Zmień adres URL logowania WordPress i ukryj swojego wp-admina, aby przechytrzyć hakerów i zapobiec atakom brute-force … łatwiej jest sprawić, że Twoja witryna będzie trudniejsza do złamania niż myślisz!
Nie oszukujmy się. Nawet dzieci skryptów wiedzą, że wszystko, co muszą zrobić, aby życie właściciela witryny WordPress było nieszczęśliwe, to znaleźć stronę logowania WordPress i odgadnąć nazwę użytkownika i hasło.
Zgadywanie haseł, nawiasem mówiąc, nie jest trudne, zwłaszcza jeśli używasz tych samych haseł dla większości swoich loginów i udostępniasz całe swoje życie w mediach społecznościowych.
WordPress jest najpopularniejszą platformą CMS na świecie, a to sprawia, że jest to nieodparty magnes dla hakerów i złośliwych prób logowania. Nawet najlepsi z najlepszych mogą zostać pokonani przez ukrytego Mavericka z dostępem do narzędzi brute-force, które automatycznie spróbują odgadnąć Twoją nazwę użytkownika i hasło, uderzając w stronę logowania WordPress w kółko.
Ukryj swoją stronę logowania WordPress na 4 różne sposoby:
1. Ukryj wp-login.php za pomocą wtyczki
2. Ukryj Stronę Logowania WordPress Bez Wtyczki
3. Ukryj stronę logowania WP za pomocą .htaccess
4. Ukryj WP Login z kodem
Najlepszym Sposobem Na Walkę Z Atakami Brute-Force … Ukryj Się!
Brute force próby zalogowania się do WordPressa są tak powszechne, że w Kodeksie jest nawet strona poświęcona temu tematowi.
Ale … dlaczego dać hakerom i złośliwym botom możliwość nawet spróbować odgadnąć swoje dane logowania? Po prostu ukryj swoją stronę logowania WordPress, a większość botów i zautomatyzowanego oprogramowania nie będzie nawet wiedziała, że Twoja witryna istnieje.
W tym artykule dowiesz się, jak wdrożyć jedną z najprostszych i najłatwiejszych strategii ochrony witryny przed hakerami i złośliwymi botami: zmień adres URL logowania WordPress, ukryj swój wp-admin oraz wp-login strona i przekierowanie niechcianych odwiedzających z dala od strony logowania.
Dlaczego warto zmienić adres URL logowania WordPress?
Mam standardową witrynę WordPress, którą zainstalowałem kilka lat temu. Aby przejść do strony logowania wystarczy przejść do / wp-admin lub / wp-login.php.
Ta strona nie widzi dużego ruchu. W typowym miesiącu generuje około 5000 odsłon. Jednak strona logowania witryny widzi złośliwe próby logowania w zaskakująco regularny sposób. Mam wtyczkę Defender aktywowaną na tej stronie i śledzi liczbę zablokowanych złośliwych prób logowania. Odkąd zacząłem śledzić liczbę zablokowanych złośliwych prób logowania, widzę, że moja strona obsługuje setki złośliwych prób logowania każdego miesiąca, średnio około 24 dziennie lub jedną złośliwą próbę logowania co 60 minut.
Próby logowania nie odbywają się w normalnym tempie jednej na godzinę. Tygodnie mogą minąć bez żadnej złośliwej próby logowania. Wtedy nagle kilkaset, a nawet kilka tysięcy prób logowania zostanie zalogowanych w krótkim czasie.
Większość witryn WordPress skonfigurowanych jako standardowe instalacje okresowo doświadcza ataków brute force próbujących zalogować się do pulpitu WordPress. Twój pewnie też, czy o tym wiesz, czy nie.
uploads/2100/10/defender-ip-lockout-logs.jpg “alt=” Defender IP lockout logs.”width=” 600″height=” 556 ” />boty atakujące Brute-force nieustannie chcą włamać się do twojej witryny WordPress, niezależnie od tego, czy o tym wiesz, czy nie.
Bezpieczeństwo WordPress Poprzez Obscurity
Możesz myśleć, że używanie sprytnych loginów zapewni bezpieczeństwo Twojej witrynie.
Hakerzy mogą łatwo stwierdzić, czy witryna jest zasilana przez WordPress, czy nie (często po prostu patrząc na źródło strony).
Gdy haker wie, że Twoja witryna działa na WordPress, wie również, jak znaleźć adres URL logowania WordPress (spoiler alert: domyślny adres URL logowania WordPress znajduje się po wprowadzeniu nazwy domeny, a następnie /wp-login.php).
Domyślne zachowanie WordPress ładuje stronę logowania po uzyskaniu dostępu wp-login.php. Wpisz wp-admin zamiast tego zostaniesz automatycznie przekierowany do wp-login.php.
Jeśli nie wiesz, jak zmienić nazwę użytkownika administratora, Twój przyjazny sąsiedzki haker motherf będzie również wiedział, że Twoja nazwa użytkownika jest najprawdopodobniej czymś w rodzaju admin.
Haker musi tylko odgadnąć hasło. Nawet jeśli nie mogą odgadnąć hasła, ale nadal próbują, może to zużyć zasoby serwera i ewentualnie skończyć się zniszczeniem witryny.
Jeśli go nie widzą, nie mogą go złamać
Wielu hakerów jest oportunistycznych i poszukuje owoców, które są dojrzałe i łatwe do zbioru.
Jeśli nie chcesz, żeby ludzie kradli twoje owoce, Ukryj swoje drzewo.
Kontynuując tę naprawdę słabą analogię (gdy życie daje cytryny…), Twoja strona logowania WordPress daje użytkownikom dostęp do całego sadu, więc w ramach naszej strategii tworzenia “bezpieczeństwa poprzez zapomnienie”, ukryj swój adres URL strony logowania przed wszystkimi innymi oprócz administratora.
Opcjonalny Krok: Zainstaluj WordPress We Własnym Katalogu
Niezależnie od tego, czy masz do czynienia z zupełnie nową instalacją WordPress, czy istniejącą witryną WordPress, w miarę możliwości rozważ instalację WordPress w podkatalogu. Chociaż nie uniemożliwi to hakerom znalezienia strony logowania do WordPress, jeśli celowo zdecydują się kierować Twoją witrynę, zniechęci to wielu losowych botów i złośliwych użytkowników szukających łatwych celów, aby zacząć uderzać w Twoją witrynę i potrząsać drzewem, aby zobaczyć, co wypadnie.
Posiadanie witryny WordPress zainstalowanej w podkatalogu to dobry pierwszy krok w kierunku stworzenia ” bezpieczeństwa poprzez zaciemnienie.’
Jak zawsze, zanim zrobisz cokolwiek innego, jak zawsze, jeśli przenosisz istniejącą instalację WordPress, Utwórz kompletną kopię zapasową swojej witryny i przechowuj ją w miejscu, w którym przypadkowo jej nie usuniesz ani nie zmodyfikujesz. (Dotyczy: Jak wykonać kopię zapasową dla kuloodpornej ochrony)
Jeszcze jedno. Podczas tworzenia podkatalogu wybierz nazwę, która nie jest zbyt przewidywalna, jak http://example.com/wordpress lub http://example.com/wp. Zamiast tego wybierz coś wyjątkowego, czego nie ktoś kiedyś będzie w stanie odgadnąć jak http://example.com/dwiiw (akronim dla directory wproszę. I installed WordPress.)
To, czy zdecydujesz się zainstalować WordPress w podkatalogu, czy nie, jako dodatkowe środki bezpieczeństwa, zależy od Ciebie.
Następnym krokiem jest ukrycie adresu URL strony logowania (i opcjonalnie przekierowanie wp-login.PHP odwiedzających inną stronę w Twojej witrynie).
Istnieje kilka sposobów, aby ukryć swoją stronę logowania WP przed innymi użytkownikami:
- Użyj wtyczki, aby zamaskować adres URL logowania (najprostszy sposób)
- Zamaskuj swój adres URL logowania WordPress bez wtyczki (sposób Geeka)
- Zmodyfikuj swój .plik htaccess (sposób” muszę kodować wszystko od zera”)
Ukryj Swoją Stronę Logowania-Disclaimer
Zanim zaczniemy, strategia udostępniona poniżej nie jest zalecana, jeśli Twoja witryna wymaga strony logowania, która musi pozostać łatwa do znalezienia przez innych użytkowników (np.
Jeśli Twoja witryna nie jest witryną członkowską, a próby logowania są ograniczone do kilkunastu administratorów, autorów, redaktorów i współpracowników, ukrywanie strony logowania pomoże chronić Twoją witrynę przed złośliwymi próbami logowania.
1. Ukryj wp-login.php za pomocą wtyczki
Istnieje wiele darmowych wtyczek WordPress, które pozwolą ci ukryć adres URL strony logowania. Niektóre z tych wtyczek pozwolą Ci również przekierować wp-login.PHP odwiedza inną stronę twojej witryny. Wystarczy odwiedzić WordPress.org katalog wtyczek i wyszukaj “Ukryj logowanie WP”, aby zobaczyć listę wtyczek bezpieczeństwa, których możesz użyć.
W tym samouczku użyjemy wtyczki Defender WPMU DEV.
Defender pozwala ci się ukryć oraz przekierowanie wp-login.php i zawiera wiele innych funkcji zabezpieczeń top gun.
Możesz pobrać Defender za darmo z repozytorium wtyczek WordPress lub jeśli jesteś członkiem WPMU DEV, zainstaluj Defender Pro z centrum zarządzania witryną WordPress.
Uwaga: Pełna instrukcja instalacji i konfiguracji znajduje się w sekcji dokumentacja wtyczki Defender.
Po zainstalowaniu i aktywacji wtyczki przejdź do głównego menu pulpitu nawigacyjnego WordPress i przejdź do Defender > Dashboard.
Znajdź sekcję “obszar logowania maski” i kliknij przycisk “aktywny”, aby włączyć tę funkcję.
Kliknij przycisk “Zakończ konfigurację”, aby wyświetlić ekran opcji maskowania adresu URL.
ontent / uploads/2100/10/setup-mask-login-defender.jpg “alt=” Defender Maska obszar logowania Zakończ ekran konfiguracji.”width=” 600″height=” 221 ” />kliknij przycisk i aktywuj funkcję strony logowania WordPress move.
Spowoduje to wyświetlenie ekranu zaawansowanych narzędzi.
W Maskowanie URL sekcja, Wprowadź nowy adres URL, do którego użytkownicy Witryny będą się logować lub rejestrować w witrynie. Po raz kolejny polecam wybrać coś, co można łatwo zapamiętać, ale wszyscy inni nie będą w stanie losowo odgadnąć.
W tym przykładzie użyjmy tego samego akronimu metody używanego wcześniej, aby wymyślić nazwę katalogu dwiiw i nazwijmy nasz nowy adres URL logowania WordPress czymś wyjątkowym, jak:
http://example.com/dwiiw/gli
W tym przypadku, gli Stojaki na get logged in i osiąga cel bycia jednocześnie łatwym do zapamiętania i trudnym do odgadnięcia.
Spraw, aby Twój nowy adres URL logowania WordPress był trudny do odgadnięcia przez hakerów.
Zapisz zmiany i wyloguj się ze swojej witryny WordPress.
Teraz spróbuj zalogować się ponownie za pomocą domyślnej strony logowania na yourdomain.com/wp-login.php.
Normalnie, wpisując wp-admin do przeglądarki internetowej automatycznie przekierowuje użytkowników do wp-login.php. Defender również wyłącza tę funkcję.
Tylko użytkownicy z dostępem do zamaskowanego adresu URL będą teraz widzieć stronę logowania WordPress.
Twój adres URL strony logowania WordPress jest teraz zamaskowany.
Tip: Jako dodatkowy miły akcent dla użytkowników, Możesz również dostosować stronę logowania WordPress, zainstalować wtyczki w celu poprawy logowania i rejestracji użytkownika lub pozwolić użytkownikom zalogować się do WordPress za pomocą adresu e-mail. Jeśli jednak tylko niektórzy użytkownicy mogą uzyskać dostęp do sekcji administratora, możesz ograniczyć dostęp do strony logowania dla określonych użytkowników według adresów IP.
Opcjonalny krok: przekierowanie wp-login.php
Korzystając z metody pokazanej powyżej, każdy, kto próbuje odwiedzić domyślną stronę logowania WordPress (tj. wp-login.php) zostanie powitany Komunikatem o błędzie (“ta funkcja jest wyłączona”).
Jeśli chcesz wysłać odwiedzających i użytkowników (a nawet hakerów) na inną stronę (np. stronę sklepu, stronę kontaktu, sekcję FAQ lub dowolną inną stronę w witrynie), możesz przekierować domyślną stronę wp-login.php URL za pomocą Defendera Przekierowanie ruchu funkcja.
Aby przekierować wp-login.strona php, przejdź do menu pulpitu nawigacyjnego WP i wybierz Defender > Advanced Tools > Mask Login Area.
Włącz przekierowanie 404 w sekcji przekierowanie ruchu wprowadź ślimak strony, na którą chcesz wysłać odwiedzających, i kliknij Zapisz zmiany, aby zaktualizować ustawienia.
https://wpmudev.com/blog/wp-content/uploads/2100/10/defender-redirect-traffic-URL.png “alt=” Defender Redirect Traffic URL “width =” 600 ” height=”210″ />Ok hakerzy, czas sprawdzić, czy przestępczość naprawdę się opłaca…
Teraz każdy, kto spróbuje odwiedzić domyślny adres URL logowania, zostanie przekierowany na podany post lub stronę.
Dalej hakerzy… dawaj, aż będzie bolało!
Uwagi:
- Możesz użyć dowolnej kombinacji a-z i 0-9 w ślimaku.
- Nie można dodać pełnych adresów URL (zapobiega to wysyłaniu błędów 404 do innej domeny).
2. Ukryj Stronę Logowania WordPress Bez Wtyczki
Jeśli chcesz ukryć swoją stronę logowania bez użycia wtyczki, wszystko czego potrzebujesz to edytor tekstu, dostęp do plików instalacyjnych WordPress (FTP, Menedżer plików cPanel itp.), a następnie wykonaj następujące czynności:
1-Zrób kopię zapasową swojego wp-login.plik php.
Podczas gdy jesteś na to, śmiało i zrobić kopię zapasową wszystkiego innego też, jak masz zamiar bałagan z kodem i wejść do strefy zagrożenia!
Uwaga: Jeśli szukasz świetnej wtyczki do tworzenia kopii zapasowych i przywracania plików i witryny WordPress, zalecamy użycie naszej własnej migawki.
Następnie otwórz wp-login.plik php. Wybierz i skopiuj cały kod do schowka.
2-Utwórz nowy plik logowania PHP.
Utwórz nowy plik za pomocą edytora tekstu. Wywołaj ten plik w dowolny sposób (np. ‘ canny-login.php’, ‘ danger-zone.php ” itp.).
Wklej kod z istniejącego wp-login.plik php do nowego pliku i zapisz. Alternatywnie, otwórz wp-login.plik php i “zapisz jako” nową nazwę pliku.
3-Wyszukaj i zamień ” wp-login.PHP ‘ string w nowym kodzie pliku.
Wyszukaj i zamień każdą instancję ‘ wp-login.php ‘ w kodzie z nową nazwą pliku logowania.
Zapisz ponownie plik ze zmodyfikowanym kodem.
4-Prześlij nowy plik logowania na swój serwer.
Zaloguj się na swój serwer i prześlij nowy plik logowania do folderu głównego lub katalogu, w którym zainstalowałeś WordPress. Usuń oryginał wp-login.php Plik z twojego serwera.
Zastąp wp-login.php na serwerze z nowym plikiem logowania.
5-zaktualizuj domyślne adresy URL logowania i wylogowania.
Ostatnim krokiem jest podłączenie do filtrów login_url i logout_url, aby zaktualizować nasz plik.
Dodaj następujący kod do funkcji motywu.php (najlepiej w temacie potomnym):
add_filter (‘logout_url’, ‘custom_logout_url’); function custom_logout_url ($default) { return str_replace (‘wp-login’,’ danger-zone’, $default);} add_filter( ‘login_url’,’ custom_login_url’); function custom_login_url ($default ) { return str_replace (‘wp-login’,’ danger-zone’, $default);}
6-Przetestuj swój nowy adres URL logowania
Przetestuj swój nowy adres URL strony logowania. Każdy, kto odwiedza domyślne wp-login.strona php będzie experience to błąd.
Żadnych przebiegłych loginów dla ukradkowych hakerów, chyba że wiedzą, jak płynąć autostradą do strefy zagrożenia.
Aby powrócić do oryginalnej strony logowania, po prostu Przywróć wp-login.plik php z kopii zapasowej i usuń nowy plik z serwera.
3. WordPress Login URL .Hacki plików htaccess
Istnieją sposoby, aby “zasłonić” swoje dane logowania WordPress za pomocą.plik htaccess. Zasłanianie adresu URL logowania WordPress nie musi jednak oznaczać ukrywania go przed innymi.
Na przykład, rzućmy okiem na to, co się dzieje, gdy dodasz przekierowanie adresu URL do swojego .htaccess. Pamiętaj, aby wykonać pełną kopię zapasową witryny przed dokonaniem jakichkolwiek zmian.plik htaccess.
WordPress Logowanie strona z przekierowaniem URL
Możesz zmienić lokalizację strony logowania, zmieniając nazwę pliku logowania WordPress za pomocą modułu mod_rewrite na serwerze Apache.
Aby to zrobić, dodaj poniższą linię do swojego .plik htaccess (Uwaga: zastąp ‘newloginpage’ dowolnym aliasem i zmień example.com URL do Twojej domeny):
RewriteRule ^newloginpage$ http://www.example.com/wp-login.php [NC, L]
W tym przykładzie dodamy alias o nazwie ‘dancekevindance’ i załadujemy go ponownie .plik htaccess na nasz serwer:
Teraz wróć do witryny i wprowadź nowy adres URL.
Przekierowanie URL nie ukrywa adresu URL logowania WP, po prostu tańczy wokół problemu.
Jak widać powyższa metoda nie Ukryj domyślny adres URL logowania WordPress, to tylko tworzy alias który pozwala użytkownikom zalogować się do pulpitu WordPress za pomocą adresu internetowego, który jest łatwiejszy do zapamiętania niż https://yourexample.com/wp-login.php.
4. Ukryj Swoją Stronę Logowania WordPress Z Kodem
Idealnie, zalecamy po prostu trzymanie się za pomocą wtyczki, jeśli chcesz zmienić adres URL logowania WordPress, Ukryj wp-admin wp-login.strony php, lub przekierowanie użytkowników z dala od domyślnej strony logowania. Używanie kodu może powodować problemy ze zgodnością, spowalniać witrynę i powodować inne problemy.
Jeśli chcesz spojrzeć na inne opcje, które wiążą się z kodem, sprawdź ten post, który napisaliśmy o ukrywaniu strony logowania WordPress przed hakerami za pomocą kodu.
Nie pozwól im zabrać cię prosto do strefy zagrożenia
WordPress jest magnesem dla hakerów i złośliwych botów, dlatego ważne jest, aby zrozumieć najlepsze praktyki bezpieczeństwa WordPress i wdrożyć wiele strategii bezpieczeństwa WordPress, aby chronić swoją witrynę przed hakerami i atakami typu brute-force. Obejmuje to bezpieczeństwo poprzez zapomnienie.
W przypadku stosowania jako część bardziej kompleksowej strategii bezpieczeństwa, zaciemnienie może być pomocne. Jak właśnie widzieliśmy, jednak po prostu ukrywanie strony logowania WordPress nie wystarczy, aby zagwarantować, że zobaczysz zero złośliwych prób logowania.
Chyba że faktycznie zmienisz adres URL logowania WordPress swojej witryny i przekierujesz niechcianych odwiedzających z dala od stron takich jak wp-login.php oraz wp-admin, hakerzy i boty nadal będą mogli znaleźć Twoją stronę logowania i spróbować odgadnąć Twoje dane logowania.
Używanie kodu może powodować problemy ze zgodnością, spowalniać witrynę i powodować inne problemy. Korzystanie z wtyczki takiej jak Defender to najprostszy sposób na ukrycie dziennika WordPressna stronie od hakerów i sprawiają, że wszystko, ale niewidoczne dla zdecydowanej większości nisko latających złośliwych prób logowania.
Aby chronić swoją witrynę przed najgorszymi z najgorszych, potrzebujesz pomocy najlepszych z najlepszych. Jeśli nie jesteś jeszcze członkiem WPMU DEV, dołącz do naszej elitarnej grupy programistów i właścicieli witryn top gun WordPress z naszą bezpłatną wersją próbną bez ryzyka i uzyskaj dostęp do wszystkich narzędzi bezpieczeństwa, funkcji ochrony i wsparcia, którego Twoja strona potrzebuje, aby latać wysoko i uwolnić się ze strefy zagrożenia.
Tagi: