Skrýt správce WP: Populární, propracované a ne příliš efektivní

Tobias Schüring Naposledy aktualizováno 20. října 2020
9 min.
Skrýt správce wp
Naposledy aktualizováno 20. října 2020

Téměř každý ví, jak používat přihlašovací bariéru do administrativní oblasti pro WordPress lze dosáhnout ve výchozím nastavení. Vzhledem k tomu, že více než 34 procent všech webových stránek WordPress pro hackery je snadné najít a napadnout přihlašovací oblasti těchto stránek. To je přesně důvod, proč vhodné hacky, jako je Brute Force útoky, na nejčastější útoky na WordPress stránky vůbec. Zdá se, že jednoduchým ochranným opatřením je skrytí oblasti správy WP. Dnes vám ukážu, jak užitečná je tato technika a jak ji můžete implementovat.

Brute Force Útoky jsou pravděpodobně nejčastějším typem útoku na WordPress stránky vůbec. Pouze poskytovatel zabezpečení Wordfence V roce 2017, během několika měsíců letošního roku, došlo k téměř 1 miliardě takových útoků – dosud nepočítaje neohlášené číslo.Aby se snížilo bezpečnostní riziko Brute Force Chcete-li omezit útoky, má v zásadě smysl omezit pokusy o přihlášení po příliš mnoha neúspěšných pokusech. Kromě toho mnoho WordPress webmaster jinou metodu: přesunou oblast správyWP tak, aby ji již nebylo možné najít pod příponou wp-admin.

Mnoho bezpečnostních pluginů proto nabízí odpovídající funkci. Kdo se také může odvážit do souboru .htaccess. Ale skrytí oblasti správy WP není samo o sobě opravdu dobrým bezpečnostním opatřením. Může to však být užitečný doplněk.

Skrýt správce WP: Jaký to má smysl?

Za myšlenkou skrývání administrativní oblasti WP je princip bezpečnosti prostřednictvím nejasností – myšlenka, že bezpečnost systému je silnější, dokud jeho fungování zůstává tajné. Nebo jinak řečeno, pokud útočník neví, kde jsou vaše přední dveře, může se vplížit kolem vašeho domu, ale ne vloupat se dovnitř.

Bezpečnost v zapomnění – v praxi bezzubý tygr

Tento přístup je mezi odborníky kontroverzní – a ne bezdůvodně. V tomto případě skutečnost, že informace jsou bezpečné, neznamená, že již k nim není vůbec možný přístup. Je to tam, ale je to schované. Se správnými nástroji mohou hackeři stále najít vaši přihlašovací stránku, když ji na ní naloží.

A to je místo, kde vstupuje do hry skutečný problém s bezpečností prostřednictvím tmy: často se tento přístup používá k zakrytí problémů, které by měly být místo toho zcela odstraněny. Pokud je vaše jméno správce správce a vaše heslo je heslo123! , hacker je ve vašem back-endu v žádném případě, když najde vaši skrytou přihlašovací stránku.

Stručně řečeno, skrytá oblast správy nezabrání útočníkům v útoku, ale pouze prodlužuje čas, který je třeba strávit prováděním útoku. Bohužel však není možné zcela zamaskovat skutečnost, že vaše WordPress -projekty na WordPress Stránky. Takže skrytí správce WP by nemělo být jediným bezpečnostním opatřením. Pokud na to míříte, nepoveze vás to na útěk.

Koncept bezpečnosti prostřednictvím zapomnění je proto ideálně jednou z mnoha vrstev vašeho konceptu zabezpečení. Omezit pokusy o přihlášení (LLA), silné heslo s dvoufaktorovým ověřováním a pokud ho nakonec používáte, úhledně nakonfigurované zabezpečení Plugin jsou smysluplnou směsí. Skrytí administrativní oblasti je jen polevá na dortu.

V některých případech má skrytí správce WP stále smysl

Ale nyní existují ve skutečnosti některé situace, ve kterých může mít smysl skrýt správce WP:

  • Skrytí správce WP má silný vliv na vnímané zabezpečení WordPress Stránka. Zejména když pracujete jménem zákazníka, skrytý správce WP má smysl maximalizovat pocit zabezpečení zákazníka.
  • Pokud hackeři Brute Force Útok na váš web, váš webový server může být "přehřátý" pouze vysokým počtem požadavků. Pokud přesunete oblast správy, vezmete alespoň primitivní Brute Force Útoky od samého začátku větru z plachet.
  • Někteří zákazníci mohou být příjemně překvapeni skrytím administrativní oblasti, např. pokud ji přesunete pod /Name-of-Company. Můžete tak vytvořit malý, ale jemný efekt značky.

Již nyní můžete vidět, že tato opatření jsou spíše kosmetické povahy. Ale i vyšší pocit bezpečí může někdy pomoci. Proto vám ukážu, jak používat správce WP s a bez Plugins lze zabezpečit.

Plugins jen pro použití admin skrývání, dává to smysl?

Velká bezpečnost Plugins Kromě mnoha dalších funkcí nabízejí také možnost skrýt oblast správy a přesnou povahu vašeho webu. Jak jsem již řekl, zaujmu kritickýnázor na toto: objemný Plugin jen změna ADRESY URL nevyřeší všechny vaše problémy jedním skokem. Teprve po důkladné diskusi o tématu se můžete rozhodnout, která bezpečnostní opatření mají pro váš projekt vůbec smysl.

Pokud jde o Plugins ale v zásadě máte dvě možnosti:

  • Slim Plugins , které jsou určeny pouze ke skrytí přihlašovací oblasti
  • Plugins , které poskytují skrytí přihlašovací oblasti, ale mohou udělat mnohem více

Komplexní bezpečnost Plugins jsou objemnější díky své rozšířené funkčnosti. Proto jsou v zásadě rozumné pouze v případě, že víte, čeho s nimi chcete dosáhnout: například uzamknout určité IP, použít bránu firewall webových aplikací (WAF) nebo z vykazování Plugins Prospěch. Otázka, jak užitečné zabezpečení Plugins odpovíme také v tomto článku.

Velký Plugin chcete-li nainstalovat pouze pro skrytí oblasti správy, na druhé straně je přehnané. Vaše rychlost nabíjení trpí a máte malou přidanou hodnotu. A to nenahrazuje práci s bezpečnostními prvky.

Oblast správy s Plugin je proto vhodné pouze tehdy, pokud jej můžete použít bez většího výkonu nebo funkčních ztrát – je hezké mít. Navíc za to, velký Plugin například iThemes Security nebo Wordfence Nedoporučoval bych instalaci.

Zde je několik štíhlejších alternativ, jak skrýt oblast správy:

WPS Skrýt přihlášení

wps skrýt přihlášení
Správce WP lze například použít s přihlášením WPS Hide Login Plugin Skrýt.

Tato bezplatná Plugin dělá přesně jeden Věc: Změní dvě adresy URL /wp-admin a /wp-login.php na adresy, které určíte. To přidává překážku pro hackery a činí váš web o něco bezpečnějším. S více než 400 000 aktivními instalacemi a průměrným hodnocením 4,9 hvězdičkami (s více než 1 100 recenzemi!) Plugin prokázány v praxi.

Chraňte svého správce

chraňte svého správce
Volitelně to funguje také s Plugin Chraňte svého správce.

Tá Plugin navzdory některým dalším funkcím je jednou z štíhlejších na trhu a umožňuje zadat vlastní adresu URL pro /wp-admin a /wp-login.php. Pokud se pokusíte o přístup ke dvěma stránkám, skončíte místo toho na domovské stránce. 40 000 uživatelů má toto Plugin aktuálně instalované, průměrné hodnocení je 3.8 hvězdiček. Placený upgrade odemkne některé další funkce, například čítač pokusů o přihlášení.

Cerber Security, Antispam & Malware Skenování

cerber zabezpečení antispam malware skenování
Zabezpečení Auch das Cerber Plugin chrání správce WP.

Tento Plugin skryje /wp-login.php a místo toho zobrazí chybovou zprávu 404. Může však udělat mnohem více – takže stojí za to podrobnou diskusi o nástroji. Hodnocení je v současné době 4.9 hvězdiček a existuje kolem 100,000 aktivních uživatelů. Tá Plugin je zdarma.

WP Skrýt a vylepšovat zabezpečení

WP Skrýt vylepšení zabezpečení
Další alternativou je o něco objemnější Plugin WP Skrýt vylepšení zabezpečení.
 

Tato bezplatná Plugin skrývá skutečnost, že váš web je WordPress Spustí. Zda je to v zásadě rozumné, je ponecháno na jedné straně (s nástrojem, jako je BuiltWith, to může být rychle znovu vyneseno na světlo), ale ve stejném kroku změní adresy URL /wp-admin a /wp-login.php na jakoukoli jinou adresu URL. Více než 50 000 webmasterů nastavilo Plugin v současné době je průměrné hodnocení 4.3 hvězdiček.

Nebojte se špatného kódu: Zabezpečte pomocí .htaccess

Pokud chcete skrýt, že váš web je WordPress instalaci, pak to můžete udělat prostřednictvím některých z právě uvedených Plugins Udělej to. Nebo se můžete dostat přímo do souboru .htaccess. Jedná se o jeden z nejdůležitějších souborů WordPress instalace spuštěné na serverech Apache (Poznámka: RAIDBOXES stránky nejsou spuštěny na serverech Apache, takže .htaccess nemá žádný vliv na webový server). Soubor HTACCESS například definuje, které soubory a adresáře jsou na stránce viditelné a kdo k čemu má přístup.

S malými změnami v tomto souboru můžete dát svému webu další vrstvu zabezpečení. Konkrétně vložíte jednotlivé úryvky kódu, které omezují přístup k wp-config.php nebo blokují určité IP. Důrazně doporučuji, abyste si před provedením jakýchkoli změn provedli zálohu tohoto souboru – pokud se něco pokazí, můžete se rychle a snadno vrátit do původního stavu. A s .htaccess, i malá chyba v kódu může stačit k paralyzování vaší stránky.

Varianta 1: Povolit pouze určité IP

S .htaccess můžete v zásadě chránit jakýkoli adresář – v tomto případě chcete zabezpečit oblast správy cíleným způsobem. Proto nahrajete nový .htaccess do adresáře wp-admin. Pokud místo toho použijete hlavní adresář WordPress Pokud zjistíte, že přístup mají pouze určité IP, vyloučíte všechny ostatní z celé stránky namísto pouze z oblasti správy.

V adresáři .htaccess adresáře správce máte nyní možnost zablokovat určitým IP přístup ke stejnému adresáři. Pokud používáte statickou IP adresu sami, doporučujeme vyloučit všechny IP adresy kromě vašich vlastních. Tímto způsobem budete mít přístup do oblasti správy pouze vy sami.

Mimochodem, totéž můžete udělat pro vyloučení IPs ze stránky wp-login.php stránky. Neautorizované ADRESY mohou být přesměrovány například na stránku 404 (nebo jinou stránku podle vašeho výběru) a již nemají přístup k přihlašovací masce. To lze provést vložením odpovídajícího kódu.

  • In WordPress Kodex je popsán tak, že můžete vytvářet jednotlivé adresáře WordPress - může chránit instalaci
  • Kolegové WP-Beginner ukazují podrobně, jak chránit správce WP prostřednictvím .htaccess
  • Výrobce pluginů wpmudev ukazuje v komplexní příručce,jak můžete použít .htaccess k ochraně vašich stránek

Varianta 2: Konfigurace ochrany heslem (nebo dvoufaktorové ověřování)

Dalším a velmi běžným způsobem ochrany oblasti správy pomocí .htaccess je vytvoření dalšího ověřování HTTP. Server pak vyžaduje odpovídající přístupová data, aby mohl WordPress přihlašovací stránky.

To pro vás znamená trochu více úsilí při přihlašování, ale mnoho útočníků v tomto okamžiku hodí zbraň do zrna. Brute Force Útoky jsou blokovány ještě předtím, než vůbec začaly. Ani tato ochrana však není zcela shodná, protože mnoho útoků prochází rozhraním XMLrpc. Toto standardně implementované rozhraní umožňuje hackerům používat DDoS a Brute Force Spouštět útoky. Útoky jsou podobné útokům na stránce wp-admin, ale současně lze požádat o stovky kombinací přihlašovacích údajů a hesel. Proto je třeba v tuto chvíli říci, že rozumnější ochranou není další přihlášení, ale dvoufaktorové ověřování.

Chcete-li však nainstalovat další ochranu heslem, potřebujete kromě .htaccess další soubor, a to tzv. .htpasswd. Obsahuje pověření, která potřebujete k ověření. Chcete-li je vytvořit, můžete použít příslušné online nástroje. Požadované heslo (například Günterdergroße86) zašifrujte podle formátu MD5 (Günterdergroße86 vypadá takhle: $apr 1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 je jedním z pěti formátů hesel, se kterým může server Apache pracovat. Nakonec si však musíte pamatovat pouze nezašifrované heslo – server přebírá zbytek automaticky.

.htpasswd generovaný tímto způsobem je umístěn na stejné úrovni jako .htaccess, obvykle nejvyšší úroveň adresáře WordPress Adresář.

V .htaccess nyní definujete, že ověřování HTTP by mělo probíhat při přístupu k wp-login.php a odkaz na .htpasswd pomocí fragmentu kódu. To umožňuje serveru přístup k předem stanoveným pověřením v druhém souboru. Zde je například vysvětleno, jak toho lze například provést.

.htaccess pak určí, že pro přístup k /wp-login je vyžadována autorizace.php a kde server najde příslušná pověření (konkrétně v .htpasswd). Kromě toho zabráníte přístupu k .htaccess, .htpasswd a wp-config.php abyste zajistili, že nikdo kromě vás nebude moci překonfigurovat instalaci.

Zdá se ti všechno dost trapné? Je to tak? Kromě toho může tato dodatečná ochrana heslem ovlivnit Kompatibilita Plugins zhoršené. Proto bych vždy doporučil dvoufaktorové ověřování. To může být rychle Plugin a také poskytuje ještě větší ochranu proti neoprávněnému vniknutí. Je to proto, že ověřovací kódy jsou přenášeny prostřednictvím externího systému.

Závěr: Skrytí správce WP může být hodně práce – a přináší více kosmetických výhod

V ideálním případě chráníte oblast správy WP co nejelegističtějším způsobem. Velký modul plug-in zabezpečení byste měli nainstalovat pouze v případě, že nakonfigurujete a používáte jeho další funkce smysluplným způsobem. Pokud se tedy zajímáte pouze o skrytí správce WP, doporučujeme, abyste co nejvíce zeštíhlily Plugin . Cokoliv jiného by bylo přehnané.

Jako samostatné bezpečnostní opatření je skrytí správce WP v každém případě zanedbatelné lynoticky efektivní.V zásadě platí také: Ne Plugin nahrazuje silné heslo a znalost nejdůležitějších WordPress Chyby zabezpečení. A každý nový Plugin představuje riziko, že kód přinese bezpečnostní chyby zabezpečení. Proto je důležité přesně zvážit, který a kolik jich nainstalujete.

Neexistuje žádná webová stránka pro 100% ochranu. Podle našeho názoru skrytí oblasti wp-admin nepřinese žádné skutečné zabezpečení. Ale může to nesmírně přispět k vnímané bezpečnosti. Zejména pokud pracujete jménem zákazníka, neměli byste podceňovat sílu vnímání zákazníka. Není to však dostatečné jako jediné nebo centrální bezpečnostní opatření. Pokud je však upravená adresa URL navržena jako jedna z mnoha vrstev vašeho bezpečnostního systému, může smysluplně doplnit váš koncept zabezpečení.

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Podobné výrobky

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.