Wie sichern Sie Ihr WordPress-Administrator-Login? Primitive Maßnahmen und WPS Hide Login. So verbergen Sie unnötige Elemente im WordPress-Adminbereich mit Adminimize WP Hide Post – zusätzliche Sichtbarkeitsoptionen in WordPress

Wir sind natürlich leidenschaftlich und stolz auf Wordpress, aber manchmal ist es besser, die Tatsache zu verbergen, dass unsere Website auf dieser Plattform läuft. Von Zeit zu Zeit werden darin (sowie in Themes oder Plugins) kritische Sicherheitslücken entdeckt. Warum also einem Angreifer auf der Suche nach einer Lücke einen zusätzlichen Hinweis geben?

In dieser Rezension möchte ich über einige der meiner Meinung nach besten Plugins sprechen, die zuverlässig sind verbirgt die Anmeldeseite im WordPress-Administrationsbereich. Dies wird als weitere Barriere gegen einige Brute-Force-Angriffe dienen. Auf diese Weise, wenn jemand zu.../wp-admin oder.../wp-login geht. , erhalten Sie einen 404-Fehler. Kannst du Stellen Sie die Anmeldeseite auf eine andere Adresse ein.

Die von uns überprüften Plugins umfassen kostenpflichtige und kostenlose Produkte, ich empfehle jedoch die Verwendung von Premium-Plugins, insbesondere das beliebteste und meistverkaufte Hide My WP-Plugin.

Verstecke mein WP

Verstecke mein WP schützt vor beliebten Brute-Force-Angriffen auf Wordpress-Seiten. Es kontrolliert den Zugriff auf PHP-Dateien und blockiert 90 % der XSS- und SQL-Injection-Angriffe. Darüber hinaus wird Ihre Website für einige Wordpress-orientierte Bots unsichtbar.
Generell gehört Hide My WP zur Must-Have-Kategorie und ist sein Geld auf jeden Fall wert!

Kosten: 23 $

Modale Anmeldung für WordPress

Dieses Plugin ist nicht nur verbirgt das Standard-Anmeldeformular im WordPress-Administrationsbereich, sondern bietet auch in der Form eine ebenso funktionale Alternative modalformbasiert.
Weitere bemerkenswerte Merkmale sind:

1. Aktualisieren des Plugins über das WordPress-Admin-Panel
2. Editor kompatibel mit Tablet-Geräten
3. Einfache und übersichtliche Oberfläche
4. Nach der Anmeldung auf eine andere Seite umleiten
5. Admin- und Login-Umschreibung (Festlegen alternativer Adressen)
6. Aktivierung des Modus „Standort im Umbau“.

Kosten: 21 $

Lockdown WP Admin

Durch die Sperrung von WP Admin ist das Verwaltungsverzeichnis /wp-admin/ für einen nicht angemeldeten Benutzer unzugänglich. Ein Versuch, direkt zu diesem Verzeichnis zu navigieren, führt zu einem 404-Fehler. Die Anmelde-URL selbst kann mit demselben Plugin geändert werden.

Kostenlos

WPS-Anmeldung ausblenden

WPS Hide Login ist ein sehr leichtes Plugin, mit dem Sie schnell und sicher anmelden können Ändern Sie die Anmeldeadresse im WordPress-Administrationsbereich. Gleichzeitig ändert oder benennt das Plugin keine Systemdateien und legt keine Umleitungsregeln fest. Es fängt einfach Anrufe auf den entsprechenden Seiten ab. Wenn das Plugin deaktiviert wird, kehrt Wordpress in seinen ursprünglichen Zustand zurück.

Kostenlos

Wenn Sie einen Blog mit mehreren Autoren auf WordPress verwalten oder mehrere Kundenseiten haben, die nicht nur von Ihnen, sondern auch von Ihren Redakteuren gepflegt werden müssen, dann wären Sie daran interessiert zu erfahren, wie Sie einige Elemente des WordPress-Administrators einschränken oder sogar ausblenden können für Ihre Benutzer?

Es gibt viele Punkte, in die Nutzer nicht eingreifen sollten. Und in diesem Artikel werde ich anschaulich zeigen, wie man den WordPress-Administrationsbereich bzw. Elemente, die für andere Benutzer unnötig sind, ausblendet.

Wir führen Aktionen mit dem nützlichen Adminimize-Plugin durch, das Sie von der offiziellen WordPress-Website herunterladen können.

Installieren und aktivieren Sie das Plugin über das Admin-Panel. Gehen Sie nach der Aktivierung zu Einstellungen -> Verwalten und üben Sie dort etwas Schamanismus.

Auf der Einstellungsseite gibt es ein Minimenü, das die Seite in verschiedene Abschnitte für die WordPress-Administratorbildschirme unterteilt. Wenn Sie auf die einzelnen Optionen klicken, gelangen Sie zu weiteren Optionen. Für jeden Abschnitt sehen Sie eine Reihe von Elementen, die Sie deaktivieren oder ändern können. Sie werden auch Kontrollkästchen mit einer Auswahl an Rollen für Ihre Benutzer bemerken.

Nachdem Sie einige Elemente deaktiviert haben, müssen Sie unten auf „Aktualisieren“ oder „Aktualisierungsoption“ klicken, um die Änderungen zu speichern.

Bitte beachten Sie, dass Änderungen auf der Seite mit den Plugin-Einstellungen nicht sichtbar sind. Um sie in Aktion zu sehen, müssen Sie einen neuen Tab im Browser öffnen und dort zum Admin-Panel gehen.

Wir zeigen Ihnen jeden Punkt im Minimenü und wie Sie ihn ändern können.

Nach dem Element „Über das Plugin“ kommt das nächste Element, Admin Bar Option (mit anderen Worten, Administratoroptionen). Es erscheint immer dann, wenn Sie sich bei Ihrem Blog anmelden. Einige seiner Elemente können deaktiviert oder verschiedenen Benutzern Ihrer Website zugewiesen werden, d. h. Sie können Ihren Lesern unterschiedliche Rollen zuweisen.

Mit der ersten Option können Sie das Benutzermenü und seine Unterkategorien ausblenden, die in der oberen rechten Ecke angezeigt werden. Danach werden Sie feststellen, dass es rosafarben leuchtet. Durch das Deaktivieren des Hauptmenüs werden dessen Elemente ebenfalls ausgeblendet. Sie können beispielsweise das WordPress-Logo deaktivieren und alle darin enthaltenen Links verschwinden mit ihm.

Neben anderen Optionen sehen Sie Kontrollkästchen, mit denen Sie das Kommentarsymbol ausblenden und ein neues hinzufügen können.

Denken Sie daran, dass Sie Untermenüs auch ausblenden können. Sie möchten beispielsweise das aktuelle Menü speichern + ein neues zum Admin-Panel hinzufügen, aber auch Seiten darin ausblenden, dann einfach Seiten hinzufügen und die Option „Deaktivieren“ selektiv für Benutzer aktivieren.

Administrationsmöglichkeit (Backend)

Nicht alle Abschnitte mit den Plugin-Einstellungen verfügen über Kontrollkästchen. Die Verwaltungsmöglichkeit unterscheidet sich deutlich von den vorherigen. Es ermöglicht Ihnen, im Admin-Panel globale Einstellungen für alle Benutzertypen vorzunehmen.

Die erste Möglichkeit besteht hier in der Konfiguration des Benutzerinfo-Bereichs ganz oben rechts im Admin-Panel, der sich neben dem Benutzer-Avatar befindet. Sie können wählen, ob Sie es ausblenden, anzeigen oder beenden möchten oder nur „Beenden“ anzeigen möchten.

Die nächste Option sind Weiterleitungen. Sie können den Benutzer umleiten, wenn er auf den Infobereich „klickt“. Sie können es bereits konfigurieren, indem Sie Ihren Benutzer entweder auf eine andere Seite umleiten, ihn standardmäßig im Abschnitt belassen oder diesen Abschnitt ausblenden. Speichern Sie dies alles, indem Sie auf die Schaltfläche Update-Optionen klicken.

Wenn Sie an einem Beitrag (Artikel) arbeiten, wird der Veröffentlichungszeitpunkt standardmäßig durch einen bearbeitbaren Link ausgeblendet. Um eine Veröffentlichung zu planen, müssen Sie auf den Bearbeitungslink klicken, damit der Zeitstempel sichtbar wird.

In den Verwaltungsoptionen können Sie das Datum immer sichtbar machen.

Ebenso können Sie in WordPress standardmäßig einige Kategorien im Kategoriefeld auf der Beitragsbearbeitungsseite ausblenden. Sie können das Verhalten steuern, indem Sie neben der Option „Kategoriehöhe“ die Option „Aktivieren“ auswählen. Dadurch passen Sie die Höhe so an, dass alle Ihre Kategorien angezeigt werden.

Sie können jeden Ihrer Texte oder Links im Fußzeilenbereich platzieren, sodass alle Benutzer ihn auf allen Seiten des WordPress-Dashboards sehen können. Dies können Sie tun, indem Sie auf den Punkt „Beratung in der Fußzeile“ klicken. Dies kann zum Branding, zum Hinzufügen eines Shortcodes usw. verwendet werden.

Die letzte Option im Plugin-Admin-Panel besteht darin, Weiterleitungen zum WordPress-Admin-Panel festzulegen. Um es nutzen zu können, müssen Sie zunächst das Panel selbst deaktivieren. Darüber werden wir in einem zukünftigen Artikel sprechen.

Globale Einstellungen

Im Abschnitt „Globale Optionen“ können Sie bestimmte Einstellungen für verschiedene Benutzerrollen aktivieren/deaktivieren. Der erste Punkt hier ist das Ein- oder Ausblenden des Admin-Panels. Im Gegensatz zur Abschnittsoption „Adminleiste“, die nur das obere Menü des Admin-Panels ändert, deaktiviert dieses Kontrollkästchen das gesamte Panel für einige ausgewählte Benutzerrollen.

Die WordPress-Anmeldeseite ist einer der anfälligsten Teile Ihrer Website. Natürlich sind sich Angreifer dessen bewusst. Daher ist es eine wichtige Aufgabe eines jeden Websitebesitzers, die Anmeldeseite so gut wie möglich zu schützen.

Im Internet gibt es viele Möglichkeiten, dieses Problem zu lösen – unterschiedlich in Komplexität und Ausführungszeit. In diesem Artikel werden wir jedoch über den Schutz der WordPress-Anmeldeseite mithilfe von Plugins sprechen.

Inhaltsverzeichnis

Warum müssen Sie Ihre WordPress-Anmeldeseite schützen?

Es gibt zwei Möglichkeiten, zur Anmeldeseite zu gelangen:

1. Geben Sie wp-login.php in die Adressleiste Ihres Browsers ein;
2. Folgen Sie dem Link http://yoursite.dev/wp-admin/

Warum greifen Hacker und Bots Ihre Anmeldeseite an?

Stellen Sie sich nun vor, welche Art von Belastung auf der Website mit jeder dieser Passwortauswahlen und dem Drücken der Schaltfläche „Anmelden“ entsteht! Normale Benutzer können bei der Arbeit mit der Website auf Schwierigkeiten stoßen. Der Grund dafür ist, dass Roboter versuchen, Passwörter zu erraten. Dies wird als „Brute-Force-Angriff“ oder „Passwort-Brute-Force-Angriff“ bezeichnet.

Der einfachste Weg, sich vor Brute-Force-Angriffen zu schützen, besteht darin, eine eindeutige Adresse für Ihre Anmeldeseite zu erstellen, also nicht wp-login oder wp-admin, sondern etwas Eigenes. Darüber hinaus ist es wichtig, dass beim Öffnen von Standard-Autorisierungsadressen eine „404-Seite“ angezeigt wird. Wenn der Bot dann auf einer solchen Seite landet, sieht er „Fehler 404“ und verlässt die Website. Eine sehr clevere und einfache Möglichkeit!

So sichern Sie Ihre WordPress-Anmeldeseite mit dem Clearfy-Plugin

Zur Sicherung der Anmeldeseite verwenden wir eines unserer kostenlosen Plugins. Das erste ist das Clearfy-Plugin mit integrierter WordPress-Anmeldeseitensicherheit. Darüber hinaus enthält das Plugin viele Funktionen zur Absicherung, Optimierung (u.a. SEO) und Beschleunigung.

Schutz des wp-admin-Verzeichnisses

Seine einzige Funktion besteht darin, die Anmeldeseite zu schützen.

Abschluss

In diesem Artikel haben wir erklärt, warum es so wichtig ist, die Anmeldeseite zu schützen, und haben uns auch die Möglichkeiten unserer Plugins zur Lösung des Problems angesehen.

Basierend auf Ihren Zielen können Sie auswählen, welches Plugin am besten zu Ihnen passt – Clearfy oder Hide My Login.

Denken Sie daran, dass Sie durch den rechtzeitigen und zuverlässigen Schutz Ihrer Website viel Zeit und finanzielle Ressourcen sparen.

Hallo zusammen! Heute werde ich über den Schutz Ihres Blogs oder Ihrer Website auf WordPress sprechen, insbesondere darüber, wie Sie die Anmeldeadresse für den Site-Administrationsbereich verbergen. Wenn Sie bereits im Internet nach Artikeln zu den Themen „WordPress-Administrationsbereich schützen“, „WordPress-Administratorbereich ausblenden“ usw. gesucht haben, dann haben Sie wahrscheinlich überall das Gleiche gesehen: Entweder andere Plugins verwenden oder den Standard-WP-Login ersetzen. php-Datei mit einer anderen Datei mit einem anderen Namen. Die Verwendung von Plugins verlangsamt jedoch die Site und das Ersetzen der Datei wp-login.php führt nicht zum gewünschten Ergebnis, da die Adresse http://Ihre-Site/wp-admin Sie immer zum Site-Login weiterleitet Formular aus, und Ihr ersetztes Formular wird in die Adressleiste wp-login.php geschrieben.

Daher sehen Sie in diesem Artikel eine einfache und universelle Möglichkeit, die WordPress-Administratoradresse zu verbergen.

Also, fangen wir an. Der Kern der Methode besteht auch darin, die Datei wp-login.php zu ersetzen, die Datei selbst bleibt jedoch erhalten, und wenn Sie sie anfordern, wird ein 404-Fehler angezeigt. Ändern wir beispielsweise die Admin-Anmeldeadresse in adminka.php.

Öffnen Sie die Datei wp-login.php mit einem beliebigen Editor, zum Beispiel Notepad++. Um die Wortsuche zu öffnen, drücken Sie die Tastenkombination Strg + F. Wählen Sie den Reiter „Ersetzen“ und ersetzen Sie alle Wörter wp-login.php durch adminka.php, indem Sie auf die Schaltfläche „Alle ersetzen“ klicken. Speichern Sie dann diese Datei und nennen Sie sie ebenfalls adminka.php. Jetzt können wir es in das Site-Verzeichnis hochladen.

Wir haben jetzt im Wesentlichen zwei Anmeldedateien: Die erste ist die Standard-wp-login.php, die zweite ist unsere adminka.php. Außerdem funktioniert die Anmeldung bei wp-admin weiterhin.

Wenn Sie bereits Artikel zum Ausblenden des WordPress-Admin-Panels gelesen haben, haben Sie wahrscheinlich gesehen, dass nach diesem Schritt auch die Datei general-template.php im Ordner wp-includes geändert wird. Das Problem bei dieser Methode besteht darin, dass bei der Aktualisierung von WordPress auch diese Datei aktualisiert wird, und auch wenn die Datei wp-login.php in der Methode gelöscht oder leer gemacht wird, wird diese Datei ebenfalls aktualisiert und alles muss erneut durchgeführt werden dass das Admin-Panel wieder nur an Ihrer Adresse verfügbar ist.

Ich habe einen anderen Weg gefunden und er ist universell, da er nicht von WordPress-Updates abhängt.

Der Kern der Methode ist einfach: Sie müssen den folgenden Code direkt nach dem öffnenden PHP-Tag zur Datei „functions.php“ Ihres Themes hinzufügen. Mit diesem Code geben wir beim Zugriff auf die Adressen wp-admin und wp-login.php einen 404-Fehler aus und sorgen außerdem dafür, dass die Schaltflächen zum Anmelden, Abmelden und zur Passwortwiederherstellung funktionieren. Bitte beachten Sie, dass die Registrierung nicht funktioniert. Daher funktioniert diese Option nur, wenn Sie der einzige Benutzer Ihrer Website sind und die Registrierung für Sie nicht zulässig ist. Was bringt es sonst, die Eintragsadresse zu ändern, wenn sie sowieso jeder kennt?

Ich möchte Sie daran erinnern, dass unsere neue Administratoradresse adminka.php lautet. Daher definieren wir zunächst die ADMIN_URL-Konstante mit diesem Wert.

Define("ADMIN_URL", "adminka.php"); add_action("init", "redirect_login_page"); add_filter("login_url", "new_wp_login_url", 10, 3); add_filter("logout_url", "new_wp_logout_url", 10, 2); add_filter("lostpassword_url", "new_wp_lostpassword_url", 10, 2); function redirect_login_page() ( $page_viewed = $_SERVER["REQUEST_URI"]; if (strpos($page_viewed, "wp-login.php") !== false || (is_admin() && !(current_user_can("administrator") || current_user_can("super admin")) && !(definiert("DOING_AJAX") && DOING_AJAX))) ( global $wp_query; $wp_query->set_404(); status_header(404); get_template_part("404"); Exit ; ) ) function new_wp_login_url($redirect = "", $force_reauth = false) ( $login_url = site_url(ADMIN_URL, "login"); if (!empty($redirect)) $login_url = add_query_arg("redirect_to", urlencode( $redirect), $login_url); if ($force_reauth) $login_url = add_query_arg("reauth", "1", $login_url); return $login_url; ) function new_wp_logout_url() ( $args = array("action" => "logout"); $logout_url = add_query_arg($args, site_url(ADMIN_URL, "login")); $logout_url = wp_nonce_url($logout_url, "logout"); return $logout_url; ) function new_wp_lostpassword_url() ( $args = array("action" => "lostpassword"); $lostpassword_url = add_query_arg($args, network_site_url(ADMIN_URL, "login")); return $lostpassword_url; )

Das ist alles! Auf diese einfache Weise haben wir den Zugang zum Admin-Panel unserer Website geschützt und so verhindert, dass Angreifer auf unser Admin-Panel zugreifen. Jetzt können sie das Passwort erst dann erraten, wenn sie die Anmeldeadresse kennen. Allerdings hat diese Methode auch einen Nachteil, der jedoch nicht so gravierend ist. Diese Methode funktioniert nur mit dem aktuellen Theme, obwohl Sie diesen Code jederzeit in Ihr eigenes kleines Plugin schreiben und so dieses Minus beseitigen können.

Lesezeit: 4 Min

Noch vor einem Jahr überstieg die Auslastung meines Servers sehr oft die vom Tarif erlaubte Grenze. Darüber hinaus lag das Problem nicht in den Websites selbst, sondern in einem banalen Angriff von Angreifern auf das Admin-Panel, um sich für einige ihrer eigenen Zwecke Zugriff zu verschaffen.

Heute erzähle ich Ihnen, wie ich mit dem Problem umgegangen bin. Ich empfehle Ihnen, dies für alle Fälle zu Hause zu tun.

Aus diesem Grund wurde beschlossen, die Adresse des Anmeldeformulars im Admin-Panel zu ändern und das Admin-Panel für alle Fremden zu schließen, die nicht über meine IP verfügen.

Es ist erwähnenswert, dass einige Hosting-Unternehmen selbst automatisch eine neue Admin-Adresse für alle Benutzer erstellt haben. Wenn Sie die Dienste solcher Hosting-Dienste nutzen, lesen Sie keine weiteren Artikel und verschwenden Sie keine Zeit.

So ändern Sie die WordPress-Administratoradresse

Ich habe bereits einen solchen Artikel veröffentlicht. Hier scheint es ein ähnliches Ergebnis zu geben, die Wirkung und der Zweck sind jedoch unterschiedlich.

Vergessen Sie nicht, Sicherungskopien der Dateien zu erstellen, mit denen Sie arbeiten.

• Kopieren Sie zunächst die Datei wp-login.php aus dem Stammverzeichnis der Site (wo sich wp-config.php befindet) per FTP auf Ihren Computer.
• Benennen Sie es nach Belieben um. Zum Beispiel vhod.php
• Öffnen Sie diese Datei mit dem kostenlosen Programm Notepad++ (oder einem anderen Programm, das Sie bequemer bearbeiten können) und ersetzen Sie alle Vorkommen des Ausdrucks wp-login.php durch vhod.php.

Sie können dies schnell tun, indem Sie in Notepad++ STRG+F drücken. Geben Sie im angezeigten Fenster Folgendes ein:

Also ersetzte ich in einer Sekunde das Vorkommen der Phrase, die ich brauchte, in der gesamten Datei. Es kam 12 Mal vor.

Wir laden die neue Datei auf FTP hoch.

Ähnliches muss in der Datei general-template.php durchgeführt werden, die Sie im Ordner wp-includes direkt dort auf FTP finden. Diese. Ändern Sie das Vorkommen der Phrase wp-login.php in vhod.php, aber ändern Sie nicht den Dateinamen selbst!

Jetzt haben Sie dort im Stammverzeichnis der Site eine .htaccess-Datei. Wir kopieren es auch auf unseren Computer und öffnen es zur Bearbeitung (Sie können einen normalen Windows-Notizblock verwenden). Wir fügen einen Code ein, der den Zugriff aller auf die Datei wp-login.php blockiert

Befehl Verweigern, Erlauben Verweigern von allen

< Files wp - login . php > Befehl verweigern, zulassen Abgelehnt von allen < / Files >

Es war dieser Schritt, der die Belastung erleichterte und auch das Autorisierungsformular verbarg. Die Belastung wurde durch das Einfügen des präsentierten Codes in .htaccess erleichtert: Wenn http://site.ru/wp-login.php aufgerufen würde, würde ein 403-Fehler ausgegeben, kein 404.

Wiederholen wir kurz den Betriebsalgorithmus:

• Benennen Sie die Datei wp-login.php in einen beliebigen Namen um und ersetzen Sie die Vorkommen des Namens durch einen neuen.
• Ebenso ersetzen wir in der Datei general-template.php den alten Namen wp-login.php durch den neuen.
• Wir registrieren in der .htaccess-Datei ein Zugriffsverbot für wp-login.php für alle

Nach dem Update von WordPress muss nur noch die Datei general-template.php korrigiert werden. Aber weil Die Engine wird nicht sehr oft aktualisiert – das ist im Vergleich zum Effekt eine Kleinigkeit.

Wir haben eine Einschränkung für die Anmeldung über IP über .htaccess festgelegt

Als zusätzliche Maßnahme zum Schutz der Website habe ich eine Einschränkung für die Anmeldung beim Admin-Panel über IP eingeführt. Das Problem wurde ganz einfach gelöst: Erstellen Sie eine leere .htaccess-Datei und fügen Sie den folgenden Code hinzu

Befehl verweigern, zulassen, zulassen von 192.168.0.1, von allen verweigern

Befehl verweigern, zulassen ab 192.168.0.1 zulassen abgelehnt von allen

Wir speichern die Datei und legen sie im wp-admin-Ordner an derselben Stelle im Stammverzeichnis der Site ab.

Geben Sie anstelle meiner IP aus dem Beispiel Ihre echte ein. Darüber hinaus können Sie mehrere IPs mit jeweils einer neuen Zeile hinzufügen:

Befehl verweigern, zulassen, zulassen von 126.142.40.16, zulassen von 195.234.69.6, verweigern von allen

Befehl verweigern, zulassen zulassen ab 126.142.40.16 ab 195.234.69.6 zulassen abgelehnt von allen

Wenn die IP dynamisch ist, können Sie Zahlen nur bis zum ersten, zweiten oder dritten Punkt eingeben: