Skrýt WP admin: Populární, komplikované a ne příliš efektivní

Tobias Schüring Naposledy aktualizováno 20.
9 min.
wp admin skrýt
Naposledy aktualizováno 20.

Téměř každý ví, jak používat přihlašovací bariéru do admin oblasti pro WordPress ve výchozím nastavení dosáhnout. Tam více než 34 procent všech webových stránek S WordPress je snadné pro hackery najít a zaútočit na přihlašovací oblasti těchto stránek. To je přesně důvod, proč vhodné hacky, jako jsou Brute Force útoky, na nejčastějšími útoky na WordPress stránky vůbec. Jednoduché ochranné opatření se zdá být skrýt wp admin oblasti. Dnes vám ukážu, jak užitečná je tato technika a jak ji můžete implementovat.

Brute Force Útoky jsou pravděpodobně nejčastějším typem útoku na WordPress stránky vůbec. Pouze poskytovatel zabezpečení Wordfence V roce 2017, během několika měsíců letošního roku, téměř 1 miliarda takových útoků – zatím nepočítáme nehlášené číslo. Aby se snížilo bezpečnostní riziko Brute Force Chcete-li omezit útoky, má v zásadě smysl omezit pokusy o přihlášení po příliš mnoha neúspěšných pokusech. Kromě toho mnoho WordPress webmaster jinou metodu: oni se pohybují WP admin oblasti , takže to již nelze nalézt pod příponou wp-admin.

Mnoho bezpečnostních pluginů proto nabízí odpovídající funkci. Kdo se může také pustit do souboru .htaccess. Ale skrývání admin oblasti WP není opravdu dobré bezpečnostní opatření samo o sobě. Může to však být užitečný doplněk.

Skrýt WP Admin: Jaký to má smysl?

Za myšlenkou skrytí oblasti správy WP je princip zabezpečení prostřednictvím zatemnění ("Bezpečnost prostřednictvím zapomnění / nejednoznačnosti") – myšlenka, že bezpečnost systému je silnější, pokud jeho fungování zůstává tajné. Nebo jinak řečeno, pokud útočník neví, kde jsou vaše přední dveře, může se plížit kolem vašeho domu, ale nevloupat se dovnitř.

Bezpečnost prostřednictvím neznáma – v praxi bezzubý tygr

Tento přístup je mezi odborníky kontroverzní – a ne bezdůvodně. V tomto případě skutečnost, že informace jsou bezpečné, neznamená, že již není možné k nim vůbec přistupovat. Je to tam, ale je to schované. Se správnými nástroji mohou hackeři stále najít vaši přihlašovací stránku, když ji na ní položí.

A tady přichází skutečný problém s zabezpečení prostřednictvím zatemnění do hry: Často se přístup používá k zakrytí problémů, které by měly být odstraněny úplně místo. Je vaše jméno správce Admin a vaše heslo Heslo123!, hacker je ve vašem backendu v žádném okamžiku, když najde skryté přihlašovací stránku.

Stručně řečeno, skrytá oblast správy nezabrání útočníkům v útoku, ale pouze prodlužuje čas, který je třeba vynakládát na provedení útoku. Bohužel však není možné zcela zamaskovat skutečnost, že vaše WordPress -projekty, které WordPress Stránky. Takže skrývání ADMIN WP by nemělo být vaše jediné bezpečnostní opatření. Když na to míříš, tak tě to nevezme na útěk.

Koncept zabezpečení prostřednictvím zatemnění je tedy v ideálním případě jednou z mnoha vrstev vašeho konceptu zabezpečení. Omezit pokusy o přihlášení (LLA), silné heslo s dvoufaktorovým ověřováním a, pokud skončíte s jedním, úhledně nakonfigurované zabezpečení Plugin jsou smysluplnou kombinací. Skrytí admin oblasti je jen třešničkou na dortu.

V některých případech má skrytí správce WP stále smysl

Ale teď tam jsou vlastně některé situace, ve kterých to může mít smysl skrýt ADMIN WP:

  • Skrytí admin WP má silný vliv na vnímanou bezpečnost WordPress Stránka. Zvláště když pracujete jménem svého zákazníka, skrytý správce WP má smysl maximalizovat pocit bezpečnosti vašeho zákazníka.
  • Pokud hackeři Brute Force Útok na vašich stránkách, váš webový server může být "přehřátý" o vysoký počet požadavků sám. Pokud přesunete admin oblasti, budete mít alespoň primitivní Brute Force Útoky od samého počátku větru z plachet.
  • Někteří zákazníci mohou být příjemně překvapeni skrytím admin oblasti, například pokud ji přesunete pod /Name-of-Company. Tak, můžete vytvořit malý, ale jemný branding efekt.

Již můžete vidět, že tato opatření jsou spíše kosmetické povahy. Ale i vyšší pocit bezpečí může někdy pomoci. To je důvod, proč jsem vám ukázat, jak používat wp admin s a bez Plugins lze zajistit.

Plugins jen použít admin skrývání, to dává smysl?

Velká bezpečnost Plugins Kromě mnoha dalších funkcí, ale také nabízejí možnost skrýt admin oblasti a přesnou povahu vašich stránek. Jak jsem řekl, mám kritický názor na toto: Objemný Plugin jen změnit URL nevyřeší všechny vaše problémy jedním tahem. Teprve po důkladné diskusi o tématu se můžete rozhodnout, která bezpečnostní opatření mají pro váš projekt vůbec smysl.

Pokud jde o Plugins ale máte dvě možnosti v zásadě:

  • Slim Plugins , které jsou určeny pouze ke skrytí přihlašovací oblasti
  • Plugins , které poskytují skrytí přihlašovací oblasti, ale mohou udělat mnohem více

Komplexní bezpečnost Plugins jsou objemnější díky své rozšířené funkčnosti. Proto jsou v zásadě rozumné pouze tehdy, pokud víte, čeho s nimi chcete dosáhnout: například uzamknout určité IP adresy, použít bránu firewall webových aplikací (WAF) nebo z vykazování Plugins Prospěch. Otázka, jak užitečné zabezpečení Plugins jsou reálné, také odpovídáme v tomto článku.

Velký Plugin nainstalovat pouze skrýt admin oblasti, na druhé straně, je zbytečná. Vaše rychlost nabíjení trpí a máte malou přidanou hodnotu. A to není náhrada za řešení bezpečnostních prvků.

Oblast pro správu s Plugin je proto vhodné pouze v případě, že jej můžete používat bez výrazného výkonu nebo funkční ztráty – jako byste hezké mítNavíc k tomu je velký Plugin jako je iThemes Security nebo Wordfence Nedoporučoval bych instalaci.

Zde je několik štíhlejší alternativy skrýt své admin oblasti:

WPS Skrýt přihlášení

wps skrýt přihlášení
Například správce WP lze použít s WPS Skrýt přihlášení Plugin Skrýt.

Tento bezplatný Plugin dělá přesně A Věc: Změní dvě adresy URL /wp-admin a /wp-login.php na adresy, které zadáte. To přidává překážku pro hackery a dělá vaše stránky trochu bezpečnější. S více než 400 000 aktivními instalacemi a průměrným hodnocením 4,9 hvězdiček (s více než 1 100 recenzemi!) Plugin prokázáno v praxi.

Chraňte svého správce

ochrana správce
Volitelně to funguje i s Plugin Chraňte svého správce.

Tá Plugin přes některé další funkce, je jedním z štíhlejší ty na trhu a umožňuje zadat vlastní URL pro / wp-admin a / wp-login.php. Pokud se pokusíte o přístup k těmto dvěma stránkám, skončíte místo toho na domovské stránce. 40 000 uživatelů má Plugin v současné době nainstalován, průměrné pořadí je 3,8 hvězdy. Placený upgrade odemkne některé další funkce, jako je například čítač pokusů o přihlášení.

Cerber Security, Antispam & Malware Scan

cerber bezpečnostní antispamový malware skenování
Auch das Cerber bezpečnost Plugin střeží správce WP.

Tento Plugin skryje ,wp-login.php a místo toho zobrazí chybovou zprávu 404. Ale to může udělat mnohem víc - takže to stojí za podrobnou diskusi o nástroji. Hodnocení je v současné době 4.9 hvězdiček a existuje kolem 100,000 aktivních uživatelů. Tá Plugin je zdarma.

WP Skrýt & Bezpečnostní Enhancer

wp skrýt bezpečnostní enhancer
Další alternativou je o něco objemnější Plugin WP Skrýt bezpečnostní enhancer.
 

Tento bezplatný Plugin skrývá skutečnost, že vaše webové stránky jsou WordPress Spustí. Zda je to v zásadě rozumné, je třeba ponechat na paměti (s nástrojem, jako je Builtwith to může být rychle vyveden na světlo, ale změní adresy URL / wp-admin a / wp-login.php na jakoukoli jinou adresu URL ve stejném tahu. Více než 50 000 webmasterů Plugin v současné době je průměrné hodnocení 4.3 hvězdiček.

Nebojte se špatného kódu: Zabezpečte pomocí přístupu .htaccess

Chcete-li skrýt, že vaše stránky jsou WordPress instalace, pak můžete udělat přes některé z právě uvedených Plugins Udělej to. Nebo se můžete dostat přímo na soubor .htaccess. Jedná se o jeden z nejdůležitějších souborů WordPress instalace spuštěné na serverech Apache (Poznámka: RAIDBOXESstránky neběží na serverech Apache, takže .htaccess nemá žádný vliv na webový server). Například .htaccess definuje, které soubory a adresáře jsou viditelné na vaší stránce a kdo má přístup k čemu.

S malými změnami v tomto souboru můžete dát vašemu webu další vrstvu zabezpečení. Konkrétně vložíte jednotlivé fragmenty kódu, které omezují přístup k wp-config.php nebo blokují určité IP adresy. Důrazně doporučuji, abyste vytvořili Zálohování vytvoření tohoto souboru - pokud se něco pokazí, můžete se pak rychle a snadno vrátit do původního stavu. A s .htaccess, i malá chyba v kódu může být dost paralyzovat stránku.

Varianta 1: Povolit pouze určité IP adresy

S .htaccess můžete chránit jakýkoli adresář v zásadě - v tomto případě chcete zabezpečit admin oblasti v cílené způsobem. Proto nahrajete nový přístup HTv> v adresáři wp-admin. Pokud místo toho použijete hlavní adresář WordPress Pokud zjistíte, že přístup mají pouze určité IP adresy, vyloučíte všechny ostatní z celé stránky, nikoli pouze z oblasti správy.

V adresáři .htaccess adresáře správce nyní máte možnost blokovat přístup ke stejnému adresáři určitým IP adresy. Pokud používáte statickou IP adresu sami, doporučujeme vyloučit všechny IP adresy kromě vlastních. Tímto způsobem, pouze vy máte přístup k admin oblasti sami.

Mimochodem, můžete udělat totéž pro vyloučení IP z wp-login.php stránky. Neautorizované IP adresy mohou být například přesměrovány na stránku 404 (nebo jinou stránku podle vašeho výběru) a již nemají přístup k přihlašovací masce. To lze provést vložením odpovídajícího kódu.

  • V WordPress Codex je popsáno, jak můžete vytvořit jednotlivé adresáře vašeho WordPress -může chránit instalaci
  • Kolegové WP-Začátečník zobrazit en detail jak chránit správce WP prostřednictvím .htaccess
  • Plugin výrobce wpmudev ukazuje v komplexním průvodcijak používat .htaccess k ochraně vašich stránek

Varianta 2: Konfigurace ochrany heslem (nebo dvoufaktorového ověřování)

Dalším a velmi běžným způsobem ochrany oblasti správy pomocí přístupu htaccess je vytvoření dalšího ověřování HTTP. Server pak vyžaduje odpovídající přístupová data, aby bylo možné WordPress přihlašovací stránce.

To znamená trochu více úsilí pro vás při přihlášení, ale mnoho útočníků hodit zbraň do obilí v tomto bodě. Brute Force Útoky jsou blokovány ještě předtím, než vůbec začaly. Nicméně, ani tato ochrana není zcela spolehlivý, protože mnoho útoků na Rozhraní XMLrpc Spustit. Toto standardně implementované rozhraní umožňuje hackerům používat Brute Force Útoky Spustit. Útoky jsou podobné těm, které jsou na stránce wp-admin, ale stovky kombinací přihlášení a hesel mohou být požadovány současně. Proto je třeba říci, v tomto bodě, že rozumnější ochrana není další přihlášení, ale dvoufaktorové ověřování

Nicméně, pro instalaci další ochrany heslem, budete potřebovat jiný soubor kromě .htaccess, a to takzvaný .htpasswd. Obsahuje pověření, které potřebujete k ověření. Chcete-li je vytvořit, můžete odpovídající on-line nástroje Použít. Zašifrujete požadované heslo (například Günterdergroße86) podle formátu MD5 (Günterdergroße86 vypadá takto: $apr1"R71r9bVr-6S99bG1Z9R9yYHXcOCG6m/). MD5 je jedním z pěti formátů hesel, se kterými může server Apache pracovat. Nakonec si však stačí pamatovat nešifrované heslo – zbytek automaticky převezme server.

Takto generovaný .htpasswd je umístěn na stejné úrovni jako .htaccess, obvykle nejvyšší úroveň adresáře WordPress Adresář.

V .htaccess nyní definujete, že při přístupu k wp-login.php by mělo dojít k ověřování HTTP a pomocí fragmentu kódu můžete vytvořit odkaz na soubor .htpasswd. To umožňuje serveru přístup k předem určeným pověřením v jiném souboru. Jak toho lze provést, například zde .

.htaccess pak určuje, že autorizace je vyžadována pro přístup /wp-login.php, a kde server najde příslušná pověření (konkrétně v .htpasswd). Kromě toho zabráníte přístupu k .htaccess, .htpasswd a wp-config.php, abyste zajistili, že nikdo, ale můžete překonfigurovat instalaci.

Zdá se ti všechno dost trapné? Je to tak. Kromě toho může tato dodatečná ochrana heslem ovlivnit Slučitelnost Plugins Postižené. Proto bych vždy doporučil dvoufaktorovou autentizaci. To může být rychle Plugin a také poskytuje ještě větší ochranu proti neoprávněnému vniknutí. Důvodem je, že ověřovací kódy jsou přenášeny prostřednictvím externího systému.

Závěr: Skrytí admin WP může být hodně práce - a přináší více kosmetických výhod

V ideálním případě budete chránit vaše WP admin oblasti v nejvíce elegantním způsobem je to možné. Velký modul plug-in zabezpečení byste měli nainstalovat pouze v případě, že nakonfigurujete a používáte jeho další funkce smysluplným způsobem. Takže pokud jste jen o skrývání ADMIN WP, doporučujeme, abyste štíhlé, jak je to možné Plugin . Cokoliv jiného by bylo přehnané.

Jako samostatné bezpečnostní opatření je skrytí správce WP v každém případě zanedbatelně efektivní. V zásadě platí i toto: Plugin nahrazuje silné heslo a znalost nejdůležitějších WordPress Chyby zabezpečení. A každý nový Plugin představuje riziko, že se do kódu vyvedou slabá místa zabezpečení. Je proto důležité zvážit přesně, které a kolik nainstalujete.

Neexistuje žádná webová stránka pro 100% ochranu. Podle našeho názoru, skrývá wp-admin oblasti nepřináší žádné skutečné zabezpečení. Může však nesmírně přispět k vnímané bezpečnosti. Zvláště pokud pracujete jménem zákazníka, neměli byste podceňovat sílu vnímání zákazníka. Nepostačuje však jako jediné nebo centrální bezpečnostní opatření. Pokud je však upravená adresa URL navržena jako jedna z mnoha vrstev systému zabezpečení, může smysluplně doplnit koncept zabezpečení.

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Podobné články

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena * .