Как защитить панель администратора WordPress

Безопасность WordPress имеет жизненно важное значение в экосистеме WordPress. Один из подходов к обеспечению безопасности — защитить ваш Wp-admin. Это связано с тем, что Wp-admin, скорее всего, станет первой точкой, которую злоумышленники будут использовать, чтобы попытаться получить доступ к вашему сайту.

По умолчанию файлы администрирования WordPress хранятся в папке Wp-admin. Несмотря на то, что WordPress имеет различные меры безопасности для защиты этой папки, тот факт, что администратор WordPress по умолчанию широко известен, делает его легкой целью для хакеров. Поэтому важно снизить риск веб-атак, инициированных администратором WordPress.

В этой статье мы рассмотрим некоторые подходы, которые вы можете использовать для защиты своей панели администратора WordPress.

Подходы к защите вашего Wp-admin

Существуют различные способы, которые вы можете использовать для защиты административной области WordPress. Ниже приведен краткий список этих методов безопасности.

1. Избегайте использования имени пользователя по умолчанию «admin».

На новой установке WordPress первая созданная учетная запись — это учетная запись администратора. «admin» устанавливается как имя пользователя по умолчанию в такой установке. Это на самом деле общеизвестно.

Один из способов, с помощью которого хакер может легко выяснить, является ли «admin» вашим именем пользователя, — это просто получить доступ к URL-адресу входа на ваш сайт и попробовать имя пользователя «admin». Если «admin» на самом деле является именем пользователя на сайте, на экране входа в систему появится следующее сообщение об ошибке: «Ошибка: введенный вами пароль для имени пользователя admin неверен. Забыли пароль?»

Такое сообщение об ошибке послужит хакеру подтверждением того, что на сайте существует имя пользователя «admin».

На этом этапе у хакера уже есть две части информации о вашем сайте. Это имя пользователя и URL входа. Все, что нужно хакеру, это пароль к сайту.

Хакер в этот момент попытается провести атаки, просто запустив пароли против этого имени пользователя, чтобы получить доступ к сайту. Это можно сделать вручную или даже с помощью ботов.

Другой подход, который может использовать хакер, — просто добавить запрос «?author=1/» к URL-адресу, чтобы он читался как yourdomain/?author=1/. Если у вас есть имя пользователя с правами администратора, то URL-адрес вернет сообщения от пользователя или ничего, если с ним не связано никаких сообщений. Ниже приведен пример иллюстрации:

В любом из случаев, если не возвращается ошибка 404, это будет служить подтверждением того, что пользователь с именем «admin» наверняка существует.

Исходя из вышеописанных сценариев, если у вас установлено имя пользователя по умолчанию «admin», крайне важно создать новую учетную запись администратора в разделе «Пользователи» > «Добавить новую» на панели управления WordPress.

После этого обязательно удалите предыдущую учетную запись «admin».

2. Создание надежных паролей

Надежные пароли необходимы для любого сайта WordPress. С другой стороны, слабые пароли позволяют хакерам легко получить доступ к вашему сайту WordPress.

Вот некоторые из мер безопасности паролей, которые вы можете использовать:

• Убедитесь, что пароль достаточно длинный (минимум 10 символов)
• Пароль должен содержать как минимум буквенно-цифровые символы, пробелы и специальные символы.
• Обеспечьте регулярную смену или обновление паролей.
• Убедитесь, что вы не используете пароли повторно.
• Пароли не должны содержать слов из словаря.
• Храните пароли с помощью менеджера паролей
• Убедитесь, что пользователи, регистрирующиеся на сайте, вводят надежные пароли.

Пароли также не должны быть угадываемыми, поскольку это также представляет угрозу безопасности.

3. Защитите паролем область Wp-admin

WordPress предлагает уровень безопасности для Wp-admin, позволяя пользователям вводить свое имя пользователя и пароль для входа в систему. Однако этого может быть недостаточно, поскольку хакеры могут фактически проводить веб-атаки при доступе к Wp-admin. Поэтому рекомендуется добавить дополнительный уровень безопасности для Wp-admin. Это можно сделать либо через:

я) cPanel

ii) .htaccess

Через cPanel

Чтобы защитить паролем панель Wp-admin через cPanel, вам необходимо выполнить следующее:

Сначала откройте панель управления cPanel и нажмите «Конфиденциальность каталога».

Далее откройте папку public_html.

В нем нажмите кнопку «Изменить» в каталоге wp-admin.

На следующем экране включите опцию «Защитить этот каталог паролем» и в поле «Введите имя защищенного каталога» введите имя по вашему выбору и сохраните изменения.

После этого сделайте шаг назад и создайте нового пользователя с желаемыми данными (имя пользователя и пароль).

После выполнения вышеперечисленных действий, если пользователь попытается получить доступ к папке wp-admin, ему потребуется ввести только что созданные имя пользователя и пароль, прежде чем он будет перенаправлен на экран, где ему нужно будет ввести свои учетные данные администратора WordPress.

Через .htaccess

Файл конфигурации.htaccess, используемый Apache, служит для внесения изменений в каталоги. Подробнее об этом файле можно узнать в этой статье.

В этом разделе мы рассмотрим, как использовать файл.htaccess для ограничения папки wp-admin. Для этого нам нужно будет создать два файла (.htaccess и.htpasswd), выполнив следующее:

i) Создайте файл.htaccess

Используя текстовый редактор по вашему выбору, создайте новый файл с именем .htaccess.

Добавьте в файл следующее содержимое:

AuthType basic
AuthName "Protected directory"
AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
require user usernamedetail

В приведенном выше коде вам нужно будет изменить указанный путь «AuthUserFile» (/home/user/public_html/mydomain.com/wp-admin/) на ваш путь к каталогу wp-admin, куда вы загрузите файл.htpasswd. Кроме того, вам также нужно будет изменить «usernamedetail» в строке «require user» на желаемое имя пользователя.

ii) Создайте файл .htpasswd

Используя любой текстовый редактор по вашему выбору, создайте новый файл с именем .htpasswd.

Доступ к генератору web2generators.com.

Введите свое имя пользователя и пароль в специальные поля формы Htpasswd и нажмите кнопку «Сгенерировать».

После этого скопируйте результат в файл.htpasswd и сохраните изменения.

iii) Загрузите файлы через FTP

Чтобы загрузить файлы через FTP, вам понадобится такой инструмент, как Filezilla.

Для начала вам необходимо загрузить файл.htaccess в каталог wp-admin вашего сайта, а затем файл.htpasswd.

Теперь, как только пользователь попытается получить доступ к /wp-admin, ему будет представлен экран входа, подобный показанному ниже:

4. Создайте пользовательский URL-адрес для входа

URL-адреса входа WordPress доступны путем добавления wp-admin или wp-login.php? к вашему домену. Тот факт, что это конечные точки входа WordPress по умолчанию, означает, что пока у хакера есть доступ к домену, он может легко получить доступ к вашему URL-адресу входа.

Если вы также используете имя пользователя по умолчанию «admin», то это снова будет означать, что хакеру нужно будет узнать только одну часть информации — «пароль».

Поэтому важно иметь на своем сайте собственный URL-адрес входа. Один из способов добиться этого — установить плагин WPS Hide Login.

После установки плагина перейдите в раздел «Настройки» > «Скрыть вход в систему WPS» и укажите желаемый URL-адрес для входа и URL-адрес перенаправления, который будет использоваться при попытке доступа к Wp-login.php или Wp-admin незарегистрированного пользователя.

После этого сохраните изменения.

Это затруднит доступ к вашему сайту для входа в систему любому, кто попытается это сделать, тем самым сократив количество потенциальных задач.

5. Внедрите двухфакторную аутентификацию/проверку

Двухфакторная аутентификация — это механизм безопасности, при котором обеспечивается дополнительный уровень безопасности путем добавления дополнительных требований аутентификации.

Чтобы реализовать двухфакторную аутентификацию на вашем сайте WordPress, вы можете использовать сторонний плагин по вашему выбору. В этом руководстве мы предлагаем использовать плагин WP 2FA – Two-factor authentication for WordPress из-за его простоты использования.

Чтобы использовать плагин, перейдите в раздел «Плагины» > «Добавить новый» на панели инструментов WordPress и найдите WP 2FA.

Установите и активируйте плагин.

После этого перейдите в раздел «Пользователи» > «Профиль» и нажмите кнопку «Настроить 2FA».

На следующем экране выберите желаемый метод 2FA. В нашем случае мы выберем опцию «Одноразовый код, сгенерированный с помощью вашего приложения по выбору».

После выбора перейдите к следующему шагу. Здесь выберите нужное приложение для аутентификации из предоставленного списка значков. Нажатие на значок перенаправит вас к руководству по настройке приложения.

В нашем случае мы будем использовать приложение «Google Authenticator». Поэтому вы можете начать с установки приложения Google Authenticator на желаемом устройстве, например, на мобильном телефоне.

После этого откройте приложение и нажмите на плавающий значок «+» в правом нижнем углу приложения.

Далее вам необходимо будет отсканировать QR-код, изображенный на скриншоте выше.

После этого вы будете перенаправлены на экран с недавно добавленной учетной записью и кодом 2FA.

Затем вернитесь на свой сайт и введите свой код 2FA, подтвердите и сохраните конфигурацию. Ниже приведен пример иллюстрации:

После этого вы увидите сообщение об успешном завершении и сможете выполнить резервное копирование своих кодов.

Теперь, как только пользователь попытается войти на сайт, даже минуя первый вход, ему будет представлен дополнительный уровень аутентификации, где ему или ей потребуется ввести код аутентификации.

6. Включить автоматический выход из системы

После входа на веб-сайт, если пользователи не закрывают окно браузера, сеансы не завершаются в течение довольно долгого времени. Это делает такой веб-сайт уязвимым для хакеров с помощью перехвата файлов cookie. Это метод, с помощью которого хакер может скомпрометировать сеанс, украв или получив доступ к файлам cookie в браузере пользователя.

В качестве механизма безопасности, следовательно, важно автоматически выходить из системы неактивных пользователей на веб-сайте. Для этого вы можете использовать плагин, такой как плагин Inactive Logout.

Плагин можно установить из раздела «Плагины» > «Добавить новый», предварительно выполнив поиск, установку и активацию.

После активации плагина перейдите в раздел «Настройки» > «Выход из системы при неактивности», установите «Таймаут бездействия» и сохраните изменения.

Вы можете установить любое предпочитаемое вами значение, но идеальным вариантом будет 5 минут.

7. Ограничьте количество попыток входа в систему

По умолчанию WordPress не предлагает ограничения на количество попыток входа на сайт. Это позволяет хакерам запускать скрипты, содержащие общие данные для входа пользователя, чтобы попытаться проникнуть на сайт. Если количество попыток слишком велико, они могут вызвать перегрузку вашего сервера и в конечном итоге, вероятнее всего, сайт будет работать некорректно. В случае, если вы используете общие данные для входа, хакер также, скорее всего, успешно получит доступ к сайту.

Поэтому важно ограничить количество попыток входа на сайт. Для этой реализации можно использовать плагин, например Login Lockdown.

Подобно другим установкам плагинов в wordpress.org, вы можете установить плагин Login Lockdown из раздела Plugins > Add New. В разделе найдите плагин, установите и активируйте его.

После активации перейдите в раздел «Настройки» > «Блокировка входа» и укажите желаемые параметры блокировки, такие как максимальное количество попыток входа, ограничение периода повтора, длительность блокировки и многое другое в зависимости от ваших предпочтений.

8. Внедрить ограничение по IP-адресу

Ограничение IP-адресов — это подход, который вы также можете реализовать, чтобы запретить доступ к Wp-admin. Однако этот метод рекомендуется, если вы используете статический IP-адрес.

Чтобы реализовать ограничение по IP-адресу, вам необходимо создать файл.htaccess в каталоге wp-admin, если у вас его еще нет, и добавить в файл следующий код:

AuthUserFile/dev/null
AuthGroupFile/dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny, allow
deny from all
# Allow First IP
allow from xx.xx.xx.xxx
# Allow Second IP
allow from xx.xx.xx.xxx
# Allow Third IP
allow from xx.xx.xx.xxx
</LIMIT>

После этого вам нужно будет заменить xx.xx.xx.xxx в коде на IP-адреса, которым вы хотите предоставить доступ.

Если вы также измените свою сеть, вам потребуется получить доступ к файлам вашего сайта и добавить новый IP-адрес, чтобы иметь возможность войти на сайт.

Если теперь пользователь, IP-адресу которого не разрешен доступ к wp-admin, попытается получить к нему доступ, он столкнется с сообщением об ошибке «Forbidden», аналогичным изображенному на рисунке ниже.

9. Отключите ошибки на странице входа

WordPress по умолчанию отображает ошибки на странице входа, если пользователь пытается войти на сайт, используя неверные учетные данные. Вот некоторые примеры таких сообщений об ошибках:

• «ОШИБКА: Неверное имя пользователя. Забыли пароль? «
• «ОШИБКА: Неверный пароль. Забыли пароль? «

При отображении таких сообщений они фактически дают подсказки о неверных данных входа, и это означало бы, что хакеру останется выяснить только одну деталь. Например, второе сообщение — это подсказка о том, что неверным является пароль. Таким образом, хакеру нужно будет узнать только пароль, чтобы получить доступ к сайту.

Чтобы отключить эти сообщения об ошибках, вам необходимо добавить следующий код в файл functions.php в теме:

function disable_error_hints(){
 return ' '; 
} 
add_filter('login_errors', 'disable_error_hints');

Если пользователь теперь попытается войти на сайт с неверными учетными данными, сообщение об ошибке не будет отображено. Ниже приведен пример иллюстрации:

10. Использование плагина безопасности

Плагины безопасности WordPress помогают снизить угрозы безопасности на вашем сайте. Некоторые из этих плагинов безопасности предлагают такие функции, как добавление reCaptcha, ограничение IP и многое другое.

Поэтому важно, чтобы вы рассмотрели использование плагина безопасности, чтобы снизить вероятность атак в Wp-admin. Некоторые примеры плагинов безопасности, которые вы можете рассмотреть, это: WordFence и Malcare.

11. Обновите WordPress до последней версии.

WordPress — это регулярно обновляемое программное обеспечение. Некоторые обновления включают исправления безопасности. Если, например, был выпущен релиз безопасности, нацеленный на Wp-admin, и в вашем случае вы не обновили версию WordPress, то это будет означать, что ваш Wp-admin подвержен атакам.

Поэтому важно регулярно обновлять версию WordPress, чтобы снизить риск атак на ваш сайт.

Заключение

Администратор WordPress является основной целью хакеров, желающих получить полный контроль над вашим сайтом. Поэтому вам важно защитить раздел администратора WordPress вашего сайта.

В этой статье мы рассмотрели несколько способов, которые вы можете использовать для защиты вашего администратора WordPress. Мы надеемся, что статья будет информативной и полезной. Если у вас есть какие-либо вопросы или предложения, пожалуйста, не стесняйтесь использовать раздел комментариев ниже.