Как скрыть адрес админки WordPress и не дать взломать свой блог. Защищаем и прячем админку через.htaccess Сделать скрытую страницу в wordpress
Время на чтение: 4 мин
Еще год назад у меня очень часто нагрузка на сервер превышала предел допустимого по тарифу лимита. При этом проблема была не в самих сайтах, а банальной атаке злоумышленников на админку, с целью получить доступ для каких-то своих целей.
Сегодня я расскажу как справился с проблемой, что советую и вам сделать на всякий случай у себя.
В результате было принято решение сменить адрес формы логина в админку, а так же прикрыть админку для всех посторонних, у кого не мой IP.
Стоит заметить, что некоторые хостинг-компании сами автоматически создали для всех пользователей новый адрес админки. Если вы пользуетесь услугами подобных хостингов, то дальше не читайте статьи и не тратьте время.
Как сменить адрес админки WordPress
Раньше публиковал такую статью . Здесь вроде бы и похожий результат, но эффект и назначение другие.
Не забываем делать резервные копии файлов, с которыми работаем.
- Для начала скопируем файл wp-login.php из корня сайта (там где лежит wp-config.php) на ftp к себе на компьютер.
- Переименовываем его как душе угодно. Например vhod.php
- Открываем этот файл бесплатной программой Notepad++ (или чем вам удобнее редактировать) и подменяем все вхождения фразы wp-login.php на vhod.php .
Сделать это быстро можно нажатием сочетания клавиш CTRL+F в Notepad++. Ну а в появившемся окне вводим:
Вот так за секунду я заменил во всем файле нужное мне вхождение фразы. Попадалось оно 12 раз.
Новый файл закидываем на ftp.
Аналогичную штуку нужно будет провернуть в файле general-template.php , который найдете в папке wp-includes тут же на ftp. Т.е. меняете вхождение фразы wp-login.php на vhod.php , а само название файла не меняете!
Теперь там же в корне сайта у вас есть файл .htaccess . Тоже копируем его к себе на компьютер и открываем на редактирование (можно обычным блокнотом Windows Notepad). Вставляем такой кусок кода, который блокирует доступ всем к файлу wp-login.php
Order Deny,Allow Deny from all
< Files wp - login . php >
Order Deny , Allow
Deny from all
< / Files >
Именно данный шаг снял нагрузку, а так же спрятал форму авторизации. Нагрузка была снята за счет вставки представленного кода в.htaccess: если шло обращение к http://site.ru/wp-login.php, то отдавало 403 ошибку, а не 404.
Повторим кратко алгоритм работы:
- Переименовываем файл wp-login.php на произвольное имя и подменяем в нем вхождения названия на новое.
- Аналогично подменяем в файле general-template.php старое название wp-login.php на новое.
- Прописываем в файле.htaccess запрет к доступу wp-login.php для всех
После обновления WordPress останется поправить только файл general-template.php. Но т.к. обновляется движок не так уж часто - это мелочь по сравнению с эффектом.
Ставим ограничение на вход по IP через.htaccess
В качестве дополнительных мер по защите сайта мною было принято ограничение на вход в админку по IP. Проблема решалась очень просто: создаем пустой файл.htaccess и добавляем в него такой код
order deny,allow allow from 192.168.0.1 deny from all
order deny , allow
allow from 192.168.0.1
deny from all
Файл сохраняем и закидываем в папку wp-admin там же в корне сайта.
Вместо моего IP из примера поставьте свой настоящий. Притом можно добавить несколько IP с новой строки каждый:
order deny,allow allow from 126.142.40.16 allow from 195.234.69.6 deny from all
order deny , allow
allow from 126.142.40.16
allow from 195.234.69.6
deny from all
Если IP динамический, то можете поставить цифры только до первой-второй-третьей точки:
Управление сайтом WordPress почти всегда привлекает злонамеренные попытки входа в систему. Попытки грубой силы подключиться к WordPress настолько распространены, что страница в Кодексе посвященный теме. Мы вас , Вы можете взглянуть на это.
Существует много стратегий для решения этой проблемы, и лучшая стратегия заключается в развертывании нескольких стратегий. В этом уроке я объясню, как реализовать одну из самых простых стратегий: скрыть страницу входа в WordPress.
У меня есть конкретный сайт WordPress, который был установлен несколько лет назад. Это стандартная установка WordPress, работающая с типичной серией плагинов. Для доступа к странице входа все, что вам нужно сделать, это перейти к " сор-админ / "Или" /wp-login.php .
Этот сайт не видит тонны трафика. За один месяц он генерирует около 5000 просмотров страниц. Однако на странице входа в систему на удивление регулярно происходят злонамеренные попытки входа. На этом сайте включен плагин защиты Jetpack, который отслеживает количество попыток злонамеренного входа в систему. С тех пор, как модуль был добавлен в марте прошлого года, было заблокировано более попыток злонамеренного входа в систему 11.600.
Если вы немного разберетесь в математике, это будет равносильно почти злонамеренным попыткам входа в систему 800 в месяц, примерно 25 в день или попытке злонамеренного входа в систему каждые 58 минут.
Попытки подключения происходят с постоянной скоростью. Недели могут пройти без попытки злонамеренного подключения. Затем, внезапно, несколько попыток подключения записываются за короткое время, пытаясь взломать страницу входа на ваш сайт.
Почему вы должны скрывать страницу входа на свой сайт?
Что я могу вам сказать, прежде чем начать. Если ваш сайт просит других войти в систему, попытки злоумышленного входа неизбежны. Эта стратегия не будет работать для вас. В подобной ситуации вам необходимо легко найти страницу входа, чтобы пользователи могли легко использовать ваш сайт. Одна из вещей, которую вы можете сделать для борьбы со злонамеренными попытками, - это использовать плагин, который ограничивает попытки подключения.
Однако, если ваш сайт не предназначен для членской области, то в этом случае вы можете захотеть скрыть страницу входа.
Теперь давайте выясним, как вы можете скрыть страницу входа на своем сайте WordPress.
Шаг 1: установите WordPress в свой собственный каталог
Вы, наверное, уже знаете, когда и , Это не слишком сложная задача, и вы можете использовать WordPress из подкаталога, будь то новая установка или нет.
Однако, если вы хотите переместить существующую установку WordPress, прежде чем делать что-либо еще, рассмотрите возможность создания резервной копии вашего сайта.
Шаг 2: Скрыть URL-адрес страницы входа и перенаправить wp-login.php
Вы, вероятно, знаете, что стандартное поведение WordPress выглядит следующим образом: WordPress загружает страницу входа в систему при доступе к wp-login.php (поэтому http://www.example.com/wp-login.php). Если вы используете / Wp-администратора "(после вашего доменного имени в адресной строке), вы будете автоматически перенаправлены на "wp-login.php" (Так www.exemple.com/wp-login.php ).
Если вы установили WordPress в подкаталог, то вы уже сделали кое-что из того, что нужно сделать, чтобы скрыть страницу входа. Правда в том, что сейчас кто-то может найти вашу страницу входа довольно легко.
Если вы не предприняли шаги для предотвращения стандартного поведения WordPress, потому что даже если WordPress установлен в подкаталоге, если кто-то попытается получить доступ к http://example.com/wp-login.php, он будет перенаправлен на правильную страницу входа в систему, которая, например, похожа на эту http://example.com/dwiiw/wp-login.php (с dwiiw в подкаталоге ).
Следующим шагом является блокировка доступа к wp-login.php и перенаправление на страницу или страницу 404, отличную от вашей страницы входа в систему, и использование полностью настроенного URL-адреса входа, который будет трудно угадать.
Вы должны знать, что вы выберете в качестве имени. Не принимай что-то сложное. Ниже вы увидите несколько плагинов, которые помогут вам легко скрыть страницу входа.
1 - WPS Скрыть логин
Слоган говорит сам за себя: заменишь WP-login.php По твоему желанию.
Этот плагин делает только одну вещь. Это упрощает пользовательский URL, а не использует стандартный URL. Как только этот плагин установлен и активирован, " / Wp-администратора "И" /wp-login.php Недоступны, заменены пользовательским URL по вашему выбору.
С более чем активными установками 50.000 и блестящим рейтингом 4.7 на 5 star, WPS Hide Login является надежным решением, если вы хотите быстро заменить URL входа в систему.
2 - WP Hide & Security Enhancer
Основная предпосылка этого плагина заключается в том, что он маскирует тот факт, что вы используете WordPress.
Скрытие вашего сайта с использованием WordPress требует создания пользовательских URL-адресов и отключения всех стандартных URL-адресов. Этот плагин имеет больше активных установок 1000, что не является подавляющим, но это решение также будет полезно.
Cerber - довольно популярный плагин, который ограничивает попытки подключения. Он активен более чем на сайтах 10.000 и имеет выдающийся рейтинг 4.9 по звездам 5.
Как вы уже догадались, вам, вероятно, потребуется ограничить количество попыток входа в систему, даже на новой странице входа.
в конце концов
Безопасность это не то, что вы должны воспринимать легкомысленно. Если ваша страница входа не достаточно безопасна, сожаления не будут очень полезны, потому что вам, вероятно, придется переустановить свой блог ().
Если вы управляете мульти авторским блогом на WordPress или у вас несколько клиентских сайтов, которые необходимо обслуживать не только вам, но и вашим редакторам, то вам было бы интересно знать как ограничить или вообще скрыть некоторые элементы админки wordpress для ваших пользователей?
Существует множество пунктов, в которые пользователям лучше не лезть. И в этой статье я наглядно продемонстрирую как скрыть админку wordpress, а точнее ненужные для других пользователей элементы.
Совершать действия мы будем при помощи полезного плагина Adminimize, скачать который вы можете с официального сайта wordpress.
Устанавливаем и активируем плагин с админки. После активации заходим в Настройки — > Adminimize и шаманим там.
На странице настроек есть Mini меню, которое делит страницу на различные разделы для wordpress экранов администратора. Нажатие на каждую приведет вас к дополнительным опциям. Для каждого раздела вы увидите ряд элементов, которые можно дезактивировать или изменить. Так же вы заметите чек боксы с выбором ролей для ваших пользователей.
После того как вы деактивировали некоторые пункты, вам нужно нажать на «Обновить» или Update Option, которая будет ниже, чтобы сохранить изменения.
Пожалуйста обратите внимание, что изменения не будут видны на странице настроек плагина. Чтобы увидеть их в действии нужно будет открыть новую вкладку в браузере и в ней зайти в админку.
Мы покажем вам каждый элемент в Мини Меню и как его изменить.
После элемента «О плагине» идет следующий элемент Admin Bar Option (проще говоря опции администратора). Он появляется всякий раз, когда вы входите внутрь своего блога. Некоторые из его пунктов могут быть выключены или назначены для разных пользователей вашего сайта, т.е вы можете задать разные роли для своих читателей.
Первая опция позволяет вам скрыть меню пользователя и его подкатегории, которые появляются в правом верхнем углу . После этого вы заметите, что оно подсвечивается розоватым цветом. Деактивация главного меню, скрывает также и его элементы. Например вы можете отключить логотип WordPress и вместе с ним скроются все ссылки, в него входящие.
Среди других опций вы увидите чекбоксы где можно скрыть иконку комментирования + добавить новую.
Помните, что вы также можете скрыть подменю. Например, вы хотите сохранить текущее меню + добавить новое в админ панели, но вы хотите еще при этом скрыть страницы из него, тогда просто добавьте страницы и включите пункт «деактивировать» выборочно для пользователей.
Опция администрирования (бэкенд)
Не все секции настроек плагина будут иметь чекбоксы. Опция администрирования значительно отличается от предыдущих. Она позволяет вам сделать глобальные настройки в админке для всех типов пользователей.
Первая опция здесь — это конфигурация инфо раздела для пользователей в самом верху справа панели администратора, которая находится рядом с аватаром пользователя. Вы можете выбрать либо скрыть ее, либо показать или выйти или показать только «выйти».
Следующая опция – это редиректы. Вы можете перенаправить пользователя, когда тот «кликает» на инфо раздел. Вы уже можете настроить либо перебрасываете вашего пользователя на любую другую страницу, либо оставляете по умолчанию в разделе, либо этот раздел прячете. Все это сохраняете, нажав на кнопку Update Options.
По умолчанию, когда вы работаете над постом (статьей), время публикации скрыто ссылкой, которую можно редактировать. Чтобы запланировать выпуск, вы должны нажать на ссылку редактирования, чтобы метка времени стала видимой.
В опциях администрирования вы можете сделать так, чтобы дата всегда была видимой.
Точно также, по умолчанию в WordPress вы можете скрыть некоторые из категорий в поле категории на странице редактирования записи. Вы можете управлять поведением, выбрав «Активировать» рядом с опцией «Высота категории». Тем самым вы регулируете высоту, чтобы все ваши категории отобразились.
В область футера вы можете поместить любой ваш текст или ссылку, чтобы все пользователи смогли ее увидеть на всех страницах панели управления WordPress. Сделать это можно нажатием на пункт «Advice in footer». Это может быть использовано для для брендинга, добавления шорткода, всего чего угодно.
Последняя опция в панели администрирования плагина – установка переадресации на админку wordpress. Чтобы ее использовать вам нужно деактивировать саму панель в первую очередь. Об этом мы расскажем в будущей статье.
Глобальные настройки
Секция с глобальными опциями позволяет активировать/деактивировать определенные настройки для разных ролей пользователей. Первый пункт здесь – скрыть или показать панель администратора. В отличие от варианта раздела Admin bar, который изменяет лишь верхнее меню админ панели, этот чекбокс отключит целиком всю панель для некоторых выбранных ролей пользователей.
Страница логина WordPress является одной из самых уязвимых частей Вашего веб-сайта. Конечно же, злоумышленники прекрасно знают об этом. Поэтому важной задачей любого владельца сайта является максимальная защита страницы логина.
В сети существует множество способов для решения данной задачи – разных по сложности и времени исполнения. Однако в данной статье мы поговорим о защите страницы логина WordPress с помощью плагинов.
Table of Contents
Для чего нужно защищать страницу входа WordPresss?
На страницу входа можно попасть двумя способами:
- Введите wp-login.php в адресную строку браузера;
- Перейдите по ссылке http://yoursite.dev/wp-admin/
Для чего хакеры и боты атакуют вашу страницу входа?
А теперь представьте себе, какая нагрузка на сайт создается при каждом таком подборе пароля и нажатия кнопки «Войти»! Обычные пользователи могут испытывать трудности при работе с сайтом, а причиной того служат роботы, перебирающие пароли. Это называется «брутфорс атака» или «атака перебора паролей».
Самый простой способ защититься от брутфорс атак – это создать уникальный адрес вашей страницы входа, то есть не wp-login, и wp-admin, а какой-то свой. Причем важно, чтобы при открытии стандартных адресов авторизации выскакивала «страница 404». Тогда бот, при попадании на такую страницу, видит «Ошибку 404» и уходит с сайта. Очень хитрый и простой способ!
Как защитить страницу входа в WordPress с помощью плагина Clearfy
Для защиты страницы логина мы будем использовать один из наших бесплатных плагинов. Первый – это плагин Clearfy со встроенной функцией защиты страницы входа WordPress. Помимо этого, в плагине присутствует множество функций для защиты, оптимизации (в том числе и SEO) и ускорения.
Защита директории wp-admin
Единственная его функция – защита страницы входа.
Заключение
В данной статье мы рассказали, почему так важно защищать страницу логина, а также рассмотрели возможности наших плагинов для решения задачи.
Исходя из поставленных целей, Вы можете выбрать, какой именно плагин Вам больше подходит – Clearfy или Hide My Login.
Помните, что своевременная и надежная защита Вашего сайта сохранит Вам массу времени и финансовых ресурсов.
Добрый день!
Сегодня я расскажу вам как скрыть страницу в WordPress.
Под скрытием страницы имеется в виду исключение её из общего списка страниц при выводе. Но это не означает, что эта страница не будет индексироваться поисковыми роботами. Т.е., если робот узнает об этой странице, то обязательно её проиндексирует. Это может произойти если где-то на сайте будет ссылка на эту скрытую страницу или вы или кто-то другой известит поисковик об этой странице. Вообщем, если вам нужно скрыть страницу именно от роботов, то для этих целей используйте файл .
Для чего может применяться скрытие страницы из списка вывода?
Например, при подключении поиска Яндекс или Google по сайту. Для вывода результатов поиска на сайте вам понадобится страница. По умолчанию, она будет пустой и прямой переход на неё вам не нужен.
Или, просто, у вас есть страницы, на которые вы хотите ссылаться с других страниц, но не с главной. Также, можно часть ссылок на страницы выводить в хедере, а другую часть – в футере или сайдбаре.
Ранее, я писал . Страница скрывается аналогичном способом, только для вывода списка страниц используется функция wp_list_pages .
Как узнать id страницы WordPress
Для того, чтобы скрыть страницу нам понадобится узнать её порядковый номер, который присвоен странице в базе данных (идентификатор или просто id).
Для этого и перейдите в раздел Страницы .
В списке страниц наведите курсор мыши на название той страницы, id которой нужно узнать.
В браузере внизу в информационной строке вы увидите url-адрес ссылки такого типа:
http://сайт/wp-admin/post.php?post=192&action=edit
Найдите в этой строке значение параметра post . В данном случае post=192 – это и есть id страницы. Т.е. в данном примере id страницы равно 192.
Также, чтобы увидеть этот url-адрес, можно нажать на ссылку редактирования страницы и тогда нужный url будет уже вверху в адресной строке браузера.
Еще, id страницы WordPress можно узнать непосредственно в базе данных в таблице wp_posts . Все записи, у которых post_type = "page" – это страницы. Т.е. получить список всех страниц можно следующим SQL-запросом: .
В поле ID хранится нужный нам идентификатор.
Как скрыть страницу в WordPress
Теперь, когда мы знаем id страницы, можем приступить непосредственно к скрытию этой страницы.
Список страниц в WordPress выводится с помощью функции wp_list_pages .
Откройте файл /wp-content/themes/ваш_шаблон/header.php и найдите в нем вызов функции wp_list_pages .
Вот какой код был в моем header.php:
Если вам нужно скрыть несколько страниц, то перечислите их id через запятую.
