Как обезопасить панель администратора WordPress. Доступ к админке wordpress


Защита админки WordPress - Двойная авторизация .htpasswd WP

WordPress является одной из самых популярных CMS, поэтому неудивительно, что она вызывает сильный интерес злоумышленников. Особой популярностью пользуется автоматизированный подбор (он же брут) пароля админа, когда хакер при помощи специальных скриптов пытается залогиниться в админ-панель, используя логин admin и список самых распространенных паролей.

Защититься от такого злоумышленника достаточно просто: подобрать пароль, состоящий из рандомного набора букв, цифр и прочих символов, практически невозможно: для этого могут понадобиться сотни лет. Такие хакеры рассчитывают, скорее, на неопытных владельцев сайта, использующих в качестве пароля «12345678» или «qwerty».

Однако, даже если вы используете сложный пароль, который невозможно подобрать, хакеры могут доставить вам немало неудобств, заметно увеличивая нагрузку на CPU сервера, что может привести к более медленной работе сайта, а в некоторых случаях и к его блокировке хостером.

Брутфорс атака на сайт очень легко определяется тем, что в логах можно наблюдать огромное число запросов к файлам wp-login.php и xmlrpc.php, в результате которых и увеличивается нагрузка на web-ресурс.

У WordPress есть специальный плагин Limit Login Attempts, который блокирует IP адреса пользователей, совершающих многократные неудачные попытки входа в админ-панель. Однако, как и любой другой плагин, он увеличивает нагрузку на сайт, а кроме того, он не принесет особой пользы, если злоумышленник использует тысячи прокси, меняя их после каждого запроса.

Двойная авторизация WordPress: файл .htpasswd

Намного результативнее будет поставить пароль на файл wp-login.php при помощи .htpasswd, то есть установить на сайт HTTP-авторизацию или «двойную авторизацию». Создать файл .htpasswd можно при помощи генератора, который находится по ссылке http://www.htaccesstools.com/htpasswd-generator/.

Вам необходимо только ввести желаемые логин и пароль в соответствующие поля и нажать Create.

логин и пароль для .htpasswd

А затем скопировать готовый текст в свой файл .htpasswd. Как видите, пароль в файле хранится в зашифрованном виде.

.htpasswd

Поместите файл .htpasswd в корень сайта; и добавьте в .htaccess следующий код:AuthUserFile .htpasswdAuthName "Private access"AuthType Basic<FilesMatch "wp-login.php">Require valid-user</FilesMatch>

На некоторых хостингах может потребоваться полное указание пути к файлу .htpasswd:AuthUserFile /home/k/seo/seo-praktika.com/public_html/.htpasswd

Чтобы узнать абсолютный путь к файлу, поместите в корень сайта скрипт с кодом:<?phpecho $_SERVER['DOCUMENT_ROOT'];?>

И перейдите на него.

Теперь при переходе в административную часть сайта (wp-admin или wp-login.php) будет требоваться аутентификация.

Ограничение доступа к админке WordPress по IP

Также результативным способом является блокировка доступа к админ-панели по IP адресу. Для этого достаточно просто прописать в файле .htaccess, размещенном в корне сайта:<Files "wp-login.php">Order deny,allowAllow from AllDeny from 00.00.00.00</Files>

Вместо 00.00.00.00, нужно указать адрес, который вы хотите заблокировать.

Также можно блокировать целые диапазоны IP-адресов, например, принадлежащих хостерам, с которых ведется атака на ваш сайт.

Однако гораздо проще запретить все IP-адреса, кроме того, что принадлежит вам. Однако для этого вам необходим статический (постоянный, «белый») IP-адрес, зарегистрированный у провайдера.<Files "wp-login.php">Order deny,allowDeny from AllAllow from 00.00.00.00</Files>

В этом случае вместо 00.00.00.00 нужно указать ваш адрес.

Также можно просто заблокировать всем доступ к админ-панели, например, если вы не собираетесь обновлять сайт длительное время или просто уезжаете в отпуск:<Files "wp-login.php">Order deny,allowDeny from All</Files>

Это самый простой способ защитить Вордпресс и избежать чрезмерной нагрузки, если на ваш сайт будет идти брутфорс-атака.

seo-praktika.com

Как ограничить доступ авторам WordPress к некоторым рубрикам в админке

Когда для вашего сайта на WordPress пишут одновременно несколько авторов, то очень важно грамотно распределить рабочий процесс и сделать этот процесс комфортным для каждого автора. Есть специальный плагин Edit Flow для одновременной работы нескольких авторов на WordPress.

Но сегодня речь не об этом. Сегодня мы рассмотрим один простой бесплатный плагин Restrict Author Posting, с помощью которого вы сможете закрепить за каждым автором определенные рубрики, а доступ к остальным рубрикам ограничить.

Смотрите также:

Это особенно актуально, если у вас на сайте есть авторская колонка. Или, например, у вас есть рубрика с обзорами гаджетов, в которую могут писать только несколько определенных авторов.

Плагин Restrict Author Posting

В первую очередь скачайте и установите бесплатный плагин Restrict Author Posting.

Вы можете скачать плагин из официального каталога расширений WordPress по этой ссылке.

Если вы не знаете, что такое плагины и как их устанавливать, посмотрите этот урок.

Сразу после активации плагина перейдите в меню Пользователи и откройте профиль того пользователя, которому вы хотите настроить ограниченный доступ.

Прокрутите профиль пользователя в самый низ и вы увидите новое меню Restrict Author Post to a category, в выпадающем списке выберите Рубрику, для которой будет писать этот автор. Нажмите сохранить.

С этих пор данный автор может писать посты только для выбранной рубрики. В следующий раз, когда автор попробует создать или отредактировать пост, он увидит предупреждение:

Если вы захотите в дальнейшем снять ограничение с любого автора вашего сайта, точно так же откройте его профиль и выберите в выпадающем меню No Restrict.

Источник: wpbeginner.com

 

hostenko.com

Как обезопасить панель администратора WordPress

Как зайти в админ панель wordpress

По умолчанию, панель администратора находится по адресу: http://example.com/wp-admin (example.com заменяете на свой домен).Как вариант, для авторизации можно попробовать http://example.com/wp-login.php.Если оба варианта не дают результат, то либо хостинг не работает, либо страница авторизации находится на другом адресе (скорее всего, для защиты от хакеров и ботов подборщиков паролей). Это могли сделать с помощью специальных плагинов (примеры будут ниже).Если Вы сами изменили адрес входа в панель администратора в WordPress, но вдруг забыли его и можете вспомнить, есть возможность восстановить доступ.

Как восстановить доступ к админ панели сайта на WordPress

Если Вы забыли логин или пароль, вам поможет инструкция по восстановлению доступа к панели администратора WordPress.

Чтобы восстановить доступ к панели администратора, достаточно на время отключить плагины. Для этого, переименуйте директорию /wp-content/plugins/ в /wp-content/plugins_/. Это можно сделать либо через менеджер управления файлами (должен быть в панели хостера), либо через FTP, SSH. Если через SSH, можно воспользоваться командой mv:

cd /путь_до_корня_сайта/wp-content/ mv plugins plugins_

Затем, пробуем зайти на страницу авторизации в админку: http://example.com/wp-admin, должно сработать:

Страница авторизации WordPress

Страница авторизации WordPress

Также, подобный функционал может находиться в теме или MU Plugins. Попробуйте последовательно отключать их, если отключение плагинов не помогло.

Осталось последнее: не забудьте вернуть прежнее имя каталогу плагинов (через менеджер файлов, FTP или SSH):

mv plugins_ plugins

Как скрыть и защитить панель администратора вордпресс от взлома

Для того, чтобы защитить панель администратора, можно пойти несколькими путями:

Поставить ограничение доступа по IP Подойдёт тем, кто ведёт блог в одиночку из постоянной подсети и не хочет пускать в админку лишних людей. Поставить капчу на форму авторизации, чтобы усложнить перебор паролей Вариант для тех, у кого сайт — многопользовательский, и страницу авторизации нужно держать открытой и общеизвестной (например, сайт имеет элементы социальной сети, форума, блогохостинга и подобного). Изменить адрес страницы авторизации в панель администратора Подойдёт остальному абсолютному большинству.

Я рекомендую не останавливаться на каком-то одном из вышеперечисленных вариантов, а хорошим подходом станет их совокупная комбинация.Преимущества вышеуказанных методов в том, что они предоставляют простой и необходимый минимум безопасности WordPress. Но если требуется комплексное решение по защите сайта, то им может стать использование специальных плагинов:

Их недостаток в том, что это сложные программные комплексы, которые нуждаются в тонкой настройке, и при неосторожном или неправильном их использовании можно навредить сайту. Поэтому обязательно проверяйте все применённые конфигурации, либо доверьте этот вопрос специалисту.

Ограничение доступа по IP

Ограничение по IP через .htaccess описано тут. Но, в общих чертах расскажу и ниже.Итак, если ваш хостинг или сервер работают на Apache, то есть, понимают .htaccess, то подойдёт следующая конструкция, которую надо записать в корневой .htaccess (в корне сайта, в самом начале этого файла):

<FilesMatch "^(wp-login|wp-config)\.php$"> Order deny,allow Deny from all Allow from 192.168.0.0/16 </FilesMatch>

Тут 192.168.0.0/16 — это подсеть IP, который выдаёт Ваш провайдер интернета. Её можно заменить на статичный IP (если он у вас статичный).Если же IP динамический, то чтобы определить подсеть, можно:

  1. Узнать свой IP через

sheensay.ru


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта