Админка WordPress и способы ее защиты
Подскажите, кто и как решает вопрос защиты админки сайта WordPress. Админка WordPress с коробки не защищена от перебора паролей, не содержит каптч и ограничений на вход и подвержена всякого рода атакам, что создает неудобство для администратора, создает нагрузку на хостинге, а иногда ведет и к взлому сайта
Способов защиты админки WordPress есть великое множество. Кто какой использует и почему?
У меня ещё стоит плагин под названием Limit Login Attempts, он ограничивает попытки входа в административную панель WordPress. Плагин полностью настраиваемый, русифицирован и рекомендуется самими разработчиками движка.
Кстати, хорошая штука. Среди плюсов данного плагина можно назвать мониторинг попыток взлома. Плагин может извещать администратора Вордпресс о всех попытках взлома, указывая при этом настырные ip.
Использую плагин Captcha on Login
Плагин ставит на странице авторизации дополнительно поле Каптчу
Имеет гибкие настройки
А совместим плагин Captcha on Login с плагином Lockdown WP Admin ?
По идее, плагины должны быть совместимы. Только какой резон: ставить каптчу на засекреченный урл админки?
Можно вообще не заморачиватся установкой плагинов по защите админки в WordPress. Защититься можно и стандартными средствами на самом хостинге. Например, предоставить доступ в админку только по ай-пи. Для этого в папке wp-admin создайте файл .htaccess и внесите в него код:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WP Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all allow from xx.xx.xx.xxx </LIMIT>
Вместо xx.xx.xx.xxx подставляем свой ай-пи. Теперь при обращении к админке сайт.ру/wp-admin доступ будет запрещен всем, кроме вашего ай-пи. Дешево и сердито!
А если ай-пи не постоянный ? Я согласен, можно ввести ай-пи до региона, ну все равно есть сомнения, что вход в админку будет зависеть теперь от провайдера.
Минусы у блокировки админки по ай-пи есть. Но некоторым такой метод подходит.
У меня одна защита, изменен URL админки. Хотелось бы и мне узнать какие еще есть способы.
Каким образом изменен URL админки? Это интересно новичкам....
С помощью плагина Lockdown WP Admin.
Lockdown WP Admin изменяет урл админки Вордпресс. Но если на сайте используется авторизация, такой (секретный) урл легко вычислить злоумышленнику.
Упоминаемый здесь плагин Lockdown WP Admin весьма хорош. Но далек от совершенства! Палю тему, как узнать зашифрованный адрес админки этим плагином:
/login
Все просто.
Простая строчка делает плагин Lockdown WP Admin практически бесполезным! Браво!
Однако, можно сделать так, в файле .htaccess:
Redirect 301 /login https://www.microsoft.com
и отправить вражеские усилия на мощные сервера майкрософт!
Самая первая защита административной части WP - не использование логина admin
Никогда не используйте логин admin !!!
Это автоматически отсекает огромное число попыток всяких ботов взломать ваш сайт!
Фантастически простой и эффективный способ защитить административную часть WordPress - просто закрыть к ней доступ! Без плагинов, без громоздких защит! В первую очередь такая защита подходит для редкообновляемых сайтов! Суть в том, чтобы в .htaccess закрыть всяческий доступ к wp-login.php
В корневой файл .htaccess достаточно добавить код:
<Files "wp-login.php"> Order deny,allow Deny from All Allow from 00.00.00.00 </Files>
Разумеется, когда возникнет необходимость в работе над сайтом и авторизацией, данный код необходимо удалить из файла .htaccess! Если вы редактируете свой сайт 1 или 2 раза в год, то даже представить себе не можете, сколько атак на ваш сайт будет благополучно отбито этим простым куском кода 🙂