Skjul WP admin: Populære, udarbejde og ikke særlig effektiv

Tobias Schüring Senest opdateret den 20.
9 Min.
wp admin skjule
Senest opdateret den 20.

Næsten alle ved, hvordan man bruger login-barrieren til admin-området for WordPress kan nås som standard. Da mere end 34 procent af alle websteder med WordPress det er nemt for hackere at finde og angribe login-områder på disse websteder. Det er netop derfor, passende hacks, såsom Brute Force angreb, til de mest almindelige angreb på WordPress sider overhovedet. En simpel beskyttelse foranstaltning synes at være at skjule WP admin område. I dag vil jeg vise dig, hvor nyttig denne teknik er, og hvordan du kan gennemføre den.

Brute Force Angreb er nok den mest almindelige form for angreb på WordPress sider overhovedet. Kun sikkerhedsudbyderen Wordfence I 2017, i et par måneder af dette år, næsten 1 milliard sådanne angreb - endnu ikke tælle det urapporterede tal.For at mindske sikkerhedsrisikoen ved Brute Force For at dæmme op for angreb giver det i princippet mening at begrænse loginforsøg efter for mange mislykkede forsøg. Derudover er der mange WordPress webmaster en anden metode: de flytter WP admin område,så det ikke længere kan findes under suffikset wp-admin.

Mange sikkerheds-plugins tilbyder derfor en tilsvarende funktion. Hvem kan også vove sig til .htaccess-filen. Men at skjule WP admin-området er ikke en rigtig god sikkerhedsforanstaltning i sig selv. Det kan dog være en nyttig tilføjelse.

Skjul WP Admin: Hvad er pointen?

Bag tanken om at skjule WP admin området er princippet om sikkerhed gennem ubemærkethed - tanken om, at sikkerheden i et system er stærkere, så længe dets funktion forbliver hemmelig. Eller sagt på en anden måde, hvis angriberen ikke ved, hvor din hoveddør er, kan han snige sig rundt i dit hus, men ikke bryde ind.

Sikkerhed gennem ubemærkethed – i praksis en tandløs tiger

Denne tilgang er kontroversiel blandt eksperter - og ikke uden grund. I dette tilfælde betyder det faktum, at oplysningerne er sikre, ikke, at det slet ikke længere er muligt at få adgang til dem. Den er der, men den er skjult. Med de rigtige værktøjer kan hackere stadig finde din login-side, når de lægger den på den.

Og det er her, det virkelige problem med sikkerhed gennem ubemærkethed kommer i spil: ofte bruges tilgangen til at dække over problemer, der i stedet bør elimineres helt. Hvis dit administratornavn er admin og din adgangskode er password123! , hackeren er i din backend på ingen tid, når han finder din skjulte login-side.

Kort sagt forhindrer et skjult admin-område ikke angribere i at angribe, men forlænger kun den tid, det skal bruges til at udføre angrebet. Desværre er det imidlertid umuligt helt at skjule det faktum, at din WordPress -projekter, der skal WordPress Sider. Så skjule WP admin bør ikke være din eneste sikkerhedsforanstaltning. Hvis du sigter efter det, tager det dig ikke til flugt.

Begrebet sikkerhed gennem ubemærkethed er derfor ideelt set et af mange lag af dit sikkerhedskoncept. Begræns loginforsøg (LLA), en stærk adgangskode med tofaktorgodkendelse og, hvis du ender med at bruge en, en pænt konfigureret sikkerhed Plugin er en meningsfuld blanding. Skjule admin området er bare prikken over i'et.

I nogle tilfælde giver det stadig mening at skjule WP-administratoren

Men nu er der faktisk nogle situationer, hvor det kan være fornuftigt at skjule WP admin:

  • Skjule WP admin har en stærk indflydelse på den opfattede sikkerhed i en WordPress Side. Især når du arbejder på vegne af din kunde, giver en skjult WP-administrator mening for at maksimere din kundes følelse af sikkerhed.
  • Hvis hackere Brute Force Angreb på dit websted, kan din webserver være "overophedet" af det store antal anmodninger alene. Hvis du flytter admin-området, tager du i det mindste primitive Brute Force Angreb fra begyndelsen af vinden ud af sejlene.
  • Nogle kunder kan blive glædeligt overrasket ved at skjule admin-området, f.eks. hvis du flytter det under /Name-of-Company. Således kan du oprette en lille, men fin branding-effekt.

Du kan allerede se, at disse foranstaltninger er temmelig kosmetisk karakter. Men selv en højere følelse af sikkerhed kan nogle gange hjælpe. Det er derfor, jeg vil vise dig, hvordan du bruger din WP admin med og uden Plugins kan sikres.

Plugins bare for at bruge admin skjule, giver det mening?

Stor sikkerhed Plugins Ud over mange andre funktioner tilbyder de også muligheden for at skjule admin-området og den nøjagtige karakter af dit websted. Som jeg allerede har sagt, er jeg kritisk overfor dette: en omfangsrig Plugin bare for at ændre en webadresse vil ikke løse alle dine problemer i ét slag. Først efter en grundig diskussion af emnet kan du beslutte, hvilke sikkerhedsforanstaltninger der giver mening for dit projekt overhovedet.

Med hensyn til Plugins men du har to muligheder i princippet:

  • Slank Plugins , som kun er beregnet til at skjule loginområdet
  • Plugins , som giver skjule login-området, men kan gøre meget mere

Omfattende sikkerhed Plugins er mere omfangsrige på grund af deres udvidede funktionalitet. Derfor er de kun fornuftige i princippet, hvis du ved, hvad du vil opnå med dem: for eksempel låse visse IPs, bruge Web Application Firewall (WAF) eller fra rapportering af Plugins Fordel. Spørgsmålet om, hvor nyttig sikkerhed Plugins vi svarer også i denne artikel.

En stor Plugin at kun installere for at skjule admin området, på den anden side, er overkill. Din opladningshastighed lider, og du har ringe merværdi. Og det er ikke en erstatning for at håndtere sikkerhedsfunktioner.

Administrationsområdet med en Plugin er derfor kun tilrådeligt, hvis du kan bruge det uden større ydeevne eller funktionelle tab - så rart at have. Ekstra til dette, en stor Plugin såsom iThemes Security eller Wordfence Jeg vil ikke anbefale at installere.

Her er et par slankere alternativer til at skjule dit admin-område:

WPS Skjul logon

wps skjule login
WP-administratoren kan f.eks. Plugin Skjule.

Denne gratis Plugin gør præcis én Ting: Det ændrer de to webadresser / wp-admin og / wp-login.php til adresser, du angiver. Dette tilføjer en forhindring for hackere og gør dit websted lidt sikrere. Med over 400.000 aktive installationer og en gennemsnitlig vurdering på 4,9 stjerner (med over 1.100 anmeldelser!), Plugin bevist i praksis.

Beskyt din administrator

beskytte din administrator
Det fungerer også sammen med Plugin Beskyt din administrator.

Den Plugin på trods af nogle andre funktioner, er en af de slankere dem på markedet og giver dig mulighed for at angive en brugerdefineret URL til / wp-admin og / wp-login.php. Hvis du forsøger at få adgang til de to sider, ender du i stedet på din startside. 40.000 brugere har denne Plugin i øjeblikket er installeret, er den gennemsnitlige placering 3,8 stjerner. En betalt opgradering låser op for nogle ekstra funktioner, f.eks.

Cerber Sikkerhed, Antispam &Amp; Malware Scan

cerber sikkerhed antispam malware scanning
Auch das Cerber Sikkerhed Plugin afskærmer WP-administratoren.

Denne Plugin skjuler /wp-login.php og viser i stedet en fejlmeddelelse på 404. Men det kan gøre meget mere - så det er værd at en detaljeret diskussion af værktøjet. Bedømmelsen er i øjeblikket 4,9 stjerner, og der er omkring 100.000 aktive brugere. Den Plugin er gratis.

WP Skjul og sikkerhedsforstærker

wp skjule sikkerhedsforstærker
Et andet alternativ er den lidt mere omfangsrige Plugin WP Skjul sikkerhedsforstærker.
 

Denne gratis Plugin skjuler det faktum, at din hjemmeside er WordPress Kører. Hvorvidt dette er fornuftigt i princippet er at blive overladt til den ene side (med et værktøj som BuiltWith, kan dette hurtigt bringes frem i lyset igen), men i samme tur ændrer webadresser / wp-admin og / wp-login.php til enhver anden URL. Mere end 50.000 webmastere indstiller Plugin I øjeblikket er den gennemsnitlige bedømmelse 4,3 stjerner.

Vær ikke bange for den dårlige kode: Sikker med .htaccess

Hvis du vil skjule, at dit websted er en WordPress installation, så kan du gøre dette via nogle af de netop anførte Plugins Gør. Eller du kan få ret på .htaccess fil. Det er en af de vigtigste WordPress installationer, der kører på Apache-servere (Bemærk: RAIDBOXES -siderne kører ikke på Apache-servere, så .htaccess har ingen effekt på webserveren). .htaccess definerer f.eks., hvilke filer og mapper der er synlige på siden, og hvem der har adgang til hvad.

Med små ændringer i denne fil kan du give dit websted et ekstra lag af sikkerhed. Du indsætter specifikt individuelle kodestykker, der begrænser adgangen til wp-config.php eller blokerer visse IP'er. Jeg anbefaler på det kraftigste, at du tager en sikkerhedskopi af denne fil, før du foretager ændringer - hvis noget går galt, kan du hurtigt og nemt vende tilbage til sin oprindelige tilstand. Og med .htaccess kan selv en lille fejl i koden være nok til at lamme din side.

Variant 1: Tillad kun visse IPs

Med en .htaccess kan du beskytte enhver mappe i princippet - i dette tilfælde vil du sikre administrationsområdet på en målrettet måde. Derfor overfører du en ny .htaccess i wp-admin-mappen. Hvis du i stedet bruger hovedmappen til WordPress Hvis du finder ud af, at kun visse IP'er har adgang, udelukker du alle andre fra hele din side i stedet for bare fra admin-området.

I .htaccess i administrationsmappen har du nu mulighed for at forhindre bestemte IP'er i at få adgang til den samme mappe. Hvis du selv bruger en statisk IP, anbefales det at udelukke alle IP'er undtagen dine egne. På denne måde er det kun dig, der selv har adgang til administrationsområdet.

Af den måde, kan du gøre det samme for at udelukke VIP'er fra wp-login.php side. Uautoriserede IP'er kan f.eks. omdirigeres til en 404-side (eller en anden side efter eget valg) og kan ikke længere få adgang til loginmasken. Dette kan gøres ved at indsætte den tilsvarende kode.

  • I WordPress Codex beskrives, da du kan oprette individuelle mapper med WordPress -kan beskytte installationen
  • Kollegerne i WP-Beginner viser detaljeret, hvordan man beskytter WP-administratoren via .htaccess
  • Pluginproducenten wpmudev viser i en omfattende vejledning,hvordan du kan bruge .htaccess til at beskytte dine sider

Variant 2: Konfigurere adgangskodebeskyttelse (eller totrinsgodkendelse)

En anden og meget almindelig måde at beskytte administrationsområdet med .htaccess på er at oprette yderligere HTTP-godkendelse. Serveren kræver derefter passende adgangsdata for at kunne WordPress login-side.

Det betyder lidt mere indsats for dig, når du logger ind, men mange angribere smide pistolen i kornet på dette punkt. Brute Force Angreb blokeres, før de overhovedet er begyndt. Men selv denne beskyttelse er ikke helt idiotsikker, da mange angreb løber gennem XMLrpc-grænsefladen. Denne standardimplementerede grænseflade gør det muligt for hackere at bruge DDoS og Brute Force Kør angreb. Angrebene ligner dem på wp-admin-siden, men hundreder af kombinationer af logins og adgangskoder kan anmodes om på samme tid. Derfor må det siges på dette tidspunkt, at den mere fornuftige beskyttelse ikke er et ekstra login, men en tofaktorautentisering.

Men for at installere yderligere adgangskodebeskyttelse har du brug for en anden fil ud over .htaccess, nemlig den såkaldte .htpasswd. Den indeholder de legitimationsoplysninger, du skal godkende. For at oprette dem kan du bruge passende onlineværktøjer. Du krypterer din ønskede adgangskode (f.eks. ser Günterdergroße86) i overensstemmelse med MD5-formatet (Günterdergroße86 ser sådan ud: $apr 1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 er et af de fem adgangskodeformater, som Apache-serveren kan arbejde med. I sidste ende skal du dog kun huske den ukrypterede adgangskode - serveren overtager resten automatisk.

Den .htpasswd, der genereres på denne måde, placeres på samme niveau som .htaccess, normalt det øverste mappeniveau i WordPress Register.

I .htaccess definerer du nu, at HTTP-godkendelse skal forekomme, når du får adgang til wp-login.php og opretter et link til .htpasswd ved hjælp af et kodestykke. Dette gør det muligt for serveren at få adgang til de forudbestemte legitimationsoplysninger i den anden fil. Hvordan dette kan gøres, forklares for eksempel her.

.htaccess bestemmer derefter, at der kræves godkendelse for at få adgang til /wp-login.php og hvor serveren finder de relevante legitimationsoplysninger (dvs. i .htpasswd). Derudover forhindrer du adgang til .htaccess, .htpasswd og wp-config.php for at sikre, at ingen andre end dig kan omkonfigurere installationen.

Virker alt akavet? Er det nu? Desuden kan denne ekstra adgangskodebeskyttelse påvirke Forenelighed af Plugins forringet. Derfor vil jeg altid anbefale tofaktorautentisering. Dette kan hurtigt Plugin og giver også endnu mere beskyttelse mod uautoriseret indtrængen. Dette skyldes, at godkendelseskoderne overføres via et eksternt system.

Konklusion: Skjule WP admin kan være en masse arbejde - og bringer mere kosmetiske fordele

Ideelt set beskytter du dit WP admin-område på den mest slanke måde. Du bør kun installere en stor sikkerheds-plug-in, hvis du konfigurerer og bruger dens andre funktioner på en meningsfuld måde. Så hvis du kun er bekymret for at skjule WP admin, anbefaler vi, at du slanke som muligt Plugin . Alt andet ville være overkill.

Som en separat sikkerhedsforanstaltning er det under alle omstændigheder ubetydeligt lynotalt effektivt at skjule WP-administratoren.I princippet gælder følgende også: Nej Plugin erstatter en stærk adgangskode og viden om de vigtigste WordPress Sårbarheder. Og hver ny Plugin udgør en risiko for at bringe sikkerhedssårbarheder til koden. Det er derfor vigtigt at afveje præcis hvilket og hvor mange du installerer.

Der er ingen hjemmeside for 100% beskyttelse. Efter vores mening bringer det at skjule wp-admin-området ikke nogen reel sikkerhed. Men det kan bidrage enormt til den opfattede sikkerhed. Især hvis du arbejder på vegne af kunden, bør du ikke undervurdere effekten af kundeopfattelse. Det er dog ikke tilstrækkeligt som en enkelt eller central sikkerhedsforanstaltning. Men hvis den ændrede WEBADRESSE er designet som et af mange lag i dit sikkerhedssystem, kan den supplere dit sikkerhedskoncept på en meningsfuld måde.

Som systemadministrator overvåger Tobias vores infrastruktur og finder alle justeringsskruer for at optimere vores serveres ydeevne. På grund af hans utrættelige indsats, er han ofte også Slack findes.

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.