Май
16
15

Protected wp-login — простейшая защита админки WordPress

Одним из вариантом взлома сайтов на WordPress есть подбор пароля к админке. Особенно это актуально для тех сайтов, где отображается логин пользователя. Очень хорошо, когда вы меняете логин (admin) по умолчанию на свой, но если в шаблоне его значение отображается, то толку от этого мало. Вы можете либо отредактировать тему сайта, либо в настройках своей учетной записи пользователя выбрать отображение имени вместо логина.

Настройки пользователя

Кроме использования отличного от «admin» логина и скрытия его в макете сайта можно также установить простой плагин Protected wp-login. Он как раз таки применяется против брутфорса (подбора пароля). Модуль небольшой, устанавливается легко, поддерживает версии WP начиная с 3.3. Все, что он делает — добавляет секретный «защитный ключ» для страницы логина. Ключ этот передается как обычный GET параметр для форы логина. Ссылка на вход в систему выглядит по типу:

http://example.com/wp-login.php?sk=my_secure_key

При этом даже, если вы указали правильный логин и пароль, но секретный ключ не определен, то в админку попасть не получится! То есть теоретически, если злоумышленник и подберет пароль, доступ к сайту ему все равно будет закрыт. При этом о попытках взлома, скорее всего, вас уже успеет предупредить ваш хостер.

Устанавливается значение защитного ключа в настройках модуля.

Плагин Protected wp-login

Для этого заходите в пункт меню «Protected wp-login» в разделе «Параметры». В целом, достаточно интересный плагин. Максимально прост в использовании, разобраться с ним может даже начинающий пользователь. Не забывайте также при этом выполнять базовые «защитные меры», о которых я говорил в самом начале статьи. Есть, в принципе, и более продвинутые плагины по защите системы вордпресс тот же Login LockDown и другие.

рейтинг Оцените статью:
Ужасная статьяНичего интересногоТак себеНормальноХорошоКлассный постВ закладки!
(голосов - 4, средний балл: 4,50 из 7)
Загрузка...

категория Категории: Безопасность; Плагины;
теги Теги: , , , , .

комментариев 15 к статье “Protected wp-login — простейшая защита админки WordPress”

  • Vadar   17.05.2014

    Интересный плагин! Спасибо!

  • Кирилл   21.07.2014

    Пользуюсь этим плагином уже давно и уже успел удостоверится в том что с ним мои данные и сам сайт в полной безопасности, а главное это конечно же что добавили дополнительный ввод ключа без которого на сайт войти просто невозможно.

  • Андрей   30.09.2015

    Лучше комплексной защитой пользоваться, есть плагины такие как All In One WP Security, много что защищать надо

  • Tod   30.09.2015

    Андрей, спасибо за наводку, с модулем All In One WP Security не сталкивался, нужно будет попробовать. Когда-то давно был пост про WP Security Scan который также предоставлет комплексную защиту.

  • Sergei   18.02.2016

    Зачем все эти хитрости. Просто удаляешь файл через ftp — wp-login.php и все. Когда нужно будет обратно ставишь. Для умников, кто ищет вход в админку кидаешь на его место другой файл с любым содержимым. Я поставил такой —

    <?php

    // … здесь какой-то код PHP …

    echo "»;

    // … здесь какой-то код PHP …

    ?>

    Фантазировать можно много……..

  • Tod   18.02.2016

    Sergei, оригинальный ход) Но если это блог, как допустим этот, то в админку за день я захожу раза 2-4 минимум. Хлопотно каждый раз удалять-возвращать файл.

  • андрей   11.03.2016

    Сроку входа специально люди меняют. Изначально она фигурирует в 2-ух файлах. И через WordPress на них не выйти. Благодаря этому файлу строка входа уже фигурирует в WP. Одну защиту добавляем, другую открываем.

  • Мария   31.08.2016

    Здравствуйте, подскажите пожалуйста, каждый день, один человек заходит ко мне на сайт и пытается подобрать пароль к логину админ, после чего его ip сразу автоматически блокируется, но длиться это уже полгода и я не могу понять, как он узнаёт адрес входа в админку, если она у меня переименована, при наборе /wp-admin и /wp-login.php выдаёт ошибку. логина админ нет в помине, но он как то находит страницу авторизации, Как так?

  • Tod   31.08.2016

    Мария, как он находит адрес, увы, не знаю. Но если все автоматически блокируется, то может проблема не так серьезна. Может попробовать установить данный плагин — секретный ключ точно никак не считать.

  • Drek   07.11.2016

    Подскажите пожалуйста, что за гемор. Когда устанавливаю этот плагин пишется его англ название в установленных плагинах, т.е. Protected wp-login, а когда активирую его, то «Защищенный вход» и ни настроек ни фига ничего! кроме деактивировать и изменить код, но мне код менять нафиг не надо. Что за фигня!

  • Tod   14.11.2016

    Drek, по поводу названия — это недоработка в локализации модуля, я так понимаю. Изменить код — это ведь именно то, что нужно — то есть указываете свой ключ/код по которому доступен адрес входа в админку (других настроек, по сути, в плагине и нету).

  • Зубр   18.01.2017

    Установил. Задал секретный ключ. И ссылку не открывает по нему, и естественно по старому адресу админку. Чего делать?

  • Tod   19.01.2017

    Зубр, плагин не обновлялся более 2х лет, а официальная верстия поддержки ВП до 3.5.2, поэтому, возможно, он сейчас уже и не работает. Удалить модуль можете через FTP найдя его в директории wp-content/plugins.

  • Turyst2011   11.12.2017

    А этот плагин еще актуальный?

  • Tod   13.12.2017

    Turyst2011, сам модуль не обновлялся более 2х лет, но он доступен для скачивания — сложно сказать насколько он актуален сейчас, я бы изначально поискал что-то поновее.

Оставить комментарий


Блог Wordpress Inside поможет вам научиться работать в вордпресс, закрепить и расширить имеющиеся знания. Плагины и шаблоны, разные хаки и функции wp, оптимизация и безопасность системы – все это и намного больше вы сможете найти на страницах нашего проекта!

Если хотите быстро и оперативно получать последние новости и статьи, то рекомендуем подписаться на обновления блога:

Поиск:
Последние посты
Лучшее в категории

Облако тегов
Скажи свое мнение!

В чем основные плюсы Wordpress?

Посмотреть результаты

Загрузка ... Загрузка ...
Друзья проекта
Последние новости