12 шагов по защите админки WordPress

Доброго времени суток!

В этой статье я бы хотел рассказать про двенадцать шагов по защите админки WordPress.

Вообще, безопасность, самая популярная тема, но ней очень многие пренебрегают.

С WordPress очень легко создать блог или веб-сайт.

Тем не менее, бывают случаи (число которых увеличивается с каждым днем), когда люди страдают из-за того, что не обращают внимания на функции безопасности веб-сайта или блога WordPress.

Есть масса случаев, когда вы заглядываете на сайты фрилансеров, где сайты и блоги людей взламывают, и они просят помочь им.

Эти инциденты показывают, что, когда вы не обращаете внимания на безопасность своего веб-сайта WordPress, есть вероятность, что он может быть атакован хакерами.

Чтобы избежать этих случаев, вам необходимо защитить свою админку WordPress и страницу входа в систему.

В этой статье я собираюсь предоставить вам информацию о способах и шагах по защите самой сложной области вашего сайта WordPress, «административной области WordPress».

Давайте начнем.

Почему разумно изменить URL-адрес страницы входа

URL-адрес вашей страницы входа в WordPress (или «URL-адрес администратора») — это веб-адрес, который вы посещаете, когда хотите получить доступ к внутренней части вашего веб-сайта.

Вы знаете эту страницу — если вы не настроите страницу входа, она будет выглядеть примерно так …

По умолчанию все сайты WordPress используют идентичные структуры URL-адресов для этой страницы.

Например, если домен вашего веб-сайта «www.mysite.com», вы можете войти в систему, посетив «www.mysite.com/wp-login.php» или «www.mysite.com/wp-admin».

Это позволяет легко запомнить, как получить доступ к вашему сайту.

Однако недостатком является то, что любой, кто знает о WordPress первое, может быстро найти вашу страницу входа.

Как только они его обнаружат, хакеры могут попытаться взломать его.

С другой стороны, если вы измените URL-адрес на что-то, что трудно угадать, вы замедляете работу тех же хакеров, затрудняя поиск вашей страницы входа.

Кроме того, изменение URL-адреса страницы входа имеет дополнительное преимущество, так как оно может устранить значительный расход ресурсов ботов на ваш сайт.

1. Измените имя пользователя администратора по умолчанию и выберите надежный пароль.

Если вы устанавливаете WordPress, никогда не позволяйте учетной записи администратора по умолчанию быть как «admin».

Это настолько предсказуемо, чтобы попытаться провести атаку перебором паролей или любую другую атаку.

Здесь, даже если вы измените свое имя пользователя «admin» как «iamadmin», это может создать чертовски большую разницу и избавить вас от множества проблем.

Но не используйте это имя, это пример, чтобы показать, как изменение имени администратора может иметь значение.

Что касается паролей, всегда следуйте руководству WordPress.

Когда вы вводите пароль под полем ввода, он показывает, насколько надежен ваш пароль.

Всегда делайте свой пароль надежным в этом отношении.

Теперь, даже если ваш веб-сайт не предоставляет хакеру никаких финансовых привилегий, это не мешает хакеру попытаться получить доступ к вашему сайту.

Позвольте мне представить вам простой сценарий, который довольно часто встречается на сайтах WordPress.

Взгляните на рисунок ниже:

Как видите, попытки взлома одного веб-сайта WordPress совершаются за один день.

Итак, как видно из рисунка, все попытки блокировки нацелены на имя пользователя «admin».

Итак, я думаю, что здесь я изложил свою точку зрения.

Возникает вопрос, почему они продолжают попытки?

Одна из наиболее ведущих и наиболее преобладающих причин заключается в том, что «WordPress не имеет запретительного основного правила ни для одного из атакующих».

Так что, если вы ничего не сделаете, они не перестанут пытаться.

Это подводит нас к следующему пункту.

2. Создайте настраиваемые ссылки для входа

Совершенно очевидно, что для доступа к административной панели WordPress все, что нужно сделать, это ввести URL-адрес сайта с «/wp-login.php» на конце.

Теперь, если вы использовали один и тот же пароль более чем в одном месте, и он оказался под угрозой, хакеру будет легко взломать ваш сайт.

Плагин под названием «Stealth Login» позволяет создавать пользовательские URL-адреса для входа, выхода, администрирования и регистрации для вашего блога WordPress.

Вы также можете включить «Скрытый режим», который предотвратит прямой доступ пользователей к «wp-login.php».

Затем вы можете установить более загадочный URL-адрес для входа.

Это не обеспечит идеальной защиты вашего веб-сайта, но если кому-то удастся взломать ваш пароль, им будет сложно найти, где на самом деле войти в систему.

Это также предотвращает доступ любых ботов, которые используются для злонамеренных действий, к вашему файлу «wp-login.php», пытаясь прорваться.

3. Ограничьте количество попыток входа в систему

В конце предыдущего пункта я сказал, что WordPress не запрещает никому из пользователей безуспешно пытаться войти в учетную запись.

Следовательно, вы должны ограничить вход в свою административную область и заблокировать пользователя.

Например на какое то определенное время, иначе он будет бесконечно пытаться угадать доступы для вашего блога или сайта WordPress.

Для этой цели вы можете использовать такие плагины, как Wordfence Security, WP Limit Login Attempts и Login LockDown.

Ниже приведен снимок экрана с WP Limit Login, поскольку я в настоящее время его использую и вам рекомендую.

Итак, когда вы вводите неправильные учетные данные, это выглядит так:

Перейдем к следующему пункту:

4. Принудительно использовать SSL на страницах входа и в области администратора

Бывают случаи, когда вы входите на свой сайт WordPress через общедоступную сеть.

Это один из случаев, когда вы можете подвергнуться атаке «Man-in-the-middle attacks».

Хакеры могут прослушивать трафик и получать доступ к вашему HTTP-запросу.

Получив доступ к вашему запросу в WordPress, они смогут увидеть ваши учетные данные WordPress в виде обычного текста.

Этого можно избежать, используя вход через SSL. Вход через SSL позволяет вашему сайту WordPress быть доступным через HTTPS.

Обычно ваши услуги хостинга предоставляют это в вашей подписке.

Если нет, то вам нужно купить сертификат SSL и установить его на сервере вашего сайта.

Возможно, вы захотите проверить некоторые варианты в некоторых магазинах сертификатов SSL, таких как Cheap SSL Shop.

Если у вашего веб-сайта уже есть сертификат SSL и он работает по протоколу HTTPS, откройте файл «wp-config.php» и отредактируйте его, вставив следующий код:

// Используйте SSL (HTTPS) для страницы входа в систему.
define('FORCE_SSL_LOGIN', true);
// Используйте SSL (HTTPS) для всей административной области.
define('FORCE_SSL_ADMIN', true);

Константа «FORCE_SSL_LOGIN» гарантирует, что страница входа открывается только по HTTPS.

И константа «FORCE_SSL_LOGIN» ставит на второе место безопасное соединение во всей админке WordPress.

5. Защита паролем каталога «wp-admin»

Нет ничего плохого в наличии двух паролей.

Это просто добавляет еще один уровень безопасности в вашу админку WordPress.

Также это можно сделать с помощью плагина под названием «AskApache Password Protect».

Он шифрует ваш пароль и создает файл «.htpasswd», а также устанавливает правильные разрешения для файлов с повышенной безопасностью для всех.

Вы также можете использовать защиту паролем cPanel для каталога, если вы используете веб-хост cPanel для защиты каталога «wp-admin» паролем.

6. Установите CAPTCHA на странице входа

Использование CAPTCHA в области администрирования может снизить количество попыток взлома, поскольку это предотвращает автоматические сценарии перебора паролей или любую другую автоматическую возможность атаки на вашу страницу входа.

Перейдите на панель управления, затем в «Плагины — Добавить новый» и введите «CAPTCHA».

Вы получите множество плагинов WordPress для включения CAPTCHA на странице входа в систему.

В настоящее время я использую плагин Captcha от BestWebSoft.

У этого плагина более 7 000 активных установок и хороший рейтинг.

Этот плагин создает новую область на вашей странице входа.

Простая активация этого плагина создаст изображение CAPTCHA, без которого никто не сможет войти в систему, даже зная имя пользователя и пароль.

Это эффективно блокирует автоматизированные атаки методом перебора паролей.

Взгляните на приведенный скриншот утилиты плагина.

Помимо этого, вы также можете выбрать плагины капчи, такие как «Really Simple CAPTCHA», «Login No Captcha reCAPTCHA» и «Captcha Code».

7. Удалите сообщение об ошибке на странице входа в систему

Когда вы вводите неправильный пароль или неверное имя пользователя, вы получаете сообщение об ошибке на странице входа.

Поэтому, если хакер делает что-то правильно, сообщение об ошибке поможет ему определить это.

Поэтому вам следует полностью удалить это сообщение об ошибке.

Открой свой файл «functions.php», найдя его в папке вашей темы и вставьте следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

Плагин «Secure WordPress» также выполняет это и имеет другие функции. И вот результат:

8. Разрешить вход только с определенных IP-адресов

Прежде чем продолжить этот момент, я хочу внести ясность.

Я рекомендую этот шаг только тем, у кого статический IP-адрес.

Если вы знаете свой IP-адрес, добавьте его в белый список, используя файл «.htaccess» из вашей папки «wp-admin».

Тем не менее, вы можете разрешить многим IP-адресам входить в вашу админку, но все же я рекомендую только владельцам статических IP-адресов.

Чтобы внести IP-адрес в белый список, вам нужно открыть папку «wp-admin», отредактировать файл с именем «.htaccess» и просто добавить следующие коды:

order deny, allow
 # Замените 99.99.99.99 на желаемый IP-адрес
allow from 99.99.99.99
 # Разрешите большему количеству IP-адресов доступ к области wp-admin, расскомментировав строку ниже и отредактировав IP-адрес
 # allow from 98.98.98.98
deny from all

Как видите, измените 99.99.99.99 на желаемый IP-адрес, аналогично и для второго IP-адреса.

Если вы не добавите IP-адрес и они попытаются получить доступ к вашей админке, они получат следующее сообщение:

9. Добавьте дополнительный уровень с помощью двухфакторной аутентификации

Вы можете использовать двухфакторную аутентификацию, чтобы добавить дополнительный уровень безопасности в админку WordPress.

Чтобы применить его на своем веб-сайте, вам просто нужно установить и активировать плагин.

При поиске двухфакторной аутентификации на странице плагинов веб-сайта WordPress вы увидите следующие результаты:

10. Используйте зашифрованный пароль для входа

Если у вас не включен SSL, этот метод пригодится.

Существует плагин, который позволяет вам выполнять эту работу, и он называется «Semisecure Login Reimagined».

«Semisecure Login Reimagined» повышает безопасность процесса входа в систему с помощью открытого ключа RSA для шифрования пароля на стороне клиента, когда пользователь входит в систему.

Затем сервер расшифровывает зашифрованный пароль с помощью закрытого ключа.

Для включения шифрования требуется JavaScript.

11. Одноразовый пароль

Плагин «WP-OTP» позволяет вам войти в свой блог WordPress, используя пароли, действительные только для одного сеанса.

Одноразовые пароли предотвращают кражу вашего основного пароля WordPress в менее надежных средах, таких как интернет-кафе, например, с помощью клавиатурных шпионов.

12. Обновите WordPress до последней версии

И последнее, но не менее важное — это оставаться в курсе последних версий WordPress, потому что после выпуска каждой версии WordPress также выпускает ошибки и эксплойты предыдущей версии, что подвергает вашу админ-панель риску, если вы не обновитесь.

Подведем итоги этой статьи

WordPress очень прост в использовании, и поэтому он всем нравится.

Но мы забываем, что эта простота функциональности может быть жестокой, если кто-то другой обнаружит доступ к вашему сайту.

Итак, я рекомендую выполнить все шаги, которые я упомянул выше в статье.

Кроме того, использовать эту технику на удивление просто.

Фактически, это займет у вас всего несколько минут, если вы воспользуетесь правильным инструментом.

Установив такой плагин, как «WPS Hide Login», вы можете изменить URL-адрес своей страницы входа в настройках панели управления и увидеть, как изменения вступят в силу немедленно.

Если у вас возникнут какие-либо проблемы, просто дайте мне знать через комментарии, и я помогу вам решить эту проблему.

На этой ноте я буду заканчивать.

Не забудьте подписаться на рассылку новых статей по WordPress.

До скорых встреч и берегите себя!