WordPress изменить адрес админки


izmenit-stranicu-logina-wor

Здравствуйте дорогие друзья! Недавно, от службы поддержки хостинга мне пришло письмо о том, что блог подвергся брут атаке подбора пароля, и они сменили страницу входа.

Спустя несколько дней страница перестала работать, и я обратился к ним с этим вопросом. Ответили мне довольно быстро. Написали, что восстановили стандартную страницу входа и попросили как можно быстрее ее сменить.

Выяснилось, что в последнее время участились атаки по подбору пароля к панелям администраторов CMS WordPress и Joomla. Злоумышленники используют десятки тысяч IP-адресов, что дает им большое преимущество.

Пользователи Joomla могут дополнительно защитить свой сайт, установив на папку administrator логин и пароль. Как это сделать уточните у своего хостера.

Тем, кто использует WordPress, рекомендую менять стандартную страницу логина (wp-login.php) вручную или с помощью плагина.

Сначала хотел предложить пару плагинов, но перепробовав несколько на тестовом сайте, понял, что зря убил время. Не устроило следующее:

  •  Плагины давали больше возможностей, чем мне было необходимо.
  • Работа плагинов не устраивала. Она зависела, например, от того установлен блог в поддиректорию или директорию.
  • Нужно много времени на поиск и тестирование работы плагина.

Думаю, вы также помните, что я не приветствую плагины, поэтому разберем, как изменить адрес входа в админку WordPress вручную.

wp-login.php находится в корневой папке WordPress.

 

Для того, чтобы переименовать файл wp-login.php (тем самым изменить страницу входа) вам потребуется:

  • Измените название файла wp-login.php на свое (например, 123-abc.php)
  • Скопируйте это название, откройте переименованный файл 123-abc.php и с помощью текстового редактора замените все слова wp-login.php на 123-abc.php.
  • Откройте файл wp-includes/general-template.php и также произведите замену всех wp-login.php на 123-abc.php.

После этих несложных манипуляций адресная строка входа в панель администратора изменится с http://site.ru/wp-login.php на http://site.ru/123-abc.php

Если вы используете стандартный виджет «Мета» — удалите его, так как при наведении на ссылку «Войти» виден URL страницы входа, которую вы изменили.

Этими действиями мы изменили адрес админ-панели, а далее я расскажу «Как скрыть URL входа админ-панели WordPress«.

Вот такой, маленький по объему, но надеюсь полезный по содержанию пост.

dayafternight.ru


Устанавливаем Lockdown WordPress Admin

1) Зайдите в раздел плагины. 2) Добавить новый.

Wordpress изменить адрес админки

3) Введите в форму поиска название плагина — Perfect Paper Passwords и нажмите на кнопку «Поиск плагинов»:

Wordpress изменить адрес админки

4) Теперь перед Вами появился список плагинов. Находим там Lockdown WP Admin (у меня он в списке первый). И нажимаем «Установить».

Wordpress изменить адрес админки

5) На следующей странице нажимаем активировать плагин. Вот и все, с установкой разобрались. Теперь давайте настроим плагин.

Настройка Lockdown WordPress Admin


1) Для начала зайдите в настройки плагина. В меню слева у Вас должен появиться раздел Lockdown WP. Нажимаем на него:

Wordpress изменить адрес админки

2) Далее на странице настроек заполните все также как у меня. Только адрес входа в админ панель сделайте свой. Изменить его можно под заголовком «WordPress Login URL». В общем посмотрите скриншот, так Вам будет понятнее :-):

Wordpress изменить адрес админки

(картинка кликабельна)

3) После этого не забудьте сохранить настройки. И самое главное, сами не забудьте адрес к админ панели :-).

Заключение

Вот мы с Вами и защитили самое уязвимое место блога. Почему? Да потому что на странице авторизации расположена форма для ввода логина и пароля, есть ссылки на страницу регистрации и страницу для сброса и восстановления пароля. Поэтому именно опасные запросы к странице входа чаще всего являются той лазейкой, через которую злоумышленники пытаются попасть в блог. Но если Вы воспользуетесь данным способом, Вам не придется так сильно беспокоиться об этом.

ВНИМАНИЕ!!!


В ходе эксплуатации плагина одним из наших пользователей был замечен огромный баг этого плагина. Если вводить адрес к админке с двойным ‘/’ (например: http://site.ru//wp-login.php) открывается страница доступа в админ панель! С Уважением, Сидоренко Александр! Хочется развлечься, расслабиться, в общем, отдохнуть! Посетите сайт http://cazinoland.ru/!

webexpertu.ru

Сделайте бэкап

Чтобы изменить страницу логина, надо сделать изменения в файле .htaccess. Ошибка в одной букве может положить весь сайт, поэтому сделайте бэкап файла .htaccess и папки с темой.

Бекап можно сделать на хостинге, — сделайте полный бекап, или проверьте, что последний автоматический бекап был после последних изменений на сайте.

Вы можете сделать бэкап с помощью плагинов, например, UpdraftPlus или All in One Migration.

Если у вас на сайте есть посетители, вы можете протестировать изменение URL авторизации на локальном или техническом сайте.

В первом способе вы сделаете изменения в файле .htaccess, во втором — изменения в файлах .htaccess и functions.php. После любого из этих способов надо будет скрыть старую страницу входа в админку Вордпресс …/wp-login.php.

Файл .htaccess находится в корневой папке сайта, файл functions.php находится в папке темы.

Как изменить страницу авторизации в Вордпресс


Способ 1. Редактирование файла .htaccess

Добавьте код в самое начало файла .htaccess для одиночной установки Вордпресс и после этих строк в Мультисайт установке:

Добавьте этот код:

Измените myloginpage11 в строке 2 на свой адрес, по которому вы хотите иметь страницу логина на сайт. Если вы ничего не измените, то страница входа на сайт будет мой-сайт.ru/myloginpage11.

Измените 123456qwerty в строках 2 и 7 на что-нибудь свое. Это секретный ключ, который может содержать только латинские буквы и цифры.

Сохраните файл и проверьте сайт. Если вы получили ошибку сервера 500, значит, вы где-то допустили ошибку. Просмотрите изменения еще раз или начните заново.

Если сайт работает, но изменения не применились, сбросьте кеш в браузере и попробуйте еще раз.

Способ 2. Редактируем файл .htaccess и functions.php

Вставьте код в самом начале файла .htaccess в одиночной установке или после этих строк в Мультисайт установке:

Добавьте этот код:

Замените myloginpage22


на свой адрес. Если вы оставите как есть, то новый адрес входа на сайт будет мой-сайт.ru/myloginpage22.

Сохраните файл и проверьте, как работает сайт. Если у вас ошибка 500, попробуйте найти ошибку или начните сначала.

После этого можно начать пользоваться этим адресом входа в админку, но если вы хотите, чтобы Вордпресс начал везде использовать этот адрес в качестве адреса входа на сайт, надо добавить снипет в файл  functions.php дочерней темы или добавьте код в плагин, который добавит код в текущую тему.

Добавьте этот код в functions.php:

Код из форума техподдержки Вордпресс. Измените myloginpage22 на ваш адрес, который вы добавили в .htaccess.

Все готово, можно проверить. Добавьте виджет с мета информацией в сайдбар и нажмите на ссылку входа на сайт. Если вы все сделали правильно, вы должны попасть на новую страницу входа на сайт.

Как скрыть старую страницу входа на сайт wp-login.php

Новая страница входа на сайт будет дополнительной мерой безопасности сайта, но без запрета доступа к стандартной странице wp-login.php это не имеет смысла.

Как скрыть страницу wp-login.php от посетителей читайте здесь.

techbear.ru


Дело в том, что взломать сайт хотят не обязательно посетители Вашего сайта или Ваш злейший враг. Это делают различные боты, которые созданы для того, чтобы потом на сайте размещать свои ссылки или спам комментарии, без удаления. Даже если сейчас у Вас с сайтом все хорошо, то можете для интереса посмотреть на логи в админчасти управления хостингом, если Ваш хостер дает такую возможность. Если увидите там что какой-то адрес, пытающийся по несколько раз в секунду зайти по адресу:

ваш_сайт.com/wp-admin

ваш_сайт.com/wp-login.php

Это означает, что скорее всего, какой-то бот подбирает пароли для доступа к Вашему сайту. По своему опыту скажу, что такое у меня лично бывает 1 — 2 раза в неделю. Я периодически посматриваю логи и если обнаруживаю IP адрес, который грузит сайт обращениями к админке по несколько раз в секунду, сразу блокирую ему доступ к сайту через .htaccess. Как это делать читайте в этой статье

Когда у Вас разрешена регистрация на сайте, значит Ваши посетители имеют доступ к странице входа и тогда нужно контролировать вот таким методом. Но есть еще один способ.

Он хорошо подходит когда есть возможность регистрации и еще лучше когда ее нет. Тогда к странице входа будете иметь доступ только Вы. Суть способа в том, чтобы изменить те адреса доступа к странице входа, что указаны Выше, на свой, абсолютно уникальный.


Если разрешите регистрацию, то конечно посетители будут знать этот адрес, но боты, которые настроены на стандартные страницы, отпадут сразу. Если регистрации нет, кроме Вас никто не попадет на страницу 100%. Чтобы изменить адрес входа на сайт WordPress, нужно открыть файл .htaccess в корне сайта, потом в конце него добавьте код, который указан ниже.

  # BEGIN Hide console URL  <IfModule mod_rewrite.c>  RewriteEngine On     RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key [R,L]     RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$  RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key&redirect_to=/wp-admin/ [R,L]     RewriteRule ^custom_admin_url/?$ /wp-admin/?your_secret_key [R,L]     RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax.php  RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/wp-admin  RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/wp-login.php  RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/custom_admin_url  RewriteCond %{QUERY_STRING} !^your_secret_key  RewriteCond %{QUERY_STRING} !^action=logout  RewriteCond %{QUERY_STRING} !^action=rp  RewriteCond %{QUERY_STRING} !^action=postpass  RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$  RewriteRule ^.*wp-admin/?|^.*wp-login.php /not_found [R,L]     RewriteCond %{QUERY_STRING} ^loggedout=true  RewriteRule ^.*$ /wp-login.php?your_secret_key [R,L]  </IfModule>  # END Hide console URL  

Чтобы все заработало, нужно заменить несколько элементов. Они встречаются по несколько раз, так что будьте внимательны.


  1. custom_admin_url – это Ваш новый URL — адрес входа в админчасть и просто входа на сайт. Придумайте свой адрес. Например myadmin и тд.
  2. yoursite.com – адрес вашего сайта, без http://. Меняем на свой.
  3. your_secret_key – это нужно заменить на придуманный Вами секретный ключ. Это должна быть строка из букв и цифр написанных в случайном порядке.Например heirwzjzxeovs154ui и тд.

Теперь страница входа будет доступна по адресу ваш_сайт.com/custom_admin_url, в конце ваша новая ссылка, например — ваш_сайт.com/myadmin.

ОЧЕНЬ ВАЖНО! Иногда метод не работает. Я проверил на 2 разных хостингах, на одном сработало на втором нет. Пока что решить проблему, почему не везде работает, мне не удалось.

27.04.2016 Есть еще способ и суть его в том, чтобы изменить название самого файла. Сначала полностью закрываем доступ к wp-login.php. Чтобы этого сделать, добавьте в .htaccess следующий код:

  <Files wp-login.php>  Order Deny,Allow  Deny from all  </Files>  

Теперь в корне сайта, найдите файл wp-login.php и сделайте его копию. Копию нужно переименовать, например mylog.php. Потом открываем новый mylog.php и внутри него везде где встречается wp-login.php меняем на mylog.php. Теперь чтобы войти, нужно вбивать в адресной строке — ваш_сайт.com/mylog.php.


Возможно, после обновления WordPress, если поменяется содержимое внутри — wp-login.php, придется повторить процедуру. Но пока код не поменяяется, все будет работать. Так же иногда нет возможности выйти из учетной записи.

Теперь когда, кто-то будет пытаться зайти по старым адресам ваш_сайт.com/wp-admin и ваш_сайт.com/wp-login.php, будет попадать на страницу с 404 ошибкой. Зайти можно только по новой ссылке.

Кому поможет, буду рад, у кого не получится, возможно Вы найдете решение и поделитесь своим достижением ?

На этом все, спасибо за внимание. ?

gnatkovsky.com.ua

меняю адрес админкиИзменить адрес админки WordPress оказалось довольно просто, даже не представлял себе, что это возможно сделать за 3 минуты и… для этого необходимо отредактировать всего 2 файла.

Но для начала пару слов напишу, чтобы Вы осознавали некоторые проблемы управления блогом после изменения адреса администраторского раздела блога:

  • Вы может банально забыть новый адрес, и увидев 5 раз 404 страницу, подумаете, что Ваш блог взломан, уворован, хостер упал.
  • Можете неосторожно внести изменения в файл, что нарушит работу блога
  • После обновления CMS WordPress нужно опять производить нижеописанную процедуру изменения адреса админ-панели.

Но если все же решили пройти все шаги защиты блога от взлома сделайте это:

Найдите файл wp-login.php, он находиться в корневой папке блога, откройте программой NotePad++

Найдите файл general-template.php, он находиться в подкаталоге wp-includes, откройте программой NotePad++

В этих документах найдите все слова wp-login.php (1). К примеру в дистрибутиве движка версии 3,6,1 их:

В файле wp-login.php – 10 ( строки 252, 425, 437, 453, 479, 503, 541, 552, 562, 694)

В файле general-template.php – 5 (244, 264, 287, 318, 361)

Пример:

изменить адрес админки на блоге

Замените их на любое другое имя, к примеру: vxodnablog.php.

После сохранения всех внесенных изменений, нужно файл wp-login.php переименовать на vxodnablog.php. Чтобы зайти в админ-панель нужно в адресной строке набрать

http://domen.com/vxodnablog.php,

в моем случае domen.com заменяю на seomans.ru

После изменения адресной строки админки Вашего блога WordPress не используйте стандартный виджет «Мета» — так как при наведении курсора мыши на анкор «Войти» виден новый URL страницы входа.

вот эту процедуру мне пришлось пройти после того, как я обнаружил посторонние файлы у себя на сервере, об этом случае писал в этой заметке.

seomans.ru

Доступ в админ панель WordPress стандартными путями.

Для того чтобы перейти в административную панель сайта Вордпресс, как правило, к адресу (url) сайта добавляется wp-admin.

Вид такой ссылки:

http://domen.ru/wp-admin

Введя такой адрес, любой желающий перейдёт на страницу входа в админ панель. И, может, методом подбора пытаться получить доступ к сайту.

Доступ к wp-admin

В интернете много информации по поводу редиректа со страницы wp-admin. Информация полезная и позволяет отсеять таких любопытных посетителей, которые не знаю, что доступ на страницу входа в административную панель WordPress осуществляется по следующему адресу:

http://domen.ru/wp-login.php

И предыдущий скриншот наглядно демонстрирует этот url. Так как после перехода по адресу http://domen.ru/wp-admin происходит переадресация на страницу входа wp- http://domen.ru/login.php?pass=1

И вот этот самый адрес знают и атакуют злобные боты.

А, значит, нам нужно изменить страницу входа и правильно настроить перенаправление.

Как изменить страницу входа в админ панель Вордпресс.

Для этого нам потребуется стандартный файл, отвечающий за вывод формы доступа к админ панели: wp-login.php.

Шаг 1.

Открываете содержимое вашего сайта, через файловый менеджер или через ftp-соединение. И копируете файл wp-login.php к себе на компьютер.

Копируем wp-login на комп

Шаг 2.

— Переименовываете файл, имя подбираете так, чтобы вам было удобно использовать его для входа в админ панель, но при этом оно должно быть довольно сложным для подбора. В качестве примера я переименовал этот файл в 123.php (вы так не делайте). ?

— Открываете файл в редакторе кода Notepad++.

— Нажимаете комбинацию клавиш CTRL+F (поиск и замена).

— Перейдите к закладке «Заменить», в поле «Найти» введите wp-login.php, а в поле «Заменить на» введите название файла (в моём примере – это 123.php) и нажмите кнопку «Заменить всё».

Замена в файле wp-login.php

Всего должно быть 12 замен.

— Сохраняете изменения в файле.

— Копируете файл обратно на хостинг.

Копируем файл на хостинг

Всё. Теперь доступ на страницу входа в админи панель доступен по адресу:

http://domen.ru/123.php

Но, он также доступен и по старым адресам:

http://domen.ru/wp-admin

http://domen.ru/login.php

А, значит, нужно исключить доступ к странице входа по старым адресам.

Как настроить редирект (перенаправление) с wp-admin и wp-login.php.

Для того чтобы по старым адресам страница входа в админ панель была недоступна и при этом не выдавала ошибку 404, нужно настроить простой редирект на главную страницу сайта.

Для настройки редиректа будем использовать файл функции темы (functions.php). Но, при этом, если вы смените тему, то редирект перестанет работать. Это вы должны помнить. В качестве альтернативы можно использовать плагин и тогда ваши доработки будут не тронуты при смене темы. Как создать такой плагин читайте здесь.

Предупреждение: перед началом работ сделайте резервную копию файла functions.php.

Итак, открываете административную панель Вордпресс – «Внешний вид»«Редактор»«Функции темы». Пролистывайте файл вниз. Внизу этого файла будет либо окончание функции (}), либо закрытие кода php (?>).

Окончание файла functions.php

Если у вас заканчивается файл (?>), значит, удаляете эти символы и вставляете функции редиректа. Если файл заканчивается очередной функцией, то ниже этой функции вставляете предложенные ниже коды.

Редирект с wp-admin:

/*редирект с wp-admin*/ add_action( 'init', 'blockusers_init' );  function blockusers_init() {  if ( is_admin() && ! current_user_can( 'administrator' ) &&  ! ( defined( 'DOING_AJAX' ) && DOING_AJAX ) ) {  wp_redirect( home_url() );  exit;  }  }

После добавления этой функции, при вводе адреса http://domen.ru/wp-admin будет происходить переадресация на главную страницу http://domen.ru. У этого кода есть особенность, если кроме админа на сайте есть авторы и редакторы, тогда код нужно дополнить.

Редирект с wp-login.php:

/*редирект с wp-login.php*/ function redirect_login_page() {       $page_viewed = basename($_SERVER['REQUEST_URI']);          if( $page_viewed == "wp-login.php?pass=1" ) {           wp_redirect( home_url() );           exit;       }   }   add_action('init','redirect_login_page');

А эта функция не даст добраться к странице входа по адресу http://domen.ru/wp-login.php. Потому как тоже будет перенаправлять на главную страницу сайта, всех желающих перейти по этому адресу.

Редирект при нажатии на кнопку «Выйти»:

/*редирект после выхода из админ панели*/ function logout_page() {       $login_page  = home_url( 'wp-admin' );       wp_redirect( $login_page . "?loggedout=true" );       exit;   }   add_action('wp_logout','logout_page');

Это нужно только для зарегистрированных пользователей. Чтобы после выхода в адресной строке не оставалось информационного мусора. Наглядно я показываю это в видеоуроке.

В итоге ваш файл функции темы будет выглядеть так:

Готовые функции редиректа

Можете смело проверять. Попасть на страницу входа и в административную панель вы сможете только по адресу домена и имени файла, который вы создали в начале урока. В моём случае это 123.php.

Единственный момент, если ваш сайт установлен не в корневой папке, тогда после входа вы не будете перенаправляться в админ панель, а будете оставаться на главной странице сайта. При этом административная панель станет доступна в верхней части экрана (как обычно после авторизации и работе с сайтом).

А теперь предлагаю посмотреть наглядную инструкцию в видеоформате.


На этом я заканчиваю. Устанавливайте защиту на свои сайты и спите спокойно. Безусловно, если будут вопросы, обращайтесь в комментариях, я постараюсь помочь. Также советую обратить внимание на плагин Clearfy, который поможет защитить ваш сайт и устранить ещё два десятка ошибок.

Друзья, желаю вам удачи и хорошего настроения. До встречи в новых статьях.

С уважением, Максим Зайцев.


    Похожие статьи по теме:

  • ХакСкан — проверка сайта на вирусы
  • Главная страница WordPress – настройка и редактирование
  • Как изменить адрес сайта в WordPress: технические тонкости
  • Лучшие плагины для WordPress, которые я использую на своём блоге
  • Выбор шаблона WordPress – 5 критериев хорошего шаблона

1zaicev.ru

Защита WordPress от внешних атак

1. Изменяем стандартный логин admin на свой.

Первое что намнужно сделать — это изменить стандартный логин, который нам предлагается системой, на свой. Придумайте какой нибудь свой логин. Чем уникальнее, тем лучше. Изменить логин админа можно либо на стадии установки движка, либо если вы этого не сделали, зайдя в панель управления базы данных PHPMyAdmin.

Для этого логинимся на хостинге. На главной стнанице кабинета находим Защита WordPress от взломов. Жмем. Далее переходим по сылочке «Базы данных mySQL». Находим свою базу данных и доступы к ней. Защита WordPress от взломов.Ищем похожую ссылочку и переходим по ней. При этом запоминаем номер сервера базы данных, он написан после «mysql», в данном случае «90». У вас может быть другой. Защита WordPress от взломов.Вводим логин и пароль с предыдущей страницы и входим в панель управления базой данных. Если в списке будет несколько записей, выбираем имя с нашей базой данных. Защита WordPress от взломов.Затем в списке выбираем wp_users. Далее жмем «Изменить» и зменяем «user_login» на свой. User_nicname можете тоже изменить, но его в случае чего, можно изменить из админки. После внесенных изменений, не забываем нажать кнопочку «Ок», что бы сохранить изменения.

Защита WordPress от взломов.
Некоторые темы отображают логин пользователя, который опубликовал запись. А вданном случае на этом месте будет отображен nicname. Вот такой, маленький секрет.

2. Измените пароль входа в админку на более сложный.

В данном пункте стоило бы отметить, что в репозитории плагинов существуют дополнения, которые ограничивают количество попыток ввода плагина допустим до трех-пяти раз. После чего на некоторое время блокируют доступ к админке, а после определенного количества неправильных вводов, могут заблокировать доступ на совсем. Примеры таких плагинов Limit Login Attempts или Login LockDown.

Устанавливать их на свой блог или нет — это ваше личное дело, но чем больше плагинов вы установили на свой блог, тем медленнее будет его работа. В дальнейших публикациях мы более конкретно рассмотрим данный вопрос.

А пока давайте придумаем сложный пароль для защиты нашей админки от попыток взлома. Пароль должен состоять из букв, цифр, знаков препинания и спецсимволов. Оптимальная длина пароля 15-20 символов. Изменить пароль вы можете в настройках профиля. Для этого в админке переходите «Пользователи»-«Ваш профиль»

Защита WordPress от взломов.

Ищем раздел «Управление учётной записью». В новых версиях WordPress появилась кнопочка генерации пароля автоматически. Т.е. нажав на кнопочку «Создать пароль», вы сможете получить надежный пароль, который для вас сгенерирует система. Можете оставить его таким, можете придумать свой. Это уже на ваше усмотрение.

Защита WordPress от взломов.

Главное запишите его где нибудь, потому что запомнить эту ересь очень тяжело :). И записывать желательно не в текстовый файлик на компьютере, а в блокнотик, который будет лежать возле монитора. Либо воспользоваться какой нибудь программой для хранения паролей. После изменений не забудьте нажать кнопочку «Обновить профиль». На этом данный пункт можно считать выполненным. Идем дальше.

3. Удаляем файлы WordPress, которые для работы блога не нужны.

Защита WordPress от взломов.Подключившись к хостингу с помощью FTP, в корне сайта вы можете увидеть файлы license.txt и readme.html. Смело удаляем их. Для работы блога они совершенно не нужны, а вот злоумышленникам могут очень даже пригодиться в их нехорошем деле. Если вы установили мулитиязычную версию движка, то у вас могут присутствовать созвучные файлы по типу licenza.html, licencia.txt,  liesmich.html, redme-ya.html. Так же смело удаляем их без зазрения совести. Да и вообще, любые текстовые файлы в корневой директории движка для его работы и не нужны. Если есть еще какие файлы, загляните в них.

Чтобы немного усложнить жизнь нашим недоброжелателям, необходимо удалить информацию об версии движка, который у вас установлен. Для этого в админке переходим по ссылочкам «Внешний вид» — «Редактор»Защита WordPress от взломов.

В правом меню выбираем header.phpЗащита WordPress от взломов.

С помощью поиска нужно найти строчку (вызвать поиск можно нажав комбинацию Ctrl+F) :

Либо подобную ей. И удалить ее. Не зачем злоумышленникам знать, какая версия движка у вас установлена.
Если данной строки в коде нет это хорошо. Но это еще не все. Данный код может и не находиться в файле header.

Чтобы убедиться в отсутствии данных о версии движка. Нужно на любом, пустом, месте открытой страницы блога нажать правой кнопкой мыши и выбрать «Исходный код страницы» (для браузера Firefox)Защита WordPress от взломов.

И выполнить аналогичный поиск по коду данной страницы. Если данный код присутствует, то вам немного не повезло, и данные мета поля генерируются скорее всего в файле function.php. Работу с данным файлом мы рассмотрим в одной из следующих статей. Если же упоминаний нет, можете спать спокойно Защита WordPress от взломов.

4. Регулярно делаем резервные копии.

Одним из важных факторов сохранности сайта является наличие резервных копий как самого сайта, так и базы данных. Если вы регистрировали хостинг по ссылкам в предыдущих статьях, то вам в принципе бояться нечего, т.к. у данного хостера существует периодическое автоматическое резервное копирование и случись что, вы смодете всегда получить доступ к автоматическим резервным копиям.

Автоматические резервные копии должен делать каждый, более — менее вменяемый хостер. Но стопроцентно надеяться на хостера не стоит. И нужно лично позаботится о сохранности данных. Т.к. на написание статей для блога вы потратите скорее всего не один день своей жизни. И будет очень обидно, если все в один миг пропадет.

Резервное копирование можно делать как вручную, так и использовать сторонние плагины. Одним из неплохих и довольно популярных является UpdraftPlus — Backup/Restore. Его установку и настройку мы рассмотрим в одной из следующих статей. Он хорош тем, что позволяет выгружать резервные копии либо на сторонний FTP, либо на облачное хранилище, либо даже может отправить вам на e-mail. В общем это уже как настроите. К тому же базовые функции абсолютно бесплатны.

5. Закрываем обзор дирректорий WordPress.

Проверяем доступ к дирректориям:
1. http://ваш_блог/wp-content/
2. http://ваш_блог/wp-content/plugins/

Если перед вами пустая страница, то ничего предпринимать не нужно и можете пропустить данный пункт. Если же вы видите внутреннее содержимое дирректории то делаем следующее. Нужно в файл .htaccess добавить строку

Сделать это можно несколькими способами
1. Подключиться к сайту по FTP и изменить файл.
2. Установить плагин Yoast SEO — он нам пригодится для SEO оптимизации сайта и в нем есть встроенный редактор для файлов .htaccess

Настройку данного плагина мы рассмотрим в одной из следующих статей, пока нам нужет только редактор. Для установки плагина переходим по ссылке «Плагины» — «Установить новый»

Защита WordPress от взломов.

В поле «Поиск плагинов» вбиваем Yoast SEO далее установить и активирова.

В левом меню у вас должна появиться ссылочка SEO. Переходим по ссылочке «SEO — Инструменты»

Защита WordPress от взломов.

И выбираем «Редактор файлов». Перед нами заветный файлик .htaccess. Вносим изменения и нажимаем «Сохранить изменения». Проверяем еще раз доступ к дирректориям. Вы должны увидеть пустой лист.

6. Меняем стандартную страницу входа в админку.

Защита WordPress от взломов.Одним из способов защиты WordPress, да и любого другого движка, является изменение стандартного пути к админке. Т.е. по умолчанию ссылка на админку выглядит следующим образом http://ваш_сайт/wp-admin И пройдя по этому пути, злоумышленник сможет попытаться взломать ваш сайт. А если админки по этому пути он не увидит, то мы хоть немного, но усложним ему жизнь

Давайте изменим ее на другой, какой вы захотите. Есть несколько способов это сделать. Самый легкий из них — установить какой нибудь плагин. Допустим Protected wp-login. Но если вы читали мои предыдущие публикации, то знаете, что я не сторонник всевозможных плагинов и в своей практике стараюсь максимально от них избавляться. Нет, есть конечно случаи, когда плагин — лучший выход, но не в этом случае. Ведь проделать то, что мы хотим можно и не используя сторонних плагинов.

И так. Вручную изменить путь к админке можно тоже несколькими способами. В одном из них нам поможет уже известный нам файлик .htaccess. Открываем его, как открывали выше для изменения доступа к дирректориям и дописываем туда следующие строки:

admin_url – замените название, на какое захотите. По этому адресу будет доступна ваша админка.

Например: SuperNight.ru/admin_url

secret_key – вместо данной строки придумайте сложный ключ и запишите его.

Например: 2t34sdf79862rgstdf7634yrgksf5876

mysite.com – замените на домен вашего сайта.

Делаем все внимательно и по пунктам. Сделать можно все в обычном блокноте, а затем вставить код в файл. Будьте предельно внимательны, иначе в админку вы больше не попадете. Нужно будет править данный код через FTP.

  1. Заменяем admin_url на желаемый.
  2. Придумываем и заменяем secret_key.
  3. Заменяем mysite.com

Вот и все. Можете пробовать зайти в админку по новому пути.

7. Делаем редирект на главную.

После проделанных нами действий мы получим:

  • Ошибка not_found если набрать в адресной строке mysite.com/wp-admin
  • Ошибка доступа если набрать mysite.com/wp-login.php
  • Доступ к админке сайта получим  по красивой, ссылке которую вы придумали mysite.com/my_admin_url
  • Доступ к адресу админ панели по придуманному вами ключу  mysite.com/wp-login.php?my_secret_key. Например, для внесения изменений страницы и придуманного пароля mysite.com/admin-login.php?2t34sdf79862rgstdf7634yrgksf5876

Давайте все попытки перехода по стандартным адресам админпанели перенаправим на главную страницу сайта. Для этого в меню админки выбираем «Внешний вид»-«Редактор» и открываем файл function.php

Защита WordPress от взломов.

И между тегами <?php и ?> вставляем следующий код (лучше в самый конец файла):

Закрывающего тега ?> в файле может и не быть. Имейте это ввиду. Тогда строки вставляем в самый низ файла.

Не забывам нажать кнопочку «Обновить файл». Все, можно проверять редирект. Только сначала выйдите из учетной записи Защита WordPress от взломов.

И на последок несколько советов.

  • Просмотрите все плагины, которые у вас установлены, и если вы ими не пользуетесь, удалите;
  • Как только выходит новая версия WordPress, сразу же обновляйте движок;
  • Для доступа к базе данных и панели управления хостингом, создавайте сложные пароли;

В принципе, всё!  Для начала мы немного защитили свой WordPress сайт от взломов. Может не на все сто, но жизнь взломщикам мы немного осложнили.

До встречи в новых публикациях!

webmaster4you.ru

Приветствую всех читателей моего блога!

Довольно часто люди задаются вопросом: «Как изменить адрес входа в админку WordPress». По-умолчанию адрес входа у всех одинаковый, и выглядит он таким вот образом: http://site.ru/wp-admin. Так вот, хоть я в этом ничего такого не вижу, о чем и писал в этой статье, но есть множество людей, не разделяющих моего мнения, которые стремятся максимальным количеством способов обезопасить свой блог. Для них и написана данная статья. Итак, весь процесс состоит всего лишь из редактирования файла .htaccess. Напомню, что данный файл отвечает за правильную настройку сервера. Подробнее о нем читайте в отдельной статье, ссылка дана выше.

Можно также поменять путь к админке через плагин iThemes Security. Пожалуй, это лучший плагин для защиты WP, о нем мы еще поговорим с Вами. К сожалению для большинства, этот плагин на английском языке, и имеет сотни настроек. Возможно, я займусь переводом плагина.

Так вот, если Вы поставили этот плагин, Вам необходимо будет перейти ко вкладке: «Hide Login Area«. А там уже установить флажок «Enable», и откроется дополнительное поле, в которое Вы сможете вписать любое название. Например, password. После чего, Вам достаточно будет перейти по адресу: http://site.ru/password, и Вы попадете в админку. Для наглядности прикладываю скрин:

Как изменить адрес админки в WordPress?

Теперь выйдите из админки. Причем не просто, а именно нажав на кнопку «Выйти». Попробуйте в адресной строке прописать http://site.ru/wp-admin. Так, как Вы раньше в админку заходили. И теперь Вы обнаружите, что по этому адресу выдается ошибка 404.

Напишите теперь http://site.ru/password. И сразу же Вас перекинет в админку. Вот так и работает данный плагин. Я предлагаю сделать тоже самое, только с помощью файла .htaccess. Не люблю я плагины, вот и все. Давайте приступим.

Зайдите, как всегда, в корень Вашего сайта, там будет лежать файлик .htaccess. Можете редактировать его напрямую через файловый менеджер хостинга. Я тут узнал, что многие так и делают. Мне же нравится по старинке — запускать программу FileZilla, кидать себе на рабочий стол нужный файл, и редактировать его.

Более продвинутые пользователи используют ftp-протокол прямо в своих редакторах. Знаю, что CodeLobster (редактор) с этим прекрасно справляется.

Так, немного отступили от темы. Если Вы делаете как и я — скидываете файлик себе на компьютер, то, возможно, перед Вами встанет вопрос: «Как этот файл открыть?». И чем вообще это можно сделать. Ответ прост — любым редактором. Хоть стандартным блокнотом, хоть notepad++, хоть любым другим, который у Вас установлен.

После того, как файл открыли, Вы уже увидите в нем некий код. Советую прочитать статью про .htaccess, ссылку на которую я давал в самом начале, дабы понимать что вообще там написано.

Добавляем в самый верх файла следующий код:

Теперь внесем необходимые правки. Здесь необходимо изменить три значения:

  • adminka — вместо данного значения указываем любое, какое хотим. Соответственно, админка будет открываться именно по названию, которое Вы здесь впишите. Будет выглядеть это так: site.ru/adminka. Рекомендую вставить любое слово, не связанное со словом «админ».
  • site.ru — здесь ясно, указываем адрес Вашего сайта. В моем примере это wpguru.ru. Безо всяких слешей и http. Если у Вас домен третьего уровня, то также указываем без всего лишнего: first.site.ru
  • secretka — а здесь надо будет указать секретный ключ. Дело в том, что меняй-не меняй путь до админки, в нее всегда можно будет войти напрямую, набрав: site.ru/wp-login.php?32432532432. Т.е. этот код после вопроса.

Правильнее всего будет сделать вот так: переходите на вот этот сервис. Пишете любое слово, какое хотите, и нажимаете на «отправить запрос». После чего, это слово будет зашифровано по технологии md5. Вам остается скопировать значение, и вставить его вместо слова secretka.

Как изменить адрес админки в WordPress?Вот пример кода, как он должен выглядеть у Вас:

Теперь сохраните файл, залейте его обратно на сервер, заменяя старый файл. И попробуйте перейти по ссылке, которую сами придумали. Все работает!

С помощью данного кода мы получили вот что:

  1. Пытаясь открыть адрес site.ru/wp-admin — мы получаем ошибку!
  2. Открывая адрес site.ru/wp-login.php — мы также получаем ошибку!
  3. Теперь путь к админке знаете только Вы. И его куда приятнее набирать, ведь было использовано наше любимое слово!

На этом у меня, пожалуй, все. Все доделываю шаблон на блог. Точнее он уже готов, только есть пока еще некоторые проблемы со стилями, с отображением миниатюр. Стараюсь сделать все максимально красиво и уютно. Обо всех изменениях еще буду писать.

Желаю всем успеха!

blog.slytech.ltd


You May Also Like

About the Author: admind

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.