Еще пара уловок для защиты блога на wordpress. Wordpress wp login php


Защита файлов wp-login.php и wp-config.php от взлома

В нарушение всех планов на написание постов хочу дополнить предыдущий пост о защите блога на wordpress, а точнее о защите файлов и папок средствами .htaccess. В корне наших блогов лежат файлы wp-login.php и wp-config.php, которые особенно интересны злоумышленнику, ну и нам их без внимания оставлять не следует.

Злоумышленники в нашем случае — это «школота», которая в летний период, вместо того, чтобы отдыхать и гулять, сливают в сети готовые разного рода программы и уже считают себя «хакерами». Смех да и только, но хлопот, те самые, запускаемые «школотой» программы доставляют не мало.

Защита файлов wp-login.php и wp-config.php от взлома

Прежде чем приступим к защите wp-login.php и wp-config.php, напомню несколько прошлых постов о защите сайтов на wordpress, которые актуальны и сейчас:

Отлично, идем дальше и закрываем от всех лишних глаз файл wp-login.php.

Шаг 1. Оригинальный wp-login.php переименуем в любое другое название, хоть в «s4gr3gerh6hb.php».

Шаг 2. Затем заменим все слова wp-login.php на новое имя, в нашем случае на s4gr3gerh6hb.php, в файле s4gr3gerh6hb.php (старый wp-login.php) и в файле wp-includes/general-template.php.

Шаг 3. Заключительным шагом станет полное ограничение доступа к файлу wp-login.php в .htaccess:

<Files wp-login.php>Order Deny,AllowDeny from all</Files>

Поясню зачем ограничивать доступ к файлу wp-login.php, если по сути его уже нет, а есть новый, неизвестный злоумышленнику «s4gr3gerh6hb.php». Как я говорил выше, попытками взлома наших блогов занимаются далеко не серьезные люди, а «школота», которая скачивает программу-заготовку и запускает ее по инструкции, совершенно не соображая, что действия, производимые программой, бессмысленны.

Но нас на самом деле это не очень успокаивает, потому что в ответ на многочисленные запросы сервер возвращает нашу 404 страницу, а это очень большая нагрузка, которую мы можем избежать, воспользовавшись шагом 3. Теперь, когда в .htaccess к несуществующему файлу ограничен доступ, в ответ подлецу 🙂 будет отдаваться 403 ошибка, а серверу это какой либо заоблачной нагрузкой не грозит.

С защитой файла wp-config.php все намного проще. Нам он требуется крайне редко, если вообще после установки блога требуется, потому к нему достаточно закрыть доступ для всех. Пишем в .htaccess

<Files wp-config.php>Order Deny,AllowDeny from all</Files>

и мы в шоколаде.

Удачи Вам, друзья, успехов. Предохраняйтесь, не давайте им шанса 😉

Читаем дальше:

59 на запись "Еще пара уловок для защиты блога на wordpress"

pervushin.com

Переименовываем wp-login.php - Агентство "Romapad.ru"

Тема статьи: как забота хостера может вызвать беспокойство у клиента? Хостер ставит защиту на сайт клиента (минуя меня, то есть разработчика), а клиент в итоге не может войти на сайт. Вот с такой проблемой столкнулись некоторые из моих клиентов, а значит и я. Решение читайте ниже.

Подробнее:

Периодически мой любимый хостер — reg.ru (ссылка рефферальная;)) — начинает активно беспокоиться о безопасности моих (и чужих) сайтов и рассылать емейлы с темой «Обнаружена попытка взлома ваших сайтов». В письме приведено несколько рекомендаций, но особенно привлекает внимание следующее предложение:

«В связи с обнаружением Brute-force атаки, на страницы доступа к административным панелям всех Ваших сайтов использующих CMS Joomla и WordPress была установлена дополнительная базовая HTTP-аутентификация средствами .htaccess.»

Спасибо большое! Безопасность прежде всего. Дополнительная HTTP-аутентификация ставится на все сайты, в которых определено присутствие популярной CMS. То есть, даже если ваш сайт закрыт от индексирования, то есть возможность его открытия кем-то, а значит и взлома, очень мала, все равно, на нем поставят дополнительную защиту.

И даже, если ваш сайт на wordpress уже защищен максимально, как только можно (что я обычно делаю для всех клиентских сайтов), все равно добрый хостер поставит защиту. За что ему искреннее спасибо, потому что всегда лучше перебдеть!

Но в случае установки защиты клиент не сможет попасть в админ-панель сайта тем способом, как он привык делать. Он набирает известный ему адрес админки (который может отличаться от стандартного) и видит дополнительное всплывающее окно для ввода пароля:

obnarujena-popytka-vzlomaobnarujena-popytka-vzloma

Это и есть так называемая HTTP-аутентификация. Прописывается она в файле .htaccess. Файл этот по умолчанию располагается в папке с файлами wordpress.

Для клиентов это очень неудобно. Защита, конечно, убирается быстро, достаточно зайти по ftp и почистить .htaccess, но ведь она может появиться опять! Кроме того, если .htaccess расположен в корневой директории хостинга, а сайты располагаются во вложенных папках (так бывает), то окно будет выскакивать на всех сайтах, даже если вы почистите вложенные файлы .htaccess.

В чем, собственно, состоит защита? Все очень просто — делается проверка на попытку получения доступа к файлу wp-login.php — который как раз отвечает за авторизацию в системе (причем, не только в админке, так что, если вы ведете проект с возможностью авторизации пользователей, то для вас проблема еще актуальнее).

Решение, которое напрашивается само собой — переименовать файл wp-login.php. Чтобы попытка прямого обращения отдавала 404 ошибку, но можно было легко зайти по измененному адресу, а так же, чтоб это никак не сказалось на самом движке.

Как ни странно, во всех известных мне плагинах, обеспечивающих безопасность в wordpress — better wp security, wordfence, bulletproof security — есть опция для изменения пути доступа в админку (папка wp-admin), но нет опции изменения самого файла wp-login.php. Хотя напрямую при использовании этих плагинов вы его открыть все равно не сможете — получите 404.

Возможно, у вас будут какие-то еще причины переименовать этот файл. Тогда вам тоже пригодится данное решение.

Решение:

Поиск в google помог найти лишь жалкую горстку статей на эту тему, хотя и одно действительно рабочее решение — плагин «Rename wp-login.php» После его установки и активации вам сразу открывается страница настроек ЧПУ, где добавляется новое поле, в котором можно задать новое название для нужного нам файла.

Теперь при попытке перейти по адресу http://ВАШ_САЙТ/wp-login.php вы получите 404 ошибку, зато по измененному адресу можно спокойно попасть в админку (естесственно, после логина и пароля), даже если на сам файл повешена HTTP-аутентификация, или еще какие правила в .htaccess (deny for all, например). Обратите внимание, что плагин заявлен как «неподдерживаемый». Я не увидел никаких проблем с его использованием, но все равно советую вам провести тестирование, если вы используете различные способы авторизации на сайте — напрямую, через соц.сети, через сторонние плагины.

romapad.ru

Защита файла wp-login.php на 100% ! — ТОП

 Привет ! Мы продолжаем разбирать самые интересные и самые полезные плагины для сайта WordPress ! Сегодня вы узнаете о супер плагине, который позволит вам на 100% защитить страницу входа в админ-панель wordpress. Страница wp-login.php подвержена постоянным атакам, почему ? Потому что на тысячах сайтов в сети, данная страница имеет по умолчанию одинаковый адрес — wp-login.php. Поэтому спамерам очень просто атаковать одновременно несколько тысяч сайтов.

 Конечно можно защитить сайт с помощью каптчи, придумать сложный пароль и всё будет в порядке ! Но, если вы заметили что к странице входа в админ-панель wordpress посылается большое количество запросов, то это может повлиять на производительность вашего сайта. Попасть к вам на сайт никто не сможет, а вот создать дополнительную нагрузку на базу данных, запросто ! Не забывайте, что многое ещё зависит от хостинга, важно, чтобы он был качественным !

 Плагин Rename wp-login.php — это 100% защита для страницы входа на ваш сайт. С помощью данного плагина, вы сможете просто и быстро изменить адрес страницы входа. Например, вместо wp-login.php, вы можете сделать — bobin.php, в таком случае о вашей странице входа абсолютно никто не узнает ! Ваш URL адрес входа будет уникальным и узнает о нём только те, кому вы о нём расскажите.

 Установить данный плагин вы сможете прямо из админ-панели wordpress. Перейдите на страницу: Плагины — Добавить новый, введите название плагина в форму поиска, нажмите Enter, установите и активируйте плагин.

 

Rename wp-login.php

 

 Далее, после установки и активации плагина, перейдите на страницу: Настройки — Постоянные ссылки. В настройках «Постоянные ссылки», внизу страницы, будет отображаться поле «Login url». В данном поле вам нужно указать новый адрес страницы входа и сохранить изменения.

 

изменить login

 

 Для примера, давайте укажем новый адрес bobin и сохраним изменения. Обязательно сохраните новый URL адрес, чтобы не забыть его. Лучше всего сразу же перейти по новому адресу и сделать на него закладку.

 

вход новый адрес

 

 Теперь при входе в админ-панель wordpress, в верхнем поле браузера будет отображаться новый URL адрес.

 

вход в админ-панель

 

 Всё очень просто !

 Остались вопросы ? Напиши комментарий ! Удачи !

 

info-effect.ru

info-effect.ru

Защищаем свой WordPress блог от атак на wp-login.php | | Provisov.net

Уровни мощности хостинга

На всех тарифных планах нашего хостинга используется технология Cloudlinux, которая обеспечивает гарантированную производительность и изолированность клиентов на серверах.

Чем выше тариф хостинга, тем больше ему выделяется гарантированных ресурсов сервера!

Если Вы не знаете сколько потребуется ресурсов для Вашего сайта - не беспокойтесь! Во-первых, мы гарантируем что в нашем самом начальном тарифе (Мини) выделяется в несколько раз больше оперативной памяти (ram) и процессорной мощности (cpu), чем у других хостинг-провайдеров. Во-вторых, при необходимости Вы всегда сможете изменить тариф без потери данных сайта.

Сводную таблицу с ограничениями для каждого тарифного плана можно посмотреть здесь

Параметры

Мощность 1

Мощность 2

Мощность 3

Количество ядер процессора

1

2

2

Оперативная память, Мб

2048

4096

6144

Одновременных процессов

80

160

250

Нагрузка дискового ввода/вывода, Кб/сек

2048

4096

8192

Лимит на процессор (CPU)

150%

200%

300%

Частые вопросы:

Что произойдет если я превышу лимиты мощности хостинга?

Ничего! Вы получите автоматическое уведомление от нашей системы о превышении лимитов. Обычно превышения ресурсов имеют временный характер - запуск ресурсоемкого скрипта, временная ddos-атака и т.д. В таких случаях превышения не страшны и они не скажутся на работе вашего сайта. Если превышения будут иметь постоянный характер, тогда рекомендуется сменить тариф с увеличенными лимитами мощности.

Подойдет ли тариф "Мини" для моего WordPress сайта?

Конечно! Несмотря на то, что данный тариф в нашей линейке считается самым дешевым, в нем заложены достаточно высокие лимиты мощности. Этих лимитов достаточно для стабильной работы любых сайтов, даже с очень высокой посещаемостью!

www.provisov.net


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта