Meniul
AcasăPrograme

Cum să vă ascundeți pagina de autentificare WordPress de hackeri și roboți. Cum să ascunzi o pagină în WordPress Cum să ascunzi o pagină în WordPress

Începând cu articolul de astăzi, am decis să public pe blogul meu site-ul web o serie întreagă de articole care vor avea ca scop să ajute fiecare proprietar de site WordPress, fără nici un ajutor din exterior, ceea ce înseamnă complet gratuit, protejându-ți aproape maxim site-ul de hacking.

În ceea ce privește articolul de astăzi, se va vorbi despre cum să ascundeți autentificarea administratorului/administratorului site-ului pe WordPress.

Cu siguranță, mulți vor fi interesați să știe de ce trebuie făcut acest lucru? Prin urmare, pentru început, voi da un răspuns la această întrebare specială și apoi voi explica clar cum să implementez acest lucru.

După cum știe toată lumea, atunci când se publică articole în numele administratorului, sau cel puțin când se scrie răspunsuri la comentarii, datele de conectare ale autorului sunt afișate lângă data publicării articolului sau comentariului. Aceasta înseamnă că, în principiu, nu este dificil pentru un potențial hacker să afle datele de conectare ale administratorului. În consecință, cunoscând autentificarea, poate începe să ghicească parola pentru panoul dvs. de administrare fără probleme, ceea ce, de fapt, nu este bine.

Da, desigur, la instalarea motorului WordPress, numele standard de administrator, care este „admin”, poate fi schimbat, dacă se dorește, cu orice dorește inima ta, ceea ce mulți recomandă să faci pentru a crește securitatea. Cu toate acestea, acest truc nu vă permite să ascundeți complet afișarea login-ului de administrator. Mai mult, chiar dacă utilizați instrumentele disponibile (adică, caracteristica standard disponibilă în panoul de administrare WordPress), schimbați numele afișat al autorului atunci când publicați articole și scrieți comentarii.

Pentru cei care nu știu, acest lucru se face direct în panoul de administrare în sine, și anume, în meniul „Utilizatori” - „Profilul tău”. Acolo, în coloana „Afișare ca”, puteți specifica ce autentificare (Prenume + Nume, Pseudonim sau doar Prenume sau Nume), în loc de numele de utilizator, adică. Autentificarea folosită pentru a vă conecta în zona de administrare va fi afișată în postările și comentariile dvs.:


Mulți oameni sfătuiesc, de asemenea, pentru a îmbunătăți securitatea, să elimine complet ieșirea autorilor în WordPress. Acest lucru se realizează prin editarea codului în fișierele teme corespunzătoare. Dar aceasta nu este încă o cale de ieșire din situație, pentru că chiar dacă eliminați concluzia autorilor, adică. ele nu vor fi vizibile pentru nimeni, login-ul real al administratorului și alți utilizatori (dacă există) pot fi încă aflați și foarte, foarte simplu.

Chestia este că în motorul WordPress există, ca să zic așa, o caracteristică deloc utilă, care îți permite să vezi toate articolele acelui sau altuia autor pe blog, și cu autentificarea lui reală afișată, și nu unul înlocuitor.

În plus, dacă articolele de pe blogul tău sunt publicate de mai mulți autori, atunci schimbă numărul 1 de la sfârșitul adresei cu oricare altul (2,3,4 etc.), adică. folosind o metodă de forță brută, puteți afla cu ușurință conectările lor reale.

Puteți verifica acest lucru și, în același timp, verifica blogul dvs. pentru acest defect, adăugând la domeniul dvs. (cum ar fi http://site-ul dvs..com) această porțiune a adresei „/?author=1”. Dacă vedeți ca rezultat că adresa s-a schimbat în următorul „ http://vash-site.ru/author/your real login„, atunci ar trebui să știți că ar trebui să vă gândiți să vă ascundeți imediat datele de conectare. De fapt, îți voi spune cum să faci asta mai departe.

Cum să ascund autentificarea admin/admin în WordPress?

Deci, pentru a elimina complet capacitatea de a afla datele de conectare ale administratorului în WordPress, trebuie să faceți următoarele:

Găsiți fișierul „.htaccess” în rădăcina site-ului și editați-l adăugând înainte de linia „ #ENDWordPress„următoarele rânduri de cod:

RewriteCond %(REQUEST_URI) ^/$ RewriteCond %(QUERY_STRING) ^/?author=(*) RewriteRule ^(.*)$ http://vash-site.ru/? Redirecționare 301 /autor http://your-site.ru

Înainte de editare, vă sfătuiesc să faceți o copie de rezervă a acestui fișier, pentru orice eventualitate. Ei bine, nu se știe niciodată, ce se întâmplă dacă faci ceva greșit și în acest fel, va exista o oportunitate de a te recupera.

În același timp, această adresă din codul - „http://your-site.ru”, va trebui să o înlocuiți cu adresa paginii principale a blogului dvs., deși, dacă doriți, puteți indica orice alt pagina activă.

După ce ați introdus acest cod și salvați datele introduse, acum când încercați să vă aflați autentificarea, toți cei care fac acest lucru folosind metoda de mai sus vor fi redirecționați către pagina principală a blogului dvs., sau la cea specificată de dvs. Nu crezi? Uită-te la asta, sunt sigur că vei fi plăcut surprins.

Asta este tot, după cum puteți vedea, nu este nimic complicat în a ascunde autentificarea administratorului în WordPress în acest mod simplu.

Ei bine, pentru a vă proteja mai fiabil blogul WordPress de hacking, vă sfătuiesc să instalați și .

Asta e tot pentru mine azi. Dar, în sfârșit, aș dori să mai notez un lucru. Din anumite motive, mulți oameni cred că, deși resursa lor este încă tânără, nimeni nu le va pirata. Crede-mă, acest lucru nu este deloc adevărat; întotdeauna va exista cineva care va fi interesat și util în blogul tău. Prin urmare, încercați să instalați imediat protecția adecvată pe el și nu amânați această problemă decât mai târziu, deoarece atunci poate fi prea târziu.

Pentru a schimba pagina de autentificare, trebuie să faceți modificări fișierului .htaccess. O greșeală dintr-o singură scrisoare poate distruge întregul site, așa că faceți o copie de rezervă a fișierului .htaccessși foldere cu teme.

Backup-ul se poate face pe găzduire sau folosind un plugin. Faceți o copie de rezervă completă sau verificați dacă ultima copie de rezervă automată a fost după ultimele modificări aduse site-ului.

Dacă aveți vizitatori pe site-ul dvs., puteți testa modificarea adresei URL de conectare pe un site local sau tehnic.

În prima metodă veți face modificări fișierului .htaccess, în al doilea - modificări în fișiere .htaccessȘi funcții.php. După aceasta, va trebui să dezactivați accesul la vechea pagină de autentificare admin.../ wp-login.php.

Fişier aflat în folderul rădăcină al site-ului, fișierul aflat în folderul cu teme.

Cum se schimbă pagina de autentificare în WordPress

Metoda 1: Editarea fișierului .htaccess

Adăugați codul la început .htaccessîntr-o singură instalare a WordPress și după aceste rânduri într-o instalare Multisite:

Adăugați acest cod:

Schimbați myloginpage11 în linie 2 la adresa dvs. la care doriți să aveți o pagină de conectare la site. Dacă nu modificați nimic, pagina de conectare a site-ului va fi my-site.ru/myloginpage11.

Schimbați 123456qwerty în linii 2 Și 7 pentru ceva al tău. Aceasta este o cheie secretă care poate conține doar litere și cifre latine.

Salvați fișierul și verificați site-ul. Dacă primiți o eroare de server 500, atunci ați făcut o greșeală undeva. Examinați din nou modificările sau începeți de la capăt.

Dacă site-ul funcționează, dar modificările nu sunt aplicate, resetați memoria cache a browserului și încercați din nou.

Metoda 2: Editați fișierul .htaccessȘi funcții.php

Lipiți codul chiar la începutul fișierului .htaccessîntr-o singură instalare sau după aceste linii într-o instalare Multisite:

Adăugați acest cod:

Înlocuiți myloginpage22 cu adresa dvs. Dacă îl lăsați așa cum este, noua adresă de conectare a site-ului va fi my-site.ru/myloginpage22.

Salvați fișierul și verificați cum funcționează site-ul. Dacă primiți o eroare 500, încercați să găsiți eroarea sau începeți de la capăt.

După aceasta, puteți începe să utilizați această adresă de conectare în panoul de administrare, dar dacă doriți ca WordPress să înceapă să folosească această adresă peste tot ca adresă de conectare pentru site, trebuie să adăugați un fragment la fișier funcții.php sau adăugați codul la un plugin, care va adăuga codul la tema curentă.

Adăugați acest cod la funcții.php:

Cod de pe forumul de asistență tehnică WordPress. Schimbați myloginpage22 la adresa dvs. la care ați adăugat-o .htaccess.

Totul este gata, puteți verifica. Adăugați un widget cu metainformații în bara laterală și faceți clic pe linkul de conectare la site. Dacă ați făcut totul corect, ar trebui să fiți direcționat către o nouă pagină de conectare a site-ului.

Cum să ascundeți vechea pagină de conectare pe site-ul web wp-login.php

Noua pagină de autentificare a site-ului va fi o măsură suplimentară de securitate pentru site, dar fără a interzice accesul la pagina standard wp-login.php nu are sens.

Cum să ascunzi o pagină wp-login.php citit de la vizitatori.

Salutare tuturor! Astăzi voi vorbi despre protejarea blogului sau site-ului dvs. pe WordPress, și anume, cum să ascundeți adresa de autentificare în zona de administrare a site-ului. Dacă ați căutat deja pe internet articole pe teme: protejarea zonei de administrare Wordpress, ascunderea zonei de administrare Wordpress etc., atunci probabil ați văzut același lucru peste tot: fie folosiți pluginuri diferite, fie înlocuiți wp-login-ul standard. php cu alt fișier cu alt nume. Cu toate acestea, utilizarea pluginurilor încetinește site-ul, iar înlocuirea fișierului wp-login.php nu duce la rezultatul dorit, deoarece adresa http://your-site/wp-admin vă va redirecționa întotdeauna către site-ul de conectare. formular, iar cel înlocuit va fi scris în bara de adrese wp-login.php.

Prin urmare, în acest articol veți vedea o modalitate simplă și universală de a ascunde adresa de administrator WordPress.

Deci, să începem. Esența metodei este și înlocuirea fișierului wp-login.php, dar fișierul în sine va rămâne, iar atunci când îl solicitați, va fi afișată o eroare 404. De exemplu, să schimbăm adresa de autentificare admin în adminka.php.

Deschideți fișierul wp-login.php folosind orice editor, de exemplu, Notepad++. Pentru a deschide căutarea de cuvinte, apăsați combinația de taste Ctrl + F. Selectați fila „Înlocuiți” și înlocuiți toate cuvintele wp-login.php cu adminka.php făcând clic pe butonul „Înlocuiți toate”. Apoi salvați acest fișier, numindu-l și adminka.php. Acum îl putem încărca în directorul site-ului.

Acum avem în esență două fișiere de conectare: primul este standardul wp-login.php, al doilea este adminka.php. De asemenea, autentificarea la wp-admin va funcționa în continuare.

Dacă ați citit deja vreun articol despre ascunderea panoului de administrare WordPress, probabil ați văzut că după acest pas este schimbat și fișierul general-template.php din folderul wp-includes. Problema cu această metodă este că atunci când WordpPress este actualizat, acest fișier este și el actualizat și, de asemenea, dacă fișierul wp-login.php este șters sau golit în metodă, acest fișier este și el actualizat și totul trebuie făcut din nou, așa că că panoul de administrare este din nou disponibil numai la adresa dvs.

Am găsit o altă cale și este universală, deoarece nu depinde de actualizările WordPress.

Esența metodei este simplă: trebuie să adăugați codul de mai jos în fișierul functions.php al temei imediat după deschiderea etichetei php. Folosind acest cod, vom emite o eroare 404 la accesarea adreselor wp-admin și wp-login.php și vom face de asemenea să funcționeze butoanele de autentificare, deconectare și de recuperare a parolei. Vă rugăm să rețineți că înregistrarea nu va funcționa, așa că această opțiune va funcționa numai dacă sunteți singurul utilizator al site-ului dvs. și înregistrarea nu vă este permisă. În caz contrar, ce rost mai are să schimbi adresa de intrare dacă oricum o știe toată lumea?

Permiteți-mi să vă reamintesc că noua noastră adresă de administrator este adminka.php, așa că mai întâi definim constanta ADMIN_URL cu această valoare.

Define("ADMIN_URL", "adminka.php"); add_action("init", "redirect_login_page"); add_filter("login_url", "new_wp_login_url", 10, 3); add_filter("logout_url", "new_wp_logout_url", 10, 2); add_filter("lostpassword_url", "new_wp_lostpassword_url", 10, 2); funcția redirect_login_page() ( $page_viewed = $_SERVER["REQUEST_URI"]; if (strpos($page_viewed, "wp-login.php") !== false || (is_admin() && !(current_user_can("administrator")) || current_user_can("super admin")) && !(defined("DOING_AJAX") && DOING_AJAX))) ( global $wp_query; $wp_query->set_404(); status_header(404); get_template_part("404"); ieșire ; ) ) function new_wp_login_url($redirect = "", $force_reauth = false) ( $login_url = site_url(ADMIN_URL, "login"); if (!empty($redirect)) $login_url = add_query_arg("redirect_to", urlencode(! $redirect), $login_url); if ($force_reauth) $login_url = add_query_arg("reauth", "1", $login_url); return $login_url; ) function new_wp_logout_url() ( $args = array("action" => "logout"); $logout_url = add_query_arg($args, site_url(ADMIN_URL, "login")); $logout_url = wp_nonce_url($logout_url, "logout"); return $logout_url; ) function new_wp_lostpassword_url() ($arg) = array("action" => "lostpassword"); $lostpassword_url = add_query_arg($args, network_site_url(ADMIN_URL, "login")); returnează $lostpassword_url; )

Asta e tot! În acest mod simplu, am protejat intrarea în panoul de administrare al site-ului nostru, împiedicând astfel atacatorii să acceseze panoul nostru de administrare. Acum nici măcar nu vor putea ghici parola până când nu vor afla adresa de conectare. Cu toate acestea, această metodă are și un dezavantaj, dar nu atât de semnificativ. Această metodă va funcționa numai cu tema curentă, deși puteți oricând să scrieți acest cod în propriul dvs. plugin mic și, astfel, să scăpați de acest minus.

Pagina de conectare WordPress este una dintre cele mai vulnerabile părți ale site-ului dvs. Desigur, atacatorii sunt conștienți de acest lucru. Prin urmare, o sarcină importantă a oricărui proprietar de site este să protejeze cât mai mult posibil pagina de autentificare.

Există multe modalități pe Internet de a rezolva această problemă - variind în complexitate și timp de execuție. Cu toate acestea, în acest articol vom vorbi despre protejarea paginii de autentificare WordPress folosind plugin-uri.

Cuprins

De ce trebuie să vă protejați pagina de autentificare WordPress?

Există două moduri de a ajunge la pagina de conectare:

  1. Introduceți wp-login.php în bara de adrese a browserului dvs.;
  2. Urmați linkul http://yoursite.dev/wp-admin/

De ce îți atacă hackerii și roboții pagina de conectare?

Acum imaginați-vă ce fel de încărcare este creată pe site cu fiecare astfel de selecție de parolă și apăsând butonul „Autentificare”! Utilizatorii obișnuiți pot întâmpina dificultăți atunci când lucrează cu site-ul, iar motivul pentru aceasta este roboții care încearcă să ghicească parolele. Acesta se numește „atac de forță brută” sau „atac de forță brută prin parolă”.

Cel mai simplu mod de a te proteja de atacurile de forță brută este să creezi o adresă unică pentru pagina ta de autentificare, adică nu wp-login sau wp-admin, ci ceva propriu. Mai mult, este important ca atunci când deschideți adrese de autorizare standard, să apară o „pagină 404”. Apoi botul, când ajunge pe o astfel de pagină, vede „Eroarea 404” și părăsește site-ul. Un mod foarte inteligent și simplu!

Cum să vă securizați pagina de conectare WordPress folosind pluginul Clearfy

Pentru a securiza pagina de autentificare vom folosi unul dintre pluginurile noastre gratuite. Primul este pluginul Clearfy cu securitate încorporată a paginii de autentificare WordPress. În plus, pluginul conține multe funcții de protecție, optimizare (inclusiv SEO) și accelerare.

Protejarea directorului wp-admin

Singura sa funcție este de a proteja pagina de autentificare.

Concluzie

În acest articol, am explicat de ce este atât de important să protejăm pagina de autentificare și am analizat, de asemenea, capacitățile pluginurilor noastre pentru a rezolva problema.

Pe baza obiectivelor dvs., puteți alege care plugin vi se potrivește cel mai bine – Clearfy sau Hide My Login.

Amintiți-vă că protecția în timp util și fiabilă a site-ului dvs. vă va economisi mult timp și resurse financiare.

Panoul de administrare WordPress vă permite să efectuați majoritatea administrării site-ului web. Deci, cu ajutorul acestuia puteți crea/editați conținut, instalați/eliminați pluginuri, lucrați cu utilizatorii înregistrați, obțineți câteva statistici despre performanța site-ului etc.

De ce ascunde panoul de administrare?

În mod implicit, WordPress folosește următoarele adrese pentru a se conecta la panoul de administrare:

Http://site.ru/wp-admin/ http://site.ru/wp-login.php

Nu pare a fi mare lucru, nu? Dar, din păcate, există software rău intenționat care, cunoscând adresa panoului de administrare, poate dăuna funcționării întregului site. De exemplu, începeți selectarea parolei și obțineți acces pentru a gestiona întregul site.

Există mai multe modalități de a vă asigura că intrarea în panoul de administrare al site-ului dvs. se efectuează la o altă adresă specificată de dvs. Vom folosi un plugin care va rezolva problema cu un singur clic. Datorită acestuia, nu trebuie să scrieți o singură linie de cod, ci pur și simplu să activați pluginul și să specificați adresa dorită.

Redenumiți pluginul wp-login.php

Deci, după instalarea și activarea pluginului Rename wp-login.php, veți fi imediat redirecționat către pagină Setări -> Permalink-uri, unde puteți introduce adresa la care va trebui să vă conectați în panoul de administrare.

În mod implicit, pluginul oferă autentificare la administrator la

Http://site.ru/login

Acum, încerc să merg la adresa

http://site.ru/wp-login.php

Veți primi o eroare 404, adică că pagina este indisponibilă.

Desigur, protecția site-ului nu se limitează doar la redenumirea adresei de conectare în panoul de administrare, dar, în combinație cu alte soluții, vă va proteja site-ul de influențe rele.