Wordpress защита админки — Всё о web
Опубликовано: 05.09.2018
Продолжаем разбирать тему безопасности сайтов. В этот раз коснёмся безопасности самой популярной ЦМС в мире.
Самый основной путь взлома любого сайта- это брутфорс админки. В первую очередь пытаются подобрать пароль к самым распространённым логинам: admin, Admin, administrator итд. Значит, первое что нужно сделать — избавиться от подобного логина.
Открываем админку сайта и заходим в меню пользователей. Открываем пользователя admin и создаём ему ник. Ниже, в выпадающей менюшке «Отображать как» выбираем созданный ник. Теперь во всех созданных страницах будет указываться не реальный логин, а псевдоним.
Защита сайта WordPress при помощи Wordfence Security
Далее, если Вы уже оставляли комментарии под администратором, нам придётся изменить имя во всех комментариях. Если комментариев не много, то можно в каждом вручную изменить имя через админку wordpress. Если же комментариев большое количество, это займёт очень много времени. Процесс можно ускорить. С помощью phpmyadmin, откройте свою базу данных, сделайте резервную копию. Далее откройте редактор sql запросов и выполните следующий запрос:
Защищаем сайт WordPress от роботов-взломщиков
UPDATE wp_comments set comment_author = 'new_name' WHERE comment_author = 'old_name' ; |
Где new_name — новый ник администратора, а old_name старое имя пользователя в комментариях.
Далее, нам нужно сменить логин администратора wordpress, с помощью которого происходит авторизация на сайте. Тут же в phpmyadmin, откройте таблицу wp_users и посмотрите id Вашего пользователя, затем выполните следующий запрос:
UPDATE wp_users SET user_login = 'new_login' WHERE ID = user_id ; |
new_login — Новый логин для администратора сайта, придумайте что-нибудь неожиданное, чтобы злоумышленникам было сложнее угадать, например: IlovePonny.
user_id — id пользователя. Для администратора, который создаётся при установке wordpress id всегда = 1
Следующий шаг в большинстве ЦМС — изменение адреса админки. Например в Opencart можно сменить адрес с mySite.ru/admin на mySite.ru/myMegoAdmin, после чего ботам в принципе не будет известен адрес админки. К сожалению, в wordpress его изменить нельзя. Адреc /wp-admin/ захардкоден во множестве функций и его изменение поломает wordpress.
Ещё существует замечательный модуль- «iThemes Security». Ставим его, заходим в его настройки и активируем следующие опции:
«Enable local brute force protection» «Disable PHP in Uploads» «Disable login error messages» «Disables a user’s author page if their post count is 0» «Enable Scheduled Database Backups» «Enable Email Lockout Notifications» «Enable Blacklist Repeat Offender» «Allow iThemes Security to write to wp-config.php and .htaccess»Также iThemes Security предлагает скрыть backend в разделе «Hide Login Area». Эта опция полностью бесполезна и скрывает точку авторизации только от живого пользователя, который пытается зайти на страницу /wp-login.php. Роботам эта страница не нужна, они могут отсылать post запросы минуя её.
После этого нам остаётся только своевременно устанавливать обновления и наш вордпресс будет жить долго и счастливо!
Поделиться "WordPress защита админки"