Страница логина WordPress является одной из самых уязвимых частей Вашего веб-сайта. Конечно же, злоумышленники прекрасно знают об этом. Поэтому важной задачей любого владельца сайта является максимальная защита страницы логина.
В сети существует множество способов для решения данной задачи – разных по сложности и времени исполнения. Однако в данной статье мы поговорим о защите страницы логина WordPress с помощью плагинов.
Table of Contents
Для чего нужно защищать страницу входа WordPresss?
На страницу входа можно попасть двумя способами:
- Введите wp-login.php в адресную строку браузера;
- Перейдите по ссылке http://yoursite.dev/wp-admin/
Для чего хакеры и боты атакуют вашу страницу входа?
А теперь представьте себе, какая нагрузка на сайт создается при каждом таком подборе пароля и нажатия кнопки «Войти»! Обычные пользователи могут испытывать трудности при работе с сайтом, а причиной того служат роботы, перебирающие пароли. Это называется «брутфорс атака» или «атака перебора паролей».
Самый простой способ защититься от брутфорс атак – это создать уникальный адрес вашей страницы входа, то есть не wp-login, и wp-admin, а какой-то свой. Причем важно, чтобы при открытии стандартных адресов авторизации выскакивала «страница 404». Тогда бот, при попадании на такую страницу, видит «Ошибку 404» и уходит с сайта. Очень хитрый и простой способ!
Как защитить страницу входа в WordPress с помощью плагина Clearfy
Для защиты страницы логина мы будем использовать один из наших бесплатных плагинов. Первый – это плагин Clearfy со встроенной функцией защиты страницы входа WordPress. Помимо этого, в плагине присутствует множество функций для защиты, оптимизации (в том числе и SEO) и ускорения.
Защита директории wp-admin
Единственная его функция – защита страницы входа.
Заключение
В данной статье мы рассказали, почему так важно защищать страницу логина, а также рассмотрели возможности наших плагинов для решения задачи.
Исходя из поставленных целей, Вы можете выбрать, какой именно плагин Вам больше подходит – Clearfy или Hide My Login.
Помните, что своевременная и надежная защита Вашего сайта сохранит Вам массу времени и финансовых ресурсов.
Если вы управляете мульти авторским блогом на WordPress или у вас несколько клиентских сайтов, которые необходимо обслуживать не только вам, но и вашим редакторам, то вам было бы интересно знать как ограничить или вообще скрыть некоторые элементы админки wordpress для ваших пользователей?
Существует множество пунктов, в которые пользователям лучше не лезть. И в этой статье я наглядно продемонстрирую как скрыть админку wordpress, а точнее ненужные для других пользователей элементы.
Совершать действия мы будем при помощи полезного плагина Adminimize, скачать который вы можете с официального сайта wordpress.
Устанавливаем и активируем плагин с админки. После активации заходим в Настройки — > Adminimize и шаманим там.
На странице настроек есть Mini меню, которое делит страницу на различные разделы для wordpress экранов администратора. Нажатие на каждую приведет вас к дополнительным опциям. Для каждого раздела вы увидите ряд элементов, которые можно дезактивировать или изменить. Так же вы заметите чек боксы с выбором ролей для ваших пользователей.
После того как вы деактивировали некоторые пункты, вам нужно нажать на «Обновить» или Update Option, которая будет ниже, чтобы сохранить изменения.
Пожалуйста обратите внимание, что изменения не будут видны на странице настроек плагина. Чтобы увидеть их в действии нужно будет открыть новую вкладку в браузере и в ней зайти в админку.
Мы покажем вам каждый элемент в Мини Меню и как его изменить.
После элемента «О плагине» идет следующий элемент Admin Bar Option (проще говоря опции администратора). Он появляется всякий раз, когда вы входите внутрь своего блога. Некоторые из его пунктов могут быть выключены или назначены для разных пользователей вашего сайта, т.е вы можете задать разные роли для своих читателей.
Первая опция позволяет вам скрыть меню пользователя и его подкатегории, которые появляются в правом верхнем углу . После этого вы заметите, что оно подсвечивается розоватым цветом. Деактивация главного меню, скрывает также и его элементы. Например вы можете отключить логотип WordPress и вместе с ним скроются все ссылки, в него входящие.
Среди других опций вы увидите чекбоксы где можно скрыть иконку комментирования + добавить новую.
Помните, что вы также можете скрыть подменю. Например, вы хотите сохранить текущее меню + добавить новое в админ панели, но вы хотите еще при этом скрыть страницы из него, тогда просто добавьте страницы и включите пункт «деактивировать» выборочно для пользователей.
Опция администрирования (бэкенд)
Не все секции настроек плагина будут иметь чекбоксы. Опция администрирования значительно отличается от предыдущих. Она позволяет вам сделать глобальные настройки в админке для всех типов пользователей.
Первая опция здесь — это конфигурация инфо раздела для пользователей в самом верху справа панели администратора, которая находится рядом с аватаром пользователя. Вы можете выбрать либо скрыть ее, либо показать или выйти или показать только «выйти».
Следующая опция – это редиректы. Вы можете перенаправить пользователя, когда тот «кликает» на инфо раздел. Вы уже можете настроить либо перебрасываете вашего пользователя на любую другую страницу, либо оставляете по умолчанию в разделе, либо этот раздел прячете. Все это сохраняете, нажав на кнопку Update Options.
По умолчанию, когда вы работаете над постом (статьей), время публикации скрыто ссылкой, которую можно редактировать. Чтобы запланировать выпуск, вы должны нажать на ссылку редактирования, чтобы метка времени стала видимой.
В опциях администрирования вы можете сделать так, чтобы дата всегда была видимой.
Точно также, по умолчанию в WordPress вы можете скрыть некоторые из категорий в поле категории на странице редактирования записи. Вы можете управлять поведением, выбрав «Активировать» рядом с опцией «Высота категории». Тем самым вы регулируете высоту, чтобы все ваши категории отобразились.
В область футера вы можете поместить любой ваш текст или ссылку, чтобы все пользователи смогли ее увидеть на всех страницах панели управления WordPress. Сделать это можно нажатием на пункт «Advice in footer». Это может быть использовано для для брендинга, добавления шорткода, всего чего угодно.
Последняя опция в панели администрирования плагина – установка переадресации на админку wordpress. Чтобы ее использовать вам нужно деактивировать саму панель в первую очередь. Об этом мы расскажем в будущей статье.
Глобальные настройки
Секция с глобальными опциями позволяет активировать/деактивировать определенные настройки для разных ролей пользователей. Первый пункт здесь – скрыть или показать панель администратора. В отличие от варианта раздела Admin bar, который изменяет лишь верхнее меню админ панели, этот чекбокс отключит целиком всю панель для некоторых выбранных ролей пользователей.
Управление сайтом WordPress почти всегда привлекает злонамеренные попытки входа в систему. Попытки грубой силы подключиться к WordPress настолько распространены, что страница в Кодексе посвященный теме. Мы вас , Вы можете взглянуть на это.
Существует много стратегий для решения этой проблемы, и лучшая стратегия заключается в развертывании нескольких стратегий. В этом уроке я объясню, как реализовать одну из самых простых стратегий: скрыть страницу входа в WordPress.
У меня есть конкретный сайт WordPress, который был установлен несколько лет назад. Это стандартная установка WordPress, работающая с типичной серией плагинов. Для доступа к странице входа все, что вам нужно сделать, это перейти к " сор-админ / "Или" /wp-login.php .
Этот сайт не видит тонны трафика. За один месяц он генерирует около 5000 просмотров страниц. Однако на странице входа в систему на удивление регулярно происходят злонамеренные попытки входа. На этом сайте включен плагин защиты Jetpack, который отслеживает количество попыток злонамеренного входа в систему. С тех пор, как модуль был добавлен в марте прошлого года, было заблокировано более попыток злонамеренного входа в систему 11.600.
Если вы немного разберетесь в математике, это будет равносильно почти злонамеренным попыткам входа в систему 800 в месяц, примерно 25 в день или попытке злонамеренного входа в систему каждые 58 минут.
Попытки подключения происходят с постоянной скоростью. Недели могут пройти без попытки злонамеренного подключения. Затем, внезапно, несколько попыток подключения записываются за короткое время, пытаясь взломать страницу входа на ваш сайт.
Почему вы должны скрывать страницу входа на свой сайт?
Что я могу вам сказать, прежде чем начать. Если ваш сайт просит других войти в систему, попытки злоумышленного входа неизбежны. Эта стратегия не будет работать для вас. В подобной ситуации вам необходимо легко найти страницу входа, чтобы пользователи могли легко использовать ваш сайт. Одна из вещей, которую вы можете сделать для борьбы со злонамеренными попытками, - это использовать плагин, который ограничивает попытки подключения.
Однако, если ваш сайт не предназначен для членской области, то в этом случае вы можете захотеть скрыть страницу входа.
Теперь давайте выясним, как вы можете скрыть страницу входа на своем сайте WordPress.
Шаг 1: установите WordPress в свой собственный каталог
Вы, наверное, уже знаете, когда и , Это не слишком сложная задача, и вы можете использовать WordPress из подкаталога, будь то новая установка или нет.
Однако, если вы хотите переместить существующую установку WordPress, прежде чем делать что-либо еще, рассмотрите возможность создания резервной копии вашего сайта.
Шаг 2: Скрыть URL-адрес страницы входа и перенаправить wp-login.php
Вы, вероятно, знаете, что стандартное поведение WordPress выглядит следующим образом: WordPress загружает страницу входа в систему при доступе к wp-login.php (поэтому http://www.example.com/wp-login.php). Если вы используете / Wp-администратора "(после вашего доменного имени в адресной строке), вы будете автоматически перенаправлены на "wp-login.php" (Так www.exemple.com/wp-login.php ).
Если вы установили WordPress в подкаталог, то вы уже сделали кое-что из того, что нужно сделать, чтобы скрыть страницу входа. Правда в том, что сейчас кто-то может найти вашу страницу входа довольно легко.
Если вы не предприняли шаги для предотвращения стандартного поведения WordPress, потому что даже если WordPress установлен в подкаталоге, если кто-то попытается получить доступ к http://example.com/wp-login.php, он будет перенаправлен на правильную страницу входа в систему, которая, например, похожа на эту http://example.com/dwiiw/wp-login.php (с dwiiw в подкаталоге ).
Следующим шагом является блокировка доступа к wp-login.php и перенаправление на страницу или страницу 404, отличную от вашей страницы входа в систему, и использование полностью настроенного URL-адреса входа, который будет трудно угадать.
Вы должны знать, что вы выберете в качестве имени. Не принимай что-то сложное. Ниже вы увидите несколько плагинов, которые помогут вам легко скрыть страницу входа.
1 - WPS Скрыть логин
Слоган говорит сам за себя: заменишь WP-login.php По твоему желанию.
Этот плагин делает только одну вещь. Это упрощает пользовательский URL, а не использует стандартный URL. Как только этот плагин установлен и активирован, " / Wp-администратора "И" /wp-login.php Недоступны, заменены пользовательским URL по вашему выбору.
С более чем активными установками 50.000 и блестящим рейтингом 4.7 на 5 star, WPS Hide Login является надежным решением, если вы хотите быстро заменить URL входа в систему.
2 - WP Hide & Security Enhancer
Основная предпосылка этого плагина заключается в том, что он маскирует тот факт, что вы используете WordPress.
Скрытие вашего сайта с использованием WordPress требует создания пользовательских URL-адресов и отключения всех стандартных URL-адресов. Этот плагин имеет больше активных установок 1000, что не является подавляющим, но это решение также будет полезно.
Cerber - довольно популярный плагин, который ограничивает попытки подключения. Он активен более чем на сайтах 10.000 и имеет выдающийся рейтинг 4.9 по звездам 5.
Как вы уже догадались, вам, вероятно, потребуется ограничить количество попыток входа в систему, даже на новой странице входа.
в конце концов
Безопасность это не то, что вы должны воспринимать легкомысленно. Если ваша страница входа не достаточно безопасна, сожаления не будут очень полезны, потому что вам, вероятно, придется переустановить свой блог ().
Начиная с сегодняшней статьи, я решил опубликовать на своем блоге сайт целый ряд статей, которые будут нацелены на то, чтобы помочь каждому владельцу сайта на WordPress, без чьей-либо посторонней помощи, а значит, совершенно бесплатно, практически максимально защитить свой сайт от взлома.
Что касается сегодняшний статьи, то в ней, пойдет речь о том, как скрыть логин администратора/админа сайта на WordPress.
Наверняка, многим будет интересно знать, зачем это вообще нужно делать? Поэтому, для начала дам ответ именно на этот вопрос, ну а потом уже, наглядно объясню, как это все дело реализовать.
Как всем известно, при публикации статей от имени администратора, ну или хотя бы, при написании ответов на комментарии, рядом с датой публикации статьи или комментария отображается логин автора. Это значит, что узнать логин администратора потенциальному взломщику в принципе не составляет особого труда. Следовательно, зная логин, он без каких-либо проблем может начать подбор пароля к вашей админке, что, собственно, не есть хорошо.
Да, несомненно, при установке движка WordPress, стандартное имя администратора, которым является — «admin», можно при желании изменить на любое, какое только душе будет угодно, что собственно многие и советуют делать для повышения безопасности. Однако, данная хитрость не позволяет полностью скрыть отображение логина админа. Причем, даже в том случае, если вы при помощи подручных средств (т.е. стандартной возможности, которая имеется в админке вордпресса), измените отображаемое имя автора при публикации статей и написании комментариев.
Кто не знает, делается это непосредственно в самой админке, а именно, в меню «Пользователи » — «Ваш профиль ». Там в графе «Отображать как » можно задать, какой именно логин (Имя+Фамилия, Ник или просто Имя или Фамилия), вместо имени пользователя, т.е. логина, который используется для входа в админку, будет отображаться в ваших публикациях и комментариях:
Многие еще советуют, для повышения безопасности, вовсе убрать вывод авторов в WordPress. Делается это при помощи правки кода в соответствующих файлах темы. Но это все равно не выход из ситуации, потому как даже если вы и уберете вывод авторов, т.е. они будут не видны, ни для кого, реальный логин админа, да и других пользователей (если они есть) тоже, все равно можно будет узнать, причем очень и очень просто.
Все дело в том, что в движке WordPress имеется так сказать не совсем полезная фишка, которая позволяет при вводе в адресной строке браузера следующего адреса — «http://vash-site.ru/?author=1 », увидеть все статьи того или иного автора на блоге, причем с отображением его реального логина, а не подмененного.
Плюс ко всему, если у вас на блоге статьи публикуются не одним автором, то меняя цифру 1 в конце адреса, на любую другую (2,3,4 и т.д.), т.е. методом перебора, можно запросто узнать и их реальные логины.
Можете удостовериться в этом, а заодно и проверить свой блог на данный недочет, добавив к своему домену (типа http://vash-site.com) вот такой вот кусок адреса «/?author=1 ». Если вы увидите в результате, что адрес изменился на следующий «http://vash-site.ru/author/ваш реальный логин », то знайте, вам стоит задумать о немедленном скрытии своего логина. Собственно, как это сделать, я далее и расскажу.
Как скрыть логин администратора/админа в WordPress?
Итак, для того чтобы стопроцентно убрать возможность узнать логин администратора в WordPress, вам нужно проделать следующее:
Найти в корне своего сайта файл «.htaccess » и отредактировать его, добавив в него перед строчкой «# END WordPress » следующие строчки кода:
RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=(*) RewriteRule ^(.*)$ http://vash-site.ru/? Redirect 301 /author http://vash-site.ruПеред редактированием, советую, на всякий случай сделать резервную копию данного файла. Ну, мало ли, вдруг, что-то не так сделаете, а так, будет возможность восстановиться.
При этом, вот этот адрес в коде — «http://vash-site.ru », вам нужно будет заменить на адрес главной страницы своего блога, хотя, если хотите, можете указать и любую другую его действующую страницу.
После введения этого кода и сохранения введенных данных, теперь при попытке узнать ваш логин, всех, кто это будет делать, выше приведенным способом, будет перебрасывать на главную страницу вашего блога, ну или на ту, которую вы укажите. Не верится? А вы проверьте, уверен, будете приятно удивлены.
Вот собственно и все, как видите, ничего сложного в скрытии логина админа в WordPress вот таким вот простым способом нет.
Ну, а для более надежной защиты своего WordPress блога от взлома, советую, вам на него установить еще и .
На этом у меня сегодня все. Но напоследок, хотелось бы отметить еще вот что. Многие почему-то думают, что пока у них ресурс еще молодой, то взламывать их никто не будет. Поверьте, это совсем не так, всегда найдется тот, кому будет интересен и полезен ваш блог. Поэтому, старайтесь сразу установить на него соответствующую защиту, и не откладывайте это дело на потом, потому что потом, может быть уже поздно.
Добрый день!
Сегодня я расскажу вам как скрыть страницу в WordPress.
Под скрытием страницы имеется в виду исключение её из общего списка страниц при выводе. Но это не означает, что эта страница не будет индексироваться поисковыми роботами. Т.е., если робот узнает об этой странице, то обязательно её проиндексирует. Это может произойти если где-то на сайте будет ссылка на эту скрытую страницу или вы или кто-то другой известит поисковик об этой странице. Вообщем, если вам нужно скрыть страницу именно от роботов, то для этих целей используйте файл .
Для чего может применяться скрытие страницы из списка вывода?
Например, при подключении поиска Яндекс или Google по сайту. Для вывода результатов поиска на сайте вам понадобится страница. По умолчанию, она будет пустой и прямой переход на неё вам не нужен.
Или, просто, у вас есть страницы, на которые вы хотите ссылаться с других страниц, но не с главной. Также, можно часть ссылок на страницы выводить в хедере, а другую часть – в футере или сайдбаре.
Ранее, я писал . Страница скрывается аналогичном способом, только для вывода списка страниц используется функция wp_list_pages .
Как узнать id страницы WordPress
Для того, чтобы скрыть страницу нам понадобится узнать её порядковый номер, который присвоен странице в базе данных (идентификатор или просто id).
Для этого и перейдите в раздел Страницы .
В списке страниц наведите курсор мыши на название той страницы, id которой нужно узнать.
В браузере внизу в информационной строке вы увидите url-адрес ссылки такого типа:
http://сайт/wp-admin/post.php?post=192&action=edit
Найдите в этой строке значение параметра post . В данном случае post=192 – это и есть id страницы. Т.е. в данном примере id страницы равно 192.
Также, чтобы увидеть этот url-адрес, можно нажать на ссылку редактирования страницы и тогда нужный url будет уже вверху в адресной строке браузера.
Еще, id страницы WordPress можно узнать непосредственно в базе данных в таблице wp_posts . Все записи, у которых post_type = "page" – это страницы. Т.е. получить список всех страниц можно следующим SQL-запросом: .
В поле ID хранится нужный нам идентификатор.
Как скрыть страницу в WordPress
Теперь, когда мы знаем id страницы, можем приступить непосредственно к скрытию этой страницы.
Список страниц в WordPress выводится с помощью функции wp_list_pages .
Откройте файл /wp-content/themes/ваш_шаблон/header.php и найдите в нем вызов функции wp_list_pages .
Вот какой код был в моем header.php:
Если вам нужно скрыть несколько страниц, то перечислите их id через запятую.
Восстановление
