18.09.22
aktualizováno 09.03.23
Tobias Schüring
0 Komentáře
Obsah
Skrýt správce WordPressu

Skrýt správce WP: Populární, propracované a ne příliš efektivní

Téměř každý ví, jak se ve výchozím nastavení WordPressu dostat k přihlašovací bariéře do administrace. Vzhledem k tomu, že více než 34 procent všech webových stránek běží na systému WordPress, je pro hackery snadné najít a napadnout přihlašovací oblasti těchto webových stránek. Právě proto patří takové útoky, jako jsou útoky hrubou silou, mezi nejčastější útoky na webové stránky WordPress. Skrytí oblasti administrace WP se zdá být jednoduchým ochranným opatřením. Dnes vám ukážu, jak užitečná tato technika je a jak ji můžete implementovat.

Útoky hrubou silou jsou pravděpodobně nejčastějším typem útoku na webové stránky WordPress. Jen poskytovatel zabezpečení Wordfence naměřil v roce 2017 v některých měsících tohoto roku téměř 1 miliardu takových útoků - nepočítaje v to počet neohlášených případů. Aby se snížilo bezpečnostní riziko, které představují útoky hrubou silou, má v zásadě smysl omezit pokusy o přihlášení po příliš mnoha neúspěšných pokusech. Kromě toho mnoho webmasterů WordPressu používá další metodu: přesunou oblast administrace WP tak, aby ji již nebylo možné nalézt pod koncovkou wp-admin.

Mnoho zásuvných modulů zabezpečení nabízí také odpovídající funkci. Ti, kteří mohou, si také troufnou používat soubor .htaccess. Samotné skrytí oblasti administrace WP však není skutečně dobrým bezpečnostním opatřením. Může však být užitečným doplňkem.

Skrýt správce WP: Jaký to má smysl?

Za myšlenkou skrytí administrátorské oblasti WP stojí princip zabezpečení skrze utajení - myšlenka, že bezpečnost systému je silnější, pokud jeho funkce zůstává utajena. Nebo jinými slovy: pokud útočník neví, kde jsou vaše vstupní dveře, může se plížit kolem vašeho domu, ale nemůže se do něj vloupat.

Bezpečnost v zapomnění – v praxi bezzubý tygr

Tento přístup je mezi odborníky diskutován kontroverzně - a ne bezdůvodně. Skutečnost, že jsou informace zabezpečené, v tomto případě neznamená, že k nim již nelze vůbec přistupovat. Jsou tam - ale jsou skryté. S vhodnými nástroji však hackeři mohou vaši přihlašovací stránku stále najít, pokud budou chtít.

A právě tady se objevuje skutečný problém zabezpečení skrze zastírání: tento přístup se často používá k zakrytí problémů, které by měly být naopak zcela odstraněny. Pokud je vaše jméno správce admin a heslo123!, hacker se do vašeho backendu dostane během okamžiku, jakmile najde vaši skrytou přihlašovací stránku.

Skrytá oblast administrátora zkrátka nezabrání útočníkům v útoku, ale pouze prodlouží dobu potřebnou k provedení útoku. Bohužel však není možné zcela skrýt skutečnost, že vaše projekty jsou webové stránky WordPress. Skrytí administrace WP by tedy rozhodně nemělo být vaším jediným bezpečnostním opatřením. Ať už se na vás zaměří kdokoli, nebude moci uniknout.

Koncept zabezpečení skrze zastínění je proto v ideálním případě jednou z mnoha vrstev vašeho konceptu zabezpečení. Omezení počtu pokusů o přihlášení (LLA), silné heslo včetně dvoufaktorového ověřování a - pokud jej nakonec použijete - čistě nakonfigurovaný bezpečnostní plugin jsou rozumnou kombinací. Skrytí administrátorské oblasti je jen třešničkou na dortu.

V některých případech má skrytí správce WP stále smysl

Ale nyní existují ve skutečnosti některé situace, ve kterých může mít smysl skrýt správce WP:

  • Skrytí administrátora WP má silný vliv na vnímání bezpečnosti webových stránek WordPress. Zejména pokud pracujete jménem klienta, má skrytá administrace WP smysl, abyste maximalizovali vnímání bezpečnosti ze strany klienta.
  • Pokud hackeři provedou útok hrubou silou na vaše webové stránky, může se váš webový server "přehřát" kvůli vysokému počtu požadavků. Přesunete-li oblast administrace, alespoň vezmete primitivním útokům hrubou silou vítr z plachet hned na začátku.
  • Některé zákazníky můžete pozitivně překvapit tím, že oblast správce skryjete, například tím, že ji přesunete na /NameOfYourCompany. Tímto způsobem můžete vytvořit malý, ale jemný efekt značky.

Již nyní můžete vidět, že tato opatření jsou spíše kosmetické povahy. Ale i vyšší pocit bezpečí může někdy pomoci. Proto vám ukážu, jak používat správce WP s a bez Plugins lze zabezpečit.

Používejte pluginy pouze pro skrytí správce WP, dává to smysl?

Skvělé bezpečnostní pluginy také umožňují skrýt oblast administrace a přesnou povahu vašich webových stránek, kromě mnoha dalších funkcí. Jak jsem již řekl, mám na to kritický pohled: instalace objemného pluginu jen kvůli změně adresy URL nevyřeší všechny vaše problémy najednou. Teprve po důkladném prozkoumání tématu se můžete rozhodnout, která bezpečnostní opatření mají pro váš projekt smysl.

Pokud jde o zásuvné moduly, máte v zásadě dvě možnosti:

  • štíhlé pluginy určené pouze pro skrytí přihlašovací oblasti
  • Zásuvné moduly, které zahrnují skrytí přihlašovací oblasti, ale umí toho mnohem více.

Komplexní bezpečnostní moduly plug-in jsou kvůli své rozšířené funkčnosti těžkopádnější. Proto mají smysl pouze v případě, že víte, čeho s nimi chcete dosáhnout: například blokování konkrétních IP adres, použití webové aplikační brány firewall (WAF) nebo využití hlášení zásuvných modulů.

Instalace velkého pluginu jen proto, abyste skryli oblast administrace, je přehnaná. Utrpí tím rychlost načítání a ve výsledku máte jen malou přidanou hodnotu. A nenahradí to ani řešení bezpečnostních prvků.

Skrytí oblasti administrace pomocí zásuvného modulu je proto vhodné pouze tehdy, pokud jej můžete používat bez větší ztráty výkonu nebo funkčnosti - takříkajíc jako doplněk . Instalaci rozsáhlého pluginu, jako je iThemes Security nebo Wordfence , bych speciálně pro tento účel nedoporučoval.

Místo toho zde najdete dvě elegantnější alternativy, jak skrýt oblast administrace:

WPS Skrýt přihlášení

Skrýt WP Admin Plugin WPS Skrýt přihlášení
Správce WP lze například použít s přihlášením WPS Hide Login Plugin Skrýt.

Tento bezplatný plugin dělá přesně jednu věc: změní dvě adresy URL /wp-admin a /wp-login.php na adresy, které zadáte. Tím se přidá překážka pro hackery a vaše webové stránky budou o něco bezpečnější. S více než milionem aktivních instalací a průměrným hodnocením 4,9 hvězdičky (s více než 2 000 recenzemi!) se plugin v praxi osvědčil.

WP Skrýt a vylepšovat zabezpečení

Skrýt WP Admin Plugin WP Hide Security Enhancer
Další alternativou je o něco objemnější Plugin WP Skrýt vylepšení zabezpečení.

Tento bezplatný doplněk skrývá skutečnost, že vaše webové stránky běží na systému WordPress. Zda to má v zásadě smysl, se teprve uvidí (pomocí nástroje, jako je BuiltWith, to lze rychle opět vynést na světlo), ale zároveň změní adresy URL /wp-admin a /wp-login.php na jakoukoli jinou adresu URL. Plugin v současné době používá více než 80 000 webmasterů a průměrné hodnocení je 4,3 hvězdičky.

Nebojte se špatného kódu: Zabezpečte pomocí .htaccess

Pokud chcete skrýt skutečnost, že vaše webové stránky jsou instalací WordPressu, můžete tak učinit pomocí některého z právě uvedených pluginů. Nebo se můžete zabývat přímo souborem .htaccess. Jedná se o jeden z nejdůležitějších souborů pro instalace WordPress běžící na serverech Apache. Soubor .htaccess například definuje, které soubory a adresáře vašeho webu jsou viditelné a kdo má k čemu přístup.

.htaccess a Raidboxes

Raidboxes Webové stránky neběží na serverech Apache, takže soubor .htaccess nemá na webový server žádný vliv. Pokud máte hosting WordPressu na adrese Raidboxes , můžete použít naši ochranu přihlášení.

Malými změnami v tomto souboru můžete svým webovým stránkám poskytnout další vrstvu zabezpečení. Konkrétně můžete přidat jednotlivé úryvky kódu, které omezí přístup k souboru wp-config.php nebo zablokují určité IP adresy. Doporučuji, abyste si před provedením jakýchkoli změn vždy vytvořili zálohu tohoto souboru - pokud se něco pokazí, můžete se pak snadno a rychle vrátit k původnímu stavu. A v případě souboru .htaccess může i malá chyba v kódu stačit k ochromení webu.

Varianta 1: Povolit pouze určité IP

V zásadě lze pomocí souboru .htaccess chránit libovolný adresář - v tomto případě chcete chránit konkrétně oblast administrace. Proto nahrajete nový soubor .htaccess do adresáře wp-admin. Pokud místo toho v hlavním adresáři WordPressu určíte, že přístup mají pouze určité IP adresy, vyloučíte všechny ostatní z celého webu, nikoli pouze z oblasti administrace.

V souboru .htaccess adresáře správce máte nyní možnost zablokovat přístup konkrétních IP adres k tomuto adresáři. Pokud sami používáte statickou IP adresu, doporučujeme vyloučit všechny IP adresy kromě vaší vlastní. Tímto způsobem budete mít do oblasti administrace přístup pouze vy.

Stejným způsobem můžete vyloučit IP adresy z webové stránky wp-login.php. Neoprávněné IP adresy mohou být například přesměrovány na stránku 404 (nebo jinou stránku dle vašeho výběru) a na přihlašovací obrazovku se již nedostanou. To lze provést vložením příslušného kódu.

  • Kodex WordPressu popisuje, jak můžete chránit jednotlivé adresáře instalace WordPressu.
  • Kolegové z WP-Beginner podrobně ukazují, jak chránit WP admin prostřednictvím .htaccess
  • Výrobce zásuvných modulů wpmudev v obsáhlém průvodci ukazuje, jak můžete pomocí .htaccess chránit své webové stránky.

Varianta 2: Konfigurace ochrany heslem (nebo dvoufaktorové ověřování)

Další a velmi často používanou možností, jak chránit oblast administrátora pomocí souboru .htaccess, je vytvoření dodatečného ověření HTTP. Server pak vyžaduje příslušné přístupové údaje, aby se vůbec dostal na přihlašovací stránku WordPressu.

To pro vás znamená trochu více úsilí při přihlašování, ale mnoho útočníků v tomto okamžiku hodí ručník do ringu. Útoky hrubou silou jsou zablokovány ještě předtím, než začnou. Ani tato ochrana však není zcela spolehlivá, protože mnoho útoků probíhá přes rozhraní XMLrpc. Přes toto rozhraní, které je implementováno ve výchozím nastavení, mohou hackeři provádět útoky DDoS a útoky hrubou silou. Útoky jsou podobné těm na web wp-admin, ale mohou být požadovány stovky kombinací přihlašovacích jmen a hesel najednou. Proto je třeba na tomto místě říci, že rozumnější ochranou není dodatečné přihlášení, ale dvoufaktorová autentizace.

Pro zabudování dodatečné ochrany heslem však potřebujete kromě souboru .htaccess ještě další soubor, a to takzvaný .htpasswd. Ten obsahuje přístupové údaje, které potřebujete k ověření. K jeho vytvoření můžete použít příslušné online nástroje. Ty požadované heslo (například Günterdergroße86) zašifrují podle formátu MD5 (Günterdergroße86 pak vypadá takto: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 je jedním z pěti formátů hesel, se kterými umí server Apache pracovat. Nakonec si musíte zapamatovat pouze nezašifrované heslo - o zbytek se postará server automaticky.

Takto vytvořený soubor .htpasswd je umístěn na stejné úrovni jako soubor .htaccess, obvykle na nejvyšší úrovni adresáře WordPress.

V souboru .htaccess nyní definujete, že při přístupu k souboru wp-login.php má proběhnout ověření HTTP, a pomocí úryvku kódu vytvoříte odkaz na soubor .htpasswd. Tímto způsobem může server přistupovat k dříve definovaným přístupovým údajům v jiném souboru. Jak to funguje, je vysvětleno například zde.

.htaccess pak určí, že pro přístup k /wp-login je vyžadována autorizace.php a kde server najde příslušná pověření (konkrétně v .htpasswd). Kromě toho zabráníte přístupu k .htaccess, .htpasswd a wp-config.php abyste zajistili, že nikdo kromě vás nebude moci překonfigurovat instalaci.

Zdá se vám to všechno poněkud těžkopádné? Je. Navíc se může stát, že tato dodatečná ochrana heslem zhorší kompatibilitu zásuvných modulů. Proto bych vždy doporučoval dvoufaktorové ověřování. To lze rychle nastavit prostřednictvím plug-inu a navíc nabízí ještě větší ochranu proti neoprávněnému vniknutí. Ověřovací kódy jsou totiž přenášeny prostřednictvím externího systému.

"*" povinný údaj

Rád bych se přihlásil k odběru newsletteru, abych byl informován o nových článcích na blogu, e-knihách, funkcích a novinkách ve WordPressu. Svůj souhlas mohu kdykoli odvolat. Více informací v našich Zásadách ochrany osobních údajů.
Toto pole slouží k ověření a nemělo by se měnit.

Závěr: Skrytí administrátora WP může dát hodně práce - a přináší spíše kosmetické výhody.

V ideálním případě chráníte oblast správy WP co nejelegističtějším způsobem. Velký modul plug-in zabezpečení byste měli nainstalovat pouze v případě, že nakonfigurujete a používáte jeho další funkce smysluplným způsobem. Pokud se tedy zajímáte pouze o skrytí správce WP, doporučujeme, abyste co nejvíce zeštíhlily Plugin . Cokoliv jiného by bylo přehnané.

Skrytí správce WP je samo o sobě jako bezpečnostní opatření zanedbatelné. V zásadě platí i následující: žádný zásuvný modul nenahradí silné heslo a znalost nejdůležitějších bezpečnostních chyb WordPressu. A každý nový zásuvný modul s sebou nese riziko zavedení bezpečnostních chyb v kódu. Je proto důležité přesně zvážit, které a kolik jich nainstalujete.

Stoprocentní ochrana neexistuje pro žádné webové stránky. Podle našeho názoru skrytí oblasti wp-admin ve skutečnosti nezvyšuje bezpečnost. Může však výrazně přispět k vnímanému zabezpečení. Zejména pokud pracujete jménem klienta, neměli byste sílu jeho vnímání podceňovat. V žádném případě však není dostačující jako jediné nebo ústřední bezpečnostní opatření. Pokud je však upravená adresa URL koncipována jako jedna z mnoha vrstev vašeho bezpečnostního systému, může být užitečným doplňkem vaší bezpečnostní koncepce.

Líbil se vám tento článek?

Svou recenzí nám pomůžete zlepšit náš obsah.

Tobias Schüring

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.