Как изменить страницу входа в админку WordPress?

Главное - Как изменить страницу входа в админку WordPress.

Как изменить страницу входа в админку WordPress? Или простыми словами URL-адрес страницы входа в админ панель WordPress? После установки ядра WordPress, вы уже сразу столкнетесь со стандартной страницей входа в админ панель веб-сайта на WordPress. По умолчанию можно получить доступ практически ко всему содержимому вашего сайта. К примеру:

— /wp-login.php
— /wp-admin
— /wp-comments-post.php
— /wp-content/plugins/ubh/up.php/.well-known/
— /wp-content/export.php
— /local.php
— /wp-includes/images/wlw/content.php
— /content.php
— /wp-content/uploads/assignments/rqrubrhdw.php.

Все эти адреса добавляются в конце основного домена https://site.ru/ – далее соответствующий путь. Крайне не рекомендую, повторять это на моем сайте. Система безопасности сайта вас сразу заблокирует навсегда. Имейте это ввиду. Это совсем маленький отрывок из списка моего ежедневного трафика сайта (все ip-адреса из этого списка заблокированы). Раньше я не задумывался о безопасности своего сайта, это привело к плачевным последствиям. Грабли нас учат.

CMS WordPress является одной из самых известных и востребованных систем управления контентом. Эта популярность, приводит к большим проблемам связанным с хак атаками. Одна из них называется брутфорс атака (brute force) – или атака грубой силы, которая нацелена на страницу входа в админку WordPress. Поэтому я решил рассказать вам как, можно изменить url-адрес входа в админ панель. Приступим.

Зачем нужно изменять URL страницы входа в админ панель WordPress?

Хороший вопрос! Действительно зачем? Брутворс атака главный повод сменить страницу входа в админку сайта. Что такое brute force атака в WordPress? Брутфорс атака в WordPress — это когда хакер пытается получить доступ к wp-admin сайта, пытаясь угадать учетные данные для входа в законную учетную запись пользователя. В атаках методом перебора используются боты, которые перебирают сотни, тысячи, а иногда и миллионы паролей на странице wp-login в попытке угадать правильный.

Брутфорс атаки не только опасны для сайта в случае их успеха, но и оказывают огромное влияние на производительность сайта. Атака использует ресурсы сервера и может даже привести к сбою сайта. Мой сайт ежедневно атакуют сотни ботов, которые сканируют всевозможные комбинации адресов каталогов, а также страницу входа в админ панель по адресам /wp-login.php и /wp-admin/.  Такие боты могут шнырять целый день, пока не найдут уязвимую точку доступа к внутреннему содержимому вашего сайта. Посмотрите наглядно на мой журнал:

Пример брутфорс атаки - журнал отслеживания.

Что сканируют хакерские боты на вашем сайте?

Вот пример:

— /wp-login.php
— /wp-admin/
— /wp-content/export.php
— /local.php
— /baindex.php
— /wp-content/themes/zakra/image.php
— /gank.php.php
— /wp-includes/Text/Diff/radio.php
— /wp-content/languages/themes/radio.php
— /content.php
— /radio.php
— /plugins/system/debug/debug.xml
— /administrator/language/en-GB/en-GB.xml
— /old-index.php
— /fw.php
— /site/wp-class.php
— /wp/wp-includes/wp-class.php
— /wp-includes/wp-class.php
Я не просто так, перечисляю вам все это. Я делаю это для того, чтобы у вас было максимум понимания всей проблемы связанной с безопасностью наших сайтов. И нам необходимо максимально, усложнить доступ к нашим страницам входа на веб-сайт. Самый лучший вариант – это скрыть / изменить страницу входа в админку WordPress.

Как защитить свой сайт WordPress от Брутфорс атак?

Самый эффективный способ защитить наши сайты от атак методом brute force — ограничить количество попыток входа в систему или вовсе заблокировать нежелательные ip-адреса. По умолчанию WordPress допускает неограниченное количество попыток входа в систему, поэтому вы можете использовать плагины безопасности для защиты своего сайта от атак методом brute force.

В дополнение к защите входа в систему плагины безопасности включает защиту от ботов и расширенный брандмауэр, которые помогают защитить ваш сайт и смягчить пагубные последствия брутфорс атаки.

Как изменить страницу входа в админку WordPress — самый лучший плагин

Первое о чем я хочу предупредить! Крайне важно записать новый url-адрес вашей страницы входа в админ панель. Если не дай бог вы его забудете, это приведет к серьезным последствиям.

Сейчас я вкратце расскажу, об одном очень хорошем плагине безопасности, которым я пользуюсь совместно с другим не менее хорошим. Так как у них, есть необходимый функционал для обеспечения безопасности моего сайта. Используя этот плагин вы без особых усилий сможете изменить url-адрес входа в админ панель WordPress. А второй плагин поможет усилить защиту многократно.

All In One WP Security плагин безопасности для WordPress

All In One WP Security плагин WordPress.

Плагин All In One WordPress Security — преподносит вашему сайту, непревзойденную защиту, можно сказать за даром. Он создан экспертами в этой области, и имеет постоянные обновления баз безопасности. Этот плагин очень эффективен с точки зрения защиты сайта.

All In One WP Security имеет огромное количество настроек с аннотациями, где вы можете ознакомиться с каждой надстройкой безопасности которую хотите применить на своем сайте. Большинство правил этого плагина вступают в силу при перезаписи файла .htaccess. Вот некоторые функции этого плагина которые нам необходимы:

Безопасность учетных записей и входа пользователей

  • Нам от него в данном случае нужно изменение страницы входа в админку, и о да, он это может. All In One WP Security прекрасно справляется с этой задачей, ваша страница входа, будет открываться по тому адресу, который указали именно вы. Это крайняя мера, позволяющая полностью защитить вход на сайт от хаков. Таким образом брутфорс атаки, вам уже будут не страшны.
  • Еще одна очень полезная функция, это скрытие ваших каталогов сайта. Плагин просто перенаправляет ботов на страницу 404, либо на иную указанную вами.
  • All In One WP Security также как и Wordfence (второй плагин, о котором я расскажу ниже) имеет журнал активности, который фиксирует, ботов пытающихся проникнуть на ваш сайт.

Рассказывать о нем можно очень долго, вот главные инструменты которые он имеет:

  1. Настройки авторизации пользователей;
  2. Настройки регистрации пользователей;
  3. Защита базы данных (где также можете изменить префикс базы данных с wp_ на иной);
  4. Защита файловой системы сайта (закрытие редакторов фалов сайта в админке);
  5. Черный список ip адресов;
  6. Файрволл;
  7. Защиту от брутфорс атак;
  8. Защиту от спама;
  9. Сканер сайта, на наличие вредоносного кода или изменений в файлах;
  10. Он даже имеет функции защиты от копирования, блокировку правого клика.

Как изменить страницу входа в админку с помощью All In One WP Security?

Легко!

1. Установите плагин из репозитория WordPress на свой сайт.
2. Активируйте плагин на сайте, в бесплатной версии также много настроек.
3. Перейдите в раздел “Защита от брутфорс атак” из боковой панели вашей админки.
4. Вас интересует вкладка “Переименовать страницу логина”
5. Прокрутите колесико мыши вниз, поставьте галочку, если хотите активировать функцию переименования страницы логина.
6. Введите строку, которая будет представлять slug вашей защищенной страницы входа. Советую вам выбрать то, что трудно угадать и запомните только вы.
7. Затем сохраните)))

Пример - Как изменить страницу входа в админку WordPress.

Вот и все, все очень просто сделать. Плагин также позволяет перенаправлять вредных ботов пытающихся перейти в каталоги вашего сайта. Пройдите по вкладкам и разделам, каждое действие имеет аннотацию.

Wordfence Security плагин брандмауэр для WordPress

Wordfence Security плагин для WP.

Wordfence также широко известный плагин безопасности для WordPress. Он очень популярен и имеет миллионы скачиваний. Почему я решил использовать именно его как дополнение к первому плагину? Вопрос очень интересный? Самое, что мне в нем понравилось — это интелектуальная защита в режиме реального времени. Wordfence учится на вашем сайте тому, как его защитить. Брандмауэр или Firewall — WAF после установки, около недели обучается защите вашего сайта. После этого настройки можно зафиксировать.

Wordfence — имеет встроенный сканер, работающий в режиме реального времени (с оптимизированными настройками производительности, которые можно указать). Таким образом, плагин тихо себе работает, но предупреждает вас об изменениях в вашем сайте. К примеру обновление плагинов или изменение в файлах сайта.

По мимо всего прочего, в нем есть сканер трафика в реальном времени. Где можно увидеть нежелательных хак ботов или даже людей, желающих проникнуть на ваш сайт. Этот журнал показывает подробную статистику посещения:

— Страна, город и IP адрес;
— Кто заходил бот / человек;
— Какой браузер использовался;
— К какому пути сайта (каталогу или файлу) обращался.

Пример брутфорс атаки - расшифрофка бота.

Но главное, в этом списке, можно сразу заблокировать нежелательный ip. И больше того, чтобы постоянно не парится с подобной проверкой, можно ввести ограничение. Список недопустимых путей к сайту, как только вы примените подобную надстройку. Хак бот или человек, желающий пошкерить в ваших каталогах, пройдет по черному пути и будет заблочен плагином.

Еще одно достоинство, это конечно двухфакторная аутентификация (2FA), настраивается элементарно. Эта функция меня просто повалила, я сразу настроил ее и связал с телефоном. Благодаря (2FA), вы сводите взлом сайта, практически к нулю.

Вывод

Вам не нужно ставить огромное количество всевозможных плагинов, поставьте пару и обеспечьте свой сайт всесторонней защитой. All In One WP Security, предоставляет инструменты для изменения и защиты вашей страницы входа в админку WordPress. А также защиту всей файловой системы вашего сайта.

Wordfence – усиливает потенциал защиты многократно, помогая отслеживать нарушения в режиме реального времени. Предоставляя дополнительную защиту на страницу логина и пароля, в виде двукратной аутентификации 2FA. И дополнительными правилами блокировки нежелательных ботов.

Тем не менее, будьте предельно внимательны в настройках, читайте рекомендации, которые предоставляют разработчики этих плагинов безопасности.

Спасибо, что читаешь Nicola Top

Добавить комментарий

Ваш адрес email не будет опубликован.