Админка WordPress. Часть 2. Ограничение входа и защита

Опубликовано: 01.09.2018

Здравствуйте, уважаемые читатели!

В сегодняшней статье мы продолжим рассмотрение особенностей входа в админку WordPress, а точнее, ее защите.

Нам осталось рассмотреть три вопроса:

Защита админки от брутфорс-атак; Ограничение входа с помощью блокировки ip-адреса; Смена логина и пароля через php MyAdmin.

Брутфорс-атаки – это метод взлома сайта подбором логина и пароля. Конечно, такой взлом осуществляет не конкретный человек. Перебирать тысячи вариантов логинов и паролей под силу только компьютерной программе, которая может работать быстро и не имеет ограничений по времени. Такая программа, установленная на каком-то удаленном компьютере, может непрерывно «стучаться» в админку вашего сайта, пробуя различные варианты.

Видеоурок "Админка Wordpress. Учимся управлять сайтом"

Используя специальные плагины, можно ограничить количество таких попыток. Для таких целей можно использовать плагин Limit Login Attempts.

Каковы его возможности?

Во-первых, после нескольких неправильных попыток входа с некоторого ip-адреса, этот адрес блокируется на заданное время. Во-вторых, если после этого неправильные попытки продолжаются, то этот адрес блокируется окончательно. Вы можете настроить и количество неправильных попыток и время блокировки.

Part 2 - WordPress Theme Development - How to create a Custom Admin Page

Плагин Limit Login Attempts используется очень широко, несмотря на то, что он давно не обновлялся.

Но такими же функциями обладают и некоторые другие плагины. Например, плагин iThemes Security , о котором я уже писал. (Скачать руководство по его настройке можно здесь ). Этот универсальный плагин имеет более 30 функций для защиты сайта на WordPress, в том числе и ограничение попыток входа в админку.

Еще один плагин, ограничивающий вход в админку WordPress – WordFence Security. Однако его недостатком считается то, что он слишком нагружает сервер. Его лучше использовать периодически для проверки сайта, а не постоянно.

Ограничение входа с помощью блокировки ip-адреса.

Еще один метод, с помощью которого админка WordPress защищается от посторонних посетителей, использует блокировку ip-адресов.

Каждый компьютер в сети имеет свой уникальный ip-адрес, состоящий из четырех чисел, разделенных точками, и вы можете запретить вход в админку WordPress со всех ip-адресов, кроме своего. Этот способ немного сложней, чем простое использование плагинов. Для его применения нужно уметь работать с файлами на вашем сервере.

Во-первых, сначала нужно узнать свой ip-адрес. Для этого можно воспользоваться онлайн-сервисом 2ip.ru .

Во-вторых, создать файл .htaccess в папке wp-admin.

В-третьих, в этом файле прописать следующий текст:

1 2 3

Order deny ,allow Deny from all Allow from ***.***.***.***,

Order deny,allow Deny from all Allow from ***.***.***.***,

где вместо звездочек ставится ваш ip-адрес. Обратите внимание, слова «deny,allow» пишутся без пробела.

Этот файл можно создать с помощью онлайн-редактора, обычно предоставляемого хостингом, или сначала создать его на своем компьютере с помощью текстового редактора Notepad++, и потом закачать на сервер.

Однако этот способ не всегда применим в полной мере. Дело в том, что ip-адреса бывают статические и динамические. Если у вас адрес статический, то есть не меняется со временем, вы его прописываете в файл .htaccess и тем самым закрываете вход в админку для посторонних. Но чаще всего интернет-провайдеры предоставляют пользователям динамические ip-адреса, которые изменяются при каждом новом подключении. Что же делать в этом случае? Обычно провайдеры имеют определенный диапазон ip-адресов, образующий свою подсеть. Ее мы можем оставить открытой, а остальные адреса заблокировать. Для этого в файл .htaccess вписываем только первые два числа ***.***. с точками из определенного вами ip-адреса.

Смена логина и пароля через php MyAdmin.

Логин и пароль для входа в админку WordPress хранятся в базе данных вашего сайта, и изменить их можно с помощью программы php MyAdmin, которая служит для управления БД.

Для того чтобы это сделать, нужно зайти в панель управления вашим аккаунтом на хостинге. Эти панели на разных хостингах выглядят по разному, но всегда есть пункт php MyAdmin.

Щелкнув на нем, мы попадаем в панель управления базами данных. Выбираем вкладку Базы данных, в списке баз находим свою и открываем ее.

Кстати, если вы не знаете название вашей БД, или для входа в нее от вас потребуют пароль, их предварительно можно найти в файле wp-config.php, находящемся в корневой папке сайта на сервере.

База данных состоит из нескольких таблиц, среди которых находим ту, в которой хранятся логин и пароль. По умолчанию она называется wp-users, но если вы каким-то образом, например, с помощью плагина iThemes Security, изменяли префикс, то вместо wp будет другой набор символов.

После открытия этой таблицы вы увидите логин и пароль.

Не удивляйтесь, что вместо известного вам пароля будет другой. Дело в том, что в базе пароль хранится в зашифрованном виде. Теперь вы можете изменить свои данные. Для этого щелкаем на кнопке Изменить и в поле логин вводим новое имя.

Прежде чем вводить пароль, в выпадающем списке перед паролем нужно выбрать MD5 для того, чтобы новый пароль был также зашифрован.

После этого сохраняем изменения и пробуем войти в админку WordPress с новыми данными.

На этом пока заканчиваю. В следующей статье будет краткий обзор админ-панели WordPress. Подпишитесь на обновления блога , чтобы не пропустить ее и последующие материалы.

Напишите, была ли статья полезной для вас. Поделитесь с другими, используя кнопки социальных сетей.