Как защитить вход в админку WordPress? Примитивные меры и WPS Hide Login. Как скрыть ненужные элементы в админке wordpress с помощью Adminimize WP Hide Post — дополнительные опции видимости в WordPress

Мы, конечно же, горячо любим и гордимся Wordpress, но бывают случаи, когда лучше скрыть тот факт, что наш сайт работает на этой платформе. Периодически в ней (а также в темах или плагинах) обнаруживаются критические уязвимости в части безопасности, так зачем же давать злоумышленнику лишнюю подсказку в поисках бреши?

В этом обзоре я хочу рассказать о некоторых, лучших на мой взгляд, плагинах, которые надежно спрячут страницу входа в админпанель Wordpress . Это послужит еще одним барьером против некоторых грубых атак. Таким образом, если кто-то зайдет по адресу.../wp-admin или.../wp-login. , то получит ошибку 404 . А вы сможете задать странице входа другой адрес .

Среди рассматриваемых плагинов есть платные и бесплатные продукты, но я рекомендую использовать плагины премиум-класса, в частности самый популярный и продаваемый плагин Hide My WP.

Hide My WP

Hide My WP защищает от популярных грубых атак на Wordpress сайты . Он контролирует доступ к PHP файлам и блокирует 90% XSS и SQL-Injection атак. Кроме того, он сделает ваш сайт незаметным для некоторых Wordpress-ориентированных ботов.
В общем, Hide My WP относится к категории must have и однозначно стоит своих денег!

Стоимость: $23

Modal Log In for WordPress

Этот плагин не только скрывает стандартную форму входа в админпанель Wordpress , но и предлагает не менее функциональную альтернативу в виде модальной формы на базе .
Из других, заслуживающих внимание функций, стоит отметить:

1. Обновление плагина из админпанели Wordpress
2. Редактор , совместимый с и планшетными устройствами
3. Простой и ясный интерфейс
4. Перенаправление на другую страницу после авторизации
5. Admin и login rewrite (установка альтернативных адресов)
6. Активация режима «Сайт на реконструкции»

Стоимость: $21

Lockdown WP Admin

Lockdown WP Admin делает недоступным административный каталог /wp-admin/ для незалогиненого пользователя. Попытка напрямую перейти в этот каталог приведет к ошибке 404. Сам же URL для входа может быть изменен при помощи этого же плагина.

Стоимость: Бесплатно

WPS Hide Login

WPS Hide Login - очень легкий плагин, позволяющий быстро и безопасно изменить адрес входа в админпанель Wordpress . При этом плагин не изменяет и не переименовывает системные файлы и не устанавливает правила переадресации. Он просто перехватывает обращения к соответствующим страницам. При деактивации плагина Wordpress возвращается к первоначальному состоянию.

Стоимость: Бесплатно

Если вы управляете мульти авторским блогом на WordPress или у вас несколько клиентских сайтов, которые необходимо обслуживать не только вам, но и вашим редакторам, то вам было бы интересно знать как ограничить или вообще скрыть некоторые элементы админки wordpress для ваших пользователей?

Существует множество пунктов, в которые пользователям лучше не лезть. И в этой статье я наглядно продемонстрирую как скрыть админку wordpress, а точнее ненужные для других пользователей элементы.

Совершать действия мы будем при помощи полезного плагина Adminimize, скачать который вы можете с официального сайта wordpress.

Устанавливаем и активируем плагин с админки. После активации заходим в Настройки — > Adminimize и шаманим там.

На странице настроек есть Mini меню, которое делит страницу на различные разделы для wordpress экранов администратора. Нажатие на каждую приведет вас к дополнительным опциям. Для каждого раздела вы увидите ряд элементов, которые можно дезактивировать или изменить. Так же вы заметите чек боксы с выбором ролей для ваших пользователей.

После того как вы деактивировали некоторые пункты, вам нужно нажать на «Обновить» или Update Option, которая будет ниже, чтобы сохранить изменения.

Пожалуйста обратите внимание, что изменения не будут видны на странице настроек плагина. Чтобы увидеть их в действии нужно будет открыть новую вкладку в браузере и в ней зайти в админку.

Мы покажем вам каждый элемент в Мини Меню и как его изменить.

После элемента «О плагине» идет следующий элемент Admin Bar Option (проще говоря опции администратора). Он появляется всякий раз, когда вы входите внутрь своего блога. Некоторые из его пунктов могут быть выключены или назначены для разных пользователей вашего сайта, т.е вы можете задать разные роли для своих читателей.

Первая опция позволяет вам скрыть меню пользователя и его подкатегории, которые появляются в правом верхнем углу . После этого вы заметите, что оно подсвечивается розоватым цветом. Деактивация главного меню, скрывает также и его элементы. Например вы можете отключить логотип WordPress и вместе с ним скроются все ссылки, в него входящие.

Среди других опций вы увидите чекбоксы где можно скрыть иконку комментирования + добавить новую.

Помните, что вы также можете скрыть подменю. Например, вы хотите сохранить текущее меню + добавить новое в админ панели, но вы хотите еще при этом скрыть страницы из него, тогда просто добавьте страницы и включите пункт «деактивировать» выборочно для пользователей.

Опция администрирования (бэкенд)

Не все секции настроек плагина будут иметь чекбоксы. Опция администрирования значительно отличается от предыдущих. Она позволяет вам сделать глобальные настройки в админке для всех типов пользователей.

Первая опция здесь — это конфигурация инфо раздела для пользователей в самом верху справа панели администратора, которая находится рядом с аватаром пользователя. Вы можете выбрать либо скрыть ее, либо показать или выйти или показать только «выйти».

Следующая опция – это редиректы. Вы можете перенаправить пользователя, когда тот «кликает» на инфо раздел. Вы уже можете настроить либо перебрасываете вашего пользователя на любую другую страницу, либо оставляете по умолчанию в разделе, либо этот раздел прячете. Все это сохраняете, нажав на кнопку Update Options.

По умолчанию, когда вы работаете над постом (статьей), время публикации скрыто ссылкой, которую можно редактировать. Чтобы запланировать выпуск, вы должны нажать на ссылку редактирования, чтобы метка времени стала видимой.

В опциях администрирования вы можете сделать так, чтобы дата всегда была видимой.

Точно также, по умолчанию в WordPress вы можете скрыть некоторые из категорий в поле категории на странице редактирования записи. Вы можете управлять поведением, выбрав «Активировать» рядом с опцией «Высота категории». Тем самым вы регулируете высоту, чтобы все ваши категории отобразились.

В область футера вы можете поместить любой ваш текст или ссылку, чтобы все пользователи смогли ее увидеть на всех страницах панели управления WordPress. Сделать это можно нажатием на пункт «Advice in footer». Это может быть использовано для для брендинга, добавления шорткода, всего чего угодно.

Последняя опция в панели администрирования плагина – установка переадресации на админку wordpress. Чтобы ее использовать вам нужно деактивировать саму панель в первую очередь. Об этом мы расскажем в будущей статье.

Глобальные настройки

Секция с глобальными опциями позволяет активировать/деактивировать определенные настройки для разных ролей пользователей. Первый пункт здесь – скрыть или показать панель администратора. В отличие от варианта раздела Admin bar, который изменяет лишь верхнее меню админ панели, этот чекбокс отключит целиком всю панель для некоторых выбранных ролей пользователей.

Страница логина WordPress является одной из самых уязвимых частей Вашего веб-сайта. Конечно же, злоумышленники прекрасно знают об этом. Поэтому важной задачей любого владельца сайта является максимальная защита страницы логина.

В сети существует множество способов для решения данной задачи – разных по сложности и времени исполнения. Однако в данной статье мы поговорим о защите страницы логина WordPress с помощью плагинов.

Table of Contents

Для чего нужно защищать страницу входа WordPresss?

На страницу входа можно попасть двумя способами:

1. Введите wp-login.php в адресную строку браузера;
2. Перейдите по ссылке http://yoursite.dev/wp-admin/

Для чего хакеры и боты атакуют вашу страницу входа?

А теперь представьте себе, какая нагрузка на сайт создается при каждом таком подборе пароля и нажатия кнопки «Войти»! Обычные пользователи могут испытывать трудности при работе с сайтом, а причиной того служат роботы, перебирающие пароли. Это называется «брутфорс атака» или «атака перебора паролей».

Самый простой способ защититься от брутфорс атак – это создать уникальный адрес вашей страницы входа, то есть не wp-login, и wp-admin, а какой-то свой. Причем важно, чтобы при открытии стандартных адресов авторизации выскакивала «страница 404». Тогда бот, при попадании на такую страницу, видит «Ошибку 404» и уходит с сайта. Очень хитрый и простой способ!

Как защитить страницу входа в WordPress с помощью плагина Clearfy

Для защиты страницы логина мы будем использовать один из наших бесплатных плагинов. Первый – это плагин Clearfy со встроенной функцией защиты страницы входа WordPress. Помимо этого, в плагине присутствует множество функций для защиты, оптимизации (в том числе и SEO) и ускорения.

Защита директории wp-admin

Единственная его функция – защита страницы входа.

Заключение

В данной статье мы рассказали, почему так важно защищать страницу логина, а также рассмотрели возможности наших плагинов для решения задачи.

Исходя из поставленных целей, Вы можете выбрать, какой именно плагин Вам больше подходит – Clearfy или Hide My Login.

Помните, что своевременная и надежная защита Вашего сайта сохранит Вам массу времени и финансовых ресурсов.

Всем привет! Сегодня я расскажу о защите вашего блога или сайта на WordPress, а именно, о том, как скрыть адрес входа в админку сайта. Если вы уже искали в интернете статьи на темы: защита админки wordpress, скрыть админку wordpress и т.д., то наверняка вы видели везде одно и то же, это либо использовать различные плагины, либо заменять стандартный файл wp-login.php другим файлом с другим названием. Однако использование плагинов замедляет работу сайта, а замена файла wp-login.php не приводит к нужному результату, поскольку адрес http://ваш-сайт/wp-admin всегда перебросит на форму входа на сайт, причём в адресной строке будет прописан ваш заменённый wp-login.php.

Поэтому в этой статье вы увидите простой и универсальный способ скрыть адрес админки WordPress.

Итак, начнём. Суть способа заключается так же в замене файла wp-login.php, но сам файл останется, при запросе к нему будет выдаваться 404 ошибка. Например, изменим адрес входа в админку на adminka.php.

Открываем файл wp-login.php с помощью любого редактора, например, Notepad++. Чтобы открыть поиск слов нажимаем сочетание клавиш Ctrl + F. Выбираем вкладку «Заменить» и заменяем все слова wp-login.php на adminka.php, нажав на кнопку «Заменить всё». Затем сохраняем этот файл, так же назвав его adminka.php. Теперь можем загрузить его в директорию сайта.

У нас теперь есть по сути два файла для входа: первый — это стандартный wp-login.php, второй — это наш adminka.php. Также пока ещё будет работать вход по адресу wp-admin.

Если вы читали какие-то уже статьи по скрытию админки WordPress, то наверняка видели, что после этого шага изменяется ещё файл general-template.php в папке wp-includes. Проблема при таком способе заключается в том, что при обновлении WordpPress обновляется и данный файл, а также, если в способе удаляется или делается пустым файл wp-login.php, этот файл так же обновляется и всё приходится делать по новой, чтобы админка снова была доступна только по вашему адресу.

Я нашёл иной способ и он универсален, так как не зависит от обновлений WordPress.

Суть способа проста: нужно добавить код, который ниже, в файл functions.php вашей темы сразу после открывающего php тега. С помощью данного кода мы будем выдавать 404 ошибку при обращении по адресам wp-admin и wp-login.php, а также сделаем рабочими кнопки входа, выхода и восстановления пароля. Заметьте, что регистрация работать не будет, поэтому этот вариант подойдет только, если вы единственный пользователь вашего сайта и регистрация у вас запрещена. Иначе какой смысл менять адрес входа, если все его всё равно будут знать .

Напоминаю, наш новый адрес админки adminka.php, поэтому вначале мы определяем константу ADMIN_URL с данным значением.

Define("ADMIN_URL", "adminka.php"); add_action("init", "redirect_login_page"); add_filter("login_url", "new_wp_login_url", 10, 3); add_filter("logout_url", "new_wp_logout_url", 10, 2); add_filter("lostpassword_url", "new_wp_lostpassword_url", 10, 2); function redirect_login_page() { $page_viewed = $_SERVER["REQUEST_URI"]; if (strpos($page_viewed, "wp-login.php") !== false || (is_admin() && !(current_user_can("administrator") || current_user_can("super admin")) && !(defined("DOING_AJAX") && DOING_AJAX))) { global $wp_query; $wp_query->set_404(); status_header(404); get_template_part("404"); exit; } } function new_wp_login_url($redirect = "", $force_reauth = false) { $login_url = site_url(ADMIN_URL, "login"); if (!empty($redirect)) $login_url = add_query_arg("redirect_to", urlencode($redirect), $login_url); if ($force_reauth) $login_url = add_query_arg("reauth", "1", $login_url); return $login_url; } function new_wp_logout_url() { $args = array("action" => "logout"); $logout_url = add_query_arg($args, site_url(ADMIN_URL, "login")); $logout_url = wp_nonce_url($logout_url, "log-out"); return $logout_url; } function new_wp_lostpassword_url() { $args = array("action" => "lostpassword"); $lostpassword_url = add_query_arg($args, network_site_url(ADMIN_URL, "login")); return $lostpassword_url; }

Вот и всё! Таким простым способом мы защитили вход в админку нашего сайта, тем самым мы запретили злоумышленникам доступ к нашей админке. Теперь они даже не смогут подобрать пароль, пока не узнают адрес входа. Однако у этого способа тоже есть минус, но не такой значительный. Данный способ будет работать только с текущей темой, хотя вы всегда можете написать данный код в собственный небольшой плагин и тем самым избавиться от этого минуса.

Время на чтение: 4 мин

Еще год назад у меня очень часто нагрузка на сервер превышала предел допустимого по тарифу лимита. При этом проблема была не в самих сайтах, а банальной атаке злоумышленников на админку, с целью получить доступ для каких-то своих целей.

Сегодня я расскажу как справился с проблемой, что советую и вам сделать на всякий случай у себя.

В результате было принято решение сменить адрес формы логина в админку, а так же прикрыть админку для всех посторонних, у кого не мой IP.

Стоит заметить, что некоторые хостинг-компании сами автоматически создали для всех пользователей новый адрес админки. Если вы пользуетесь услугами подобных хостингов, то дальше не читайте статьи и не тратьте время.

Как сменить адрес админки WordPress

Раньше публиковал такую статью . Здесь вроде бы и похожий результат, но эффект и назначение другие.

Не забываем делать резервные копии файлов, с которыми работаем.

• Для начала скопируем файл wp-login.php из корня сайта (там где лежит wp-config.php) на ftp к себе на компьютер.
• Переименовываем его как душе угодно. Например vhod.php
• Открываем этот файл бесплатной программой Notepad++ (или чем вам удобнее редактировать) и подменяем все вхождения фразы wp-login.php на vhod.php .

Сделать это быстро можно нажатием сочетания клавиш CTRL+F в Notepad++. Ну а в появившемся окне вводим:

Вот так за секунду я заменил во всем файле нужное мне вхождение фразы. Попадалось оно 12 раз.

Новый файл закидываем на ftp.

Аналогичную штуку нужно будет провернуть в файле general-template.php , который найдете в папке wp-includes тут же на ftp. Т.е. меняете вхождение фразы wp-login.php на vhod.php , а само название файла не меняете!

Теперь там же в корне сайта у вас есть файл .htaccess . Тоже копируем его к себе на компьютер и открываем на редактирование (можно обычным блокнотом Windows Notepad). Вставляем такой кусок кода, который блокирует доступ всем к файлу wp-login.php

Order Deny,Allow Deny from all

< Files wp - login . php > Order Deny , Allow Deny from all < / Files >

Именно данный шаг снял нагрузку, а так же спрятал форму авторизации. Нагрузка была снята за счет вставки представленного кода в.htaccess: если шло обращение к http://site.ru/wp-login.php, то отдавало 403 ошибку, а не 404.

Повторим кратко алгоритм работы:

• Переименовываем файл wp-login.php на произвольное имя и подменяем в нем вхождения названия на новое.
• Аналогично подменяем в файле general-template.php старое название wp-login.php на новое.
• Прописываем в файле.htaccess запрет к доступу wp-login.php для всех

После обновления WordPress останется поправить только файл general-template.php. Но т.к. обновляется движок не так уж часто - это мелочь по сравнению с эффектом.

Ставим ограничение на вход по IP через.htaccess

В качестве дополнительных мер по защите сайта мною было принято ограничение на вход в админку по IP. Проблема решалась очень просто: создаем пустой файл.htaccess и добавляем в него такой код

order deny,allow allow from 192.168.0.1 deny from all

order deny , allow allow from 192.168.0.1 deny from all

Файл сохраняем и закидываем в папку wp-admin там же в корне сайта.

Вместо моего IP из примера поставьте свой настоящий. Притом можно добавить несколько IP с новой строки каждый:

order deny,allow allow from 126.142.40.16 allow from 195.234.69.6 deny from all

order deny , allow allow from 126.142.40.16 allow from 195.234.69.6 deny from all

Если IP динамический, то можете поставить цифры только до первой-второй-третьей точки: