимо легко найти страницу входа, чтобы пользователи могли легко использовать ваш сайт. Одна из вещей, которую вы можете сделать для борьбы со злонамеренными попытками, - это использовать плагин, который ограничивает попытки подключения.
Однако, если ваш сайт не предназначен для членской области, то в этом случае вы можете захотеть скрыть страницу входа.
Теперь давайте выясним, как вы можете скрыть страницу входа на своем сайте WordPress.
Шаг 1: установите WordPress в свой собственный каталог
Вы, наверное, уже знаете, когда и , Это не слишком сложная задача, и вы можете использовать WordPress из подкаталога, будь то новая установка или нет.
Однако, если вы хотите переместить существующую установку WordPress, прежде чем делать что-либо еще, рассмотрите возможность создания резервной копии вашего сайта.
Шаг 2: Скрыть URL-адрес страницы входа и перенаправить wp-login.php
Вы, вероятно, знаете, что стандартное поведение WordPress выглядит следующим образом: WordPress загружает страницу входа в систему при доступе к wp-login.php (поэтому http://www.example.com/wp-login.php). Если вы используете / Wp-администратора "(после вашего доменного имени в адресной строке), вы будете автоматически перенаправлены на "wp-login.php" (Так www.exemple.com/wp-login.php ).
Если вы установили WordPress в подкаталог, то вы уже сделали кое-что из того, что нужно сделать, чтобы скрыть страницу входа. Правда в том, что сейчас кто-то может найти вашу страницу входа довольно легко.
Если вы не предприняли шаги для предотвращения стандартного поведения WordPress, потому что даже если WordPress установлен в подкаталоге, если кто-то попытается получить доступ к http://example.com/wp-login.php, он будет перенаправлен на правильную страницу входа в систему, которая, например, похожа на эту http://example.com/dwiiw/wp-login.php (с dwiiw в подкаталоге ).
Следующим шагом является блокировка доступа к wp-login.php и перенаправление на страницу или страницу 404, отличную от вашей страницы входа в систему, и использование полностью настроенного URL-адреса входа, который будет трудно угадать.
Вы должны знать, что вы выберете в качестве имени. Не принимай что-то сложное. Ниже вы увидите несколько плагинов, которые помогут вам легко скрыть страницу входа.
1 - WPS Скрыть логин
Слоган говорит сам за себя: заменишь WP-login.php По твоему желанию.
Этот плагин делает только одну вещь. Это упрощает пользовательский URL, а не использует стандартный URL. Как только этот плагин установлен и активирован, " / Wp-администратора "И" /wp-login.php Недоступны, заменены пользовательским URL по вашему выбору.
С более чем активными установками 50.000 и блестящим рейтингом 4.7 на 5 star, WPS Hide Login является надежным решением, если вы хотите быстро заменить URL входа в систему.
2 - WP Hide & Security Enhancer
Основная предпосылка этого плагина заключается в том, что он маскирует тот факт, что вы используете WordPress.
Скрытие вашего сайта с использованием WordPress требует создания пользовательских URL-адресов и отключения всех стандартных URL-адресов. Этот плагин имеет больше активных установок 1000, что не является подавляющим, но это решение также будет полезно.
Cerber - довольно популярный плагин, который ограничивает попытки подключения. Он активен более чем на сайтах 10.000 и имеет выдающийся рейтинг 4.9 по звездам 5.
Как вы уже догадались, вам, вероятно, потребуется ограничить количество попыток входа в систему, даже на новой странице входа.
в конце концов
Безопасность это не то, что вы должны воспринимать легкомысленно. Если ваша страница входа не достаточно безопасна, сожаления не будут очень полезны, потому что вам, вероятно, придется переустановить свой блог ().
Loading...