Как скрыть адрес админки WordPress и не дать взломать свой блог
02 Сен, 2013 
Комментариев 38
Всем привет! В статье о массовых брутфорс атаках, которые стали особенно активны в начале этого лета, я описал несколько простых способов защиты админки блога от взлома. В одном из пунктов упоминался плагин wSecure Authentication, который позволяет сменить адрес админки WordPress и усложнить задачу для взломщиков. Сегодня решил написать о нем подробнее, тем более что Brute Force атаки продолжаются.
Как зайти в админку WordPress?
Многие начинающие блоггеры (и не только), чтобы не забыть адрес панели администратора устанавливают в сайдбаре виджет “Мета” с прямой ссылкой “Вход“. Запомните раз и навсегда – этот виджет не нужен на блоге, если вы не используете систему регистрации пользователей. Чтобы попасть в админку WordPress достаточно перейти по ссылке ваш-сайт.ru/wp-login.php или ваш-сайт.ru/wp-admin.
Надеюсь, все это прекрасно знают? Во всяком случае, хакеры уж точно знают и используют эти адреса для взлома админки Вордпресс. Поэтому не надо им помогать, лишний раз показывая где “Вход“. Будет лучше спрятать админку, изменив стандартные ссылки.
Как скрыть админку WordPress с помощью плагина wSecure Authentication
Для решения этой задачи существует несколько способов. Например, с помощью скрипта, как это реализовано на хостинге Макхост, или некоторых сложных плагинов, типа Better WP Security. Но я покажу самый простой способ, который не вызовет ни у кого сложностей.
Для этого установим плагин wSecure Authentication, единственной задачей которого является скрыть страницы /wp-admin и /wp-login.php и ограничить доступ в админку посторонним. Взамен мы создадим свой уникальный URL для входа в панель администратора блога WordPress.
Скачиваем плагин по ссылке _http://wordpress.org/plugins/wsecure/, устанавливаем и активируем его. Кто не знает, как установить плагин Вордпресс, тут для вас целая статья.
Переходим в меню “Настройки” – “wSecure Configuration“. Настраиваем плагин, заполнив три строчки:
- 1. Enable (Включить) – включаем плагин и ставим “Да”.
- 2. Ключ – вводим секретный ключ. Можно использовать английские буквы в разном регистре и цифры. Например, если выбрать wpMgSkz, то адрес админки WordPress будет выглядеть так: /wp-admin/?wpMgSkz. Обязательно перед ключом ставить знак вопроса.
- 3. Redirect Options (Опции перенаправления) – указываем, куда будет перенаправлен пользователь, если он введет стандартный URL входа.
По умолчанию в “Redirect Options” стоит редирект на главную страницу, но можно задать “Пользовательский путь“. Для этого выбираем в выпадающем списке “Custom Path” и вписываем любой адрес или оставляем тот, который прописан в плагине. В этом случае все будут видеть такую страницу:
Можно вообще перенаправить взломщика на специально созданную страницу и написать ему там пару ласковых слов :-).
Не забудьте сохранить настройки, нажав кнопку “Save“.
Чтобы проверить работу плагина зайдите на блог с другого браузера или почистите cookie. А то бывает, что сначала админпанель блога открывается и по новому, и по старому адресу.
Вот так просто можно изменить адрес админки WordPress, спрятав стандартный URL. Если вдобавок к этому выбрать сложный пароль, не использовать логин “admin” и установить плагин блокировки IP при подборе пароля, то это практически обезопасит ваш блог от взлома путем перебора паролей.
Что делать, если невозможно зайти в админку?
Если по каким-то причинам, после установки плагина wSecure Authentication у вас не получается попасть в админпанель блога, то не стоит паниковать. Лично у меня проблем с этим не возникало, но была похожая ситуация.
Дело в том, что некоторые хостинги, например, Макхост и Спринтхост, заботясь о безопасности сайтов своих клиентов, сами сменили стандартные адреса и предоставили альтернативные ссылки для входа в админку Вордпресс. У меня уже был установлен плагин, и по этим ссылкам меня перебрасывало на несуществующую страницу. Что делать?
Все просто:
- Заходим на хостинг с помощью FileZilla или любого другого FTP-клиента.
- Открываем директорию с плагинами /wp-content/plugins и удаляем папку wsecure.
Плагин будет деактивирован, а войти в админку можно по стандартному адресу.
В моем случае, когда хостинг снимет защиту, просто возвращаем папку wsecure на место и повторно активируем плагин. Настройки при этом сохранятся. Во всяком случае, у меня так.
Не забывайте перед любыми изменениями на блоге делать backup сайта. Это лучшая защита.
Всем пока, пошел праздновать День рождения Одессы!
Понравилась статья? Нажимай на кнопки:
Ой, спасибо… Были проблемки! Будем изучать изо всех сил!
Я себе тоже поставил wSecure Authentication по твоему совету. А вообще дыр в wordpress конечно много. Даже плагинам с офф сайта нельзя доверять. Недавно обнаружил в коде плагина crayon syntax highlighter скрытые ссылки. Плагин удалил. А то смотрю он начал обновления каждый месяц выпускать, задолбался обновлять.
Да уж, если сильно захотят, то зайдут с черного входа, через какую-то дыру. Но для таких массовых атак, защита парадного входа пригодится.
Обновления, с одной стороны, хорошо, а с другой, после них бывает вылазят косяки на блоге из-за конфликтов с другими плагинами и темой. У меня вон в табах в сайдбаре сейчас косяк.
У нас хостинг позаботился и провел работу в данном направлении. Так что надеемся, что теперь-то уж нас фиг достанешь, но плагин будем иметь ввиду, так как на хостинг надейся, а сам не плошай.
С праздничком тебя, Олеж, сколько годков Одессе стукнуло?
У меня тоже хостинг позаботился.
Одесса девочка еще, всего 219 годиков :-).
Да, Светлана, ваш хостер молодец, на любую попытку зайти в админку отвечает “You don’t have permission to access /wp-login.php/ on this server”.
С таким можете спать спокойно
Да, полезная штука…
Но всегда появляется вопрос – как при использовании плагинов не перегрузить движок, и нельзя ли плагин заменить куском кода…
Есть способ вручную поменять название нескольких файлов в разных папках, но при обновлении движка эту процедуру надо будет повторять. Я лично все время забываю, что и где изменял, поэтому плагин для меня удобнее. Не думаю, что он сильно грузит блог. Вообще, читал на зарубежном блоге, что нагрузка от плагинов – это миф. Она не больше, чем от скриптов, если плагины написаны прямыми руками.
Спасибо Олег! Слыхал про этот плагин, но всё не решался найти и установить его! Спасибо ещё раз! Кстати, с Днём Рождения Одессы!
Спасибо, Вадар!
А вот это действительно полезная вещь! Попробую и у себя админку спрятать. Спасибо!
Я у Ксаны приобрела шаблон, тут админка спрятана, очень удобно.
Ксана молодец, позаботилась о безопасности и удобстве.
Ольга, кто вам сказал, что ваша админка спрятана? Я ее вижу, была бы злобным хакером, в гости зашла
Впрочем, на блог-то сходила, красиво у вас там.
И у меня мой хостер все сделал за меня – теперь для входа в админку нужно вводить другой пароль и логин. Вначале было неудобно, но теперь уже привык и считаю это отличным решением.
Спасибо Олег, за очередной интересный пост!
Лучше немного сложностей при входе, чем проблемы потом. Поэтому я тоже уже привык.
Да, у вас все круто, чуть ли не верительные грамоты нужно предъявлять
Отличная статья, спасибо. Но у меня не вышло с этим плагином. Поставила я этот плагин, вроде все ок. Зашла пару раз по новому адресу, а больше не смогла. К хостеру обратилась, но они сказали, что ничего не делали и что я у них могу заказать платную установку этого плагина. В результате плагин я снесла и прописала запрет для всех кроме себя в файле htaccess.
У меня все работает, а на Макхосте бесплатно дают скрипт для смены адреса. В Вашем случае должен быть статичный IP, у меня динамичный и этот вариант не годится.
А как может быть админка открыта? Ее ж не видно вроде. А у меня тоже есть такое? Я просто не понимаю, как это узнать. Но никаких мета точно нет. Я их все сразу повырезала. Посмотрела, что какая-то непонятная ерунда, решила, надо выбросить непонятку вон.
Имеется ввиду, что открыт доступ к странице входа в админку сайт.ru/wp-login.php. Открывают эту страницу и начинают подбор пароля. Можно сделать так, чтобы при переходе на эту страницу выдавало ошибку и взломщик просто не знает на какой странице надо вводить пароль.
У Вас вход в админ.панель блога открыт.
Интересный плагин, но есть ведь и плагины ограничивающие набор паролей, поставьте например 3 и при неправильном 4 наборе забанит.
Когда боты долбят, то они IP меняют, как перчатки. А тут просто нет точки входа.
Приветствую, а что делать если необходим доступ зарегистрированных пользователей к сайту, как им обеспечить его? Админка тогда останется открытой и зашифрованная ссылка будет видна пользователям.
Никогда не ставил регистрацию на блоге, поэтому точно не скажу. Главное, чтобы ссылка была не видна роботу, все равно он обычно переходит по стандартному адресу.
Доброго дня. Благодарю за статью.
Плагин wSecure Authentication почему-то перестал помогать. По началу помогает — скрывает, но со временем все равно как-то определяют и начинают подбирать логин и пароль, хотя и «Ключ» очень сложным делаю. Сам в последнее время вообще наблюдаю, что по 10 раз на дню пробуют подобрать логин и пароль в админку.
По 10 раз это Вам повезло. Бывает что тысячи раз. Посмотрите в логах сервера, если при попытке входа на wp-login.php будет ответ 302, то плагин отрабатывает.
Спасибо)- сегодня займусь, вот только освобожусь от работы, а то вчера кто то совсем не хороший на меня вроде как “напал”….. ошибка 403 и надпись The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later. – на хосте мне сказали, что кто то создал нагрузку на аккаунт путем подбора паролей… Я даже думал может из-за посещаемости – Так это было уже поздно вечером… Из за этих редисок только утром посещаемость упала на 1 00 уников…. Уметь бы находить адреса этих злодеев по айпи)))
Эммм… а после установки этого плагина, нижняя ссылка – ВОЙТИ, удаляется, или ее нужно удалить отдельно?
В нижней ссылке скорее всего будет новый адрес, поэтому ее по любому надо удалить.
Посмотреть IP можно в логах сервера.
Завтра все таки нужно заняться этим плагином и удалить меню ВХОД, а то сегодня опять какой-то мудила атаковал. Сайт пол часа был не доступен – это жесть. Хорошо, что на хосте помогли, а то до сегодня я не знал, как определить вредные ip.
Олег, а как вы сделали, чтобы у вас не отображался автор постов?
Уже точно не помню как, но редактировал файлы темы, удаляя фрагменты, отвечающие за вывод автора. Главное копии сделать перед этим.
А я с некоторых пор стала вести заметки, отмечая, что, где и как редактировала. Склероз, проклятый, приходится выкручиваться
Немного нудно, конечно, все это конспектировать, но зато очень удобно потом пользоваться.
Надо записывать, причем в одном месте. А то я разных файлов с изменениями понасоздавал, а потом забываю, где их сохранил.
У меня тоже так было, но потом купила программу GoldenSection Notes, которая позволяет хранить всю информацию – и текстовую, и картинки – в древовидной форме. Плюс ссылки там активные, очень удобно. Сделала скриншот, поставила ссылку, добавила текст, положила на нужную “полочку” и все теперь под рукой. Попробуйте, сейчас эта программа уже бесплатная, скачать можно на официальном сайте _http://www.tgslabs.com/ru/gsnotes/
Спасибо! Пора наводить порядок.
А что за скрипт на Макхосте? Где можно почитать, как сменить вход в админку на Макхост?
Заранее спасибо!
Скрипт по умолчанию уже установлен на хостинге и автоматически меняет стандартный адрес. Самому ничего устанавливать не надо.