Nascondi WP Admin: Popolare, complesso e poco efficace

9 Min.
nascondere wp admin
Ultimo aggiornamento su

Quasi tutti sanno come raggiungere la barriera di accesso all'area amministrativa per impostazione WordPress predefinita. Da oltre il 34% di tutti i siti web WordPress è facile per gli hacker trovare e attaccare le aree di login di queste pagine. Proprio per questo motivo gli hack corrispondenti, come Brute Forcegli attacchi, appartengono alla gli attacchi più frequenti sulle WordPress pagine. Una semplice misura di protezione sembra essere quella di nascondere l'area amministrativa del WP. Oggi vi mostrerò quanto sia utile questa tecnica e come potete implementarla.

Brute Force Attacchi sono probabilmente il tipo di attacco più comune sulle WordPress pagine in generale. Il solo fornitore di sicurezza Wordfence ha misurato quasi 1 miliardo di attacchi di questo tipo nel 2017 in pochi mesi di quest'anno, senza contare il numero di attacchi non segnalati. Per limitare il rischio per la sicurezza degli Brute Force attacchi è opportuno limitare i tentativi di login dopo troppi tentativi falliti. Inoltre, molti WordPress webmaster utilizzano un altro metodo: rinviano il WP admin area, in modo che non si trovi più sotto il suffisso wp-admin.

Molti plugin di sicurezza offrono quindi una funzione corrispondente. Chi può anche osare di usare il file .htaccess. Ma nascondere l'area amministrativa del WP non è di per sé una buona misura di sicurezza. Ma può essere un'aggiunta utile.

Nascondi WP Admin: Qual è lo scopo di tutto questo?

Dietro l'idea di nascondere l'area amministrativa del WP c'è il principio sicurezza attraverso l'oscurità ("sicurezza attraverso l'oscurità/incertezza") - l'idea che la sicurezza di un sistema è più forte finché il suo funzionamento rimane segreto. In altre parole, se l'aggressore non sa dove si trova la vostra porta d'ingresso, può intrufolarsi in casa vostra, ma non può entrare.

RAIDBOXES  FREE-DEV programma

Sicurezza attraverso l'oscurità - in pratica una tigre sdentata

Questo approccio è discusso in modo controverso tra gli esperti - e non senza motivo. In questo caso, il fatto che le informazioni siano sicure non significa che non siano più accessibili. È disponibile - ma nascosto. Ma con gli strumenti giusti, gli hacker possono comunque trovare la vostra pagina di login, se lo desiderano.

Ed ecco che arriva il vero problema con sicurezza attraverso l'oscurità nel gioco: spesso l'approccio viene utilizzato per nascondere problemi che dovrebbero invece essere completamente eliminati. Il tuo nome admin è admin e la tua password Password 123!l'hacker si trova nel tuo backend in pochissimo tempo se ha trovato la tua pagina di login nascosta.

In breve, un'area amministrativa nascosta non impedisce agli aggressori di attaccare, ma si limita a prolungare il tempo di lavoro necessario per portare a termine l'attacco. Purtroppo, è impossibile nascondere completamente il fatto che il vostro WordPress -progetti in giro WordPress -pagine. Nascondere il WP-Admin non dovrebbe essere la vostra unica misura di sicurezza. Chiunque vi stia prendendo di mira non potrà fuggire.

Il concetto sicurezza attraverso l'oscurità è quindi idealmente uno dei tanti livelli del vostro concetto di sicurezza. Limit Login Attempts (LLA), una password forte con autenticazione a due fattori e - se alla fine ne utilizzate uno - una sicurezzaPlugin ben configurata è un mix sensato. Nascondere l'area amministrativa è solo la ciliegina sulla torta.

In alcuni casi nascondere il WP-Admin ha comunque senso

Ma ci sono in realtà alcune situazioni in cui può avere senso nascondere il WP-Admin:

  • Nascondere il WP-Admin ha una forte influenza sulla sicurezza percepita di un WordPress sito. Soprattutto se si lavora per conto di un cliente, un WP-Admin nascosto ha senso per massimizzare la percezione della sicurezza del cliente.
  • Se gli hacker hanno un Brute Force attacco sul vostro sito, il vostro server web potrebbe "surriscaldarsi" proprio a causa dell'elevato numero di richieste. Se si sposta l'area amministrativa, si utilizzeranno almeno i primitivi Brute Force Attacca già all'inizio il vento dalle vele.
  • Potete sorprendere positivamente alcuni clienti nascondendo l'area amministrativa, ad esempio se la spostate sotto il nome della società. In questo modo è possibile creare un piccolo ma simpatico effetto di branding.

Come potete vedere, queste misure sono più di natura cosmetica. Ma a volte anche una maggiore sicurezza percepita può aiutare. Pertanto vi mostrerò qui di seguito come potete assicurare il vostro WP-Admin con e senzaPlugins.

Plugins solo per nascondere l'amministrazione, ha senso?

Le grandi caratteristiche di sicurezzaPlugins includono la possibilità di nascondere l'area di amministrazione e l'esatta natura del vostro sito. Come ho detto prima, ho una visione criticaL'installazione di un ingombrante Pluginsolo per cambiare un URL non risolve tutti i problemi in una volta sola. Solo dopo un esame approfondito dell'argomento potete decidere quali misure di sicurezza hanno senso per il vostro progetto.

Ma per quanto riguarda le questioni Pluginssi hanno fondamentalmente due opzioni:

  • slimPlugins, che sono stati sviluppati solo per nascondere l'area di login
  • Pluginsche includono il nascondere l'area di accesso, ma possono fare molto di più

Sicurezza completaPlugins sono più ingombranti grazie alla loro funzionalità estesa. Pertanto, in linea di principio hanno senso solo se si sa cosa si vuole ottenere con loro: ad esempio, bloccare IP molto specifici, utilizzare il Web Application Firewall (WAF) o essere esonerati dalla segnalazione del Plugins profitto. La questione di quanto sia sensata la sicurezzaPlugins sono reali, rispondiamo anche in questo articolo.

Installarne uno grande Pluginsolo per nascondere l'area amministrativa è un'esagerazione. La vostra velocità di caricamento ne risente e non avete quasi nessun valore aggiunto. E non sostituisce la gestione delle funzioni di sicurezza.

Nascondere l'area di amministrazione con uno Pluginè consigliabile solo se è possibile utilizzarlo senza grandi perdite di prestazioni o di funzionalità - come bello avere. Extra per questo un grande Plugincome iThemes Security o Wordfenceda installare, non lo consiglierei.

Ecco invece alcune alternative più snelle per nascondere la vostra area amministrativa:

WPS Nascondi il login

wps nascondere il login
Il WP-Admin può essere nascosto con il WPS Hide LoginPlugin, ad esempio.

Questo libero Pluginfa esattamente a Cosa: cambia i due URL /wp-admin e /wp-login.php in indirizzi da voi specificati. Questo aggiunge un ostacolo per gli hacker e rende il vostro sito un po' più sicuro. Con oltre 400.000 installazioni attive e una valutazione media di 4,9 stelle (con oltre 1.100 valutazioni!) questo Pluginè stato dimostrato nella pratica.

Proteggi il tuo amministratore

proteggere il vostro amministratore
Opzionalmente questo funziona anche con il PluginProtect Your Admin.

Il sito Plugin è, nonostante alcune caratteristiche aggiuntive, una delle più snelle sul mercato e permette di specificare un URL personalizzato per /wp-admin e /wp-login.php. Chiunque provi ad accedere ad una di queste pagine finirà invece sulla tua home page. 40.000 utenti hanno utilizzato questo Plugin attualmente installato, la classifica media è di 3,8 stelle. Un aggiornamento a pagamento attiva alcune funzioni aggiuntive come il contatore dei tentativi di accesso.

Cerber Security, Antispam & Malware Scan

cerber security antispam malware scan
La Cerber Security sorveglia anche Pluginil WP-Admin.

Questo Plugin nasconde /wp-login.php tra gli altri e visualizza invece un messaggio di errore 404. Ma può fare molto di più - ecco perché vale la pena di esaminare in dettaglio lo strumento. La valutazione è attualmente di 4,9 stelle e ci sono circa 100.000 utenti attivi. Il sito Plugin è gratuito.

WP Hide & Security Enhancer

wp hide security enhancer
Un'altra alternativa è il più ingombrante PluginWP Hide Security Enhancer.
 

Questo gratuito Pluginnasconde il fatto che anche WordPress il vostro sito web è in funzione. Se questo abbia senso in linea di principio è discutibile (con uno strumento come Costruito con può essere portato alla luce rapidamente), ma allo stesso tempo cambia gli URL /wp-admin e /wp-login.php in qualsiasi altro URL. Oltre 50.000 webmaster Pluginlo utilizzano attualmente, la valutazione media è di 4,3 stelle.

Nessuna paura del codice malvagio: Assicurare con l'accesso .htaccess

Se si vuole nascondere il fatto che WordPress -installazione, allora potete Pluginsfarlo su alcuni di quelli appena elencati. Oppure si può andare direttamente al file .htaccess. È uno dei file più importanti di WordPress -installazioni in esecuzione su server Apache (Attenzione: RAIDBOXES-le pagine non girano su server Apache, quindi il .htaccess non ha alcuna influenza sul server web) Ad esempio, il .htaccess definisce quali file e directory del vostro sito sono visibili e chi ha accesso a cosa.

Con piccole modifiche in questo file potete dare al vostro sito web un ulteriore livello di sicurezza. In particolare, è possibile aggiungere frammenti di codice che limitano l'accesso a wp-config.php o bloccano determinati IP. Vi consiglio, prima di apportare qualsiasi modifica, di assicurarvi di avere un Backup di questo file - se qualcosa dovesse andare storto, si può poi tornare rapidamente e facilmente allo stato originale. E con .htaccess, anche un piccolo errore nel codice può essere sufficiente a paralizzare il vostro sito.

gli autori di ootb volevano un blog

Variante 1: Consentire solo determinati IP

Con un .htaccess è possibile in linea di principio proteggere ogni directory - in questo caso si vuole proteggere l'area di amministrazione. Pertanto si carica un nuovo .htaccess nella directory wp-admin. Se invece si specifica nella directory principale di WordPress quella directory che solo alcuni IP hanno accesso, si escludono tutti gli altri dall'intero sito invece che solo l'area amministrativa.

Nel file .htaccess della directory admin si ha ora la possibilità di bloccare specifici IP dall'accesso a questa directory. Se si utilizza un IP statico, si consiglia di escludere tutti gli IP tranne il proprio. In questo modo solo voi avrete accesso all'area amministrativa.

A proposito, potete fare lo stesso per escludere gli IP dalla pagina wp-login.php. Gli IP non autorizzati possono essere reindirizzati a una pagina 404 (o a qualsiasi altra pagina a scelta) e non potranno accedere alla schermata di login. Questo può essere fatto inserendo il codice appropriato.

  • All'indirizzo WordPress Codice è descritto come si possono proteggere le singole directory della propria WordPress installazione
  • I colleghi di WP-Beginner Mostra in dettaglio come proteggere il WP-Admin tramite il .htaccess
  • Il produttore del plugin wpmudev mostra in una guida completacome potete usare il .htaccess per proteggere i vostri siti

Variante 2: Configurazione della protezione con password (o autenticazione a due fattori)

Un'altra possibilità, molto spesso utilizzata per proteggere l'area amministrativa con .htaccess, è quella di creare un'ulteriore autenticazione HTTP. Il server richiede già i dati di accesso necessari per accedere alla pagina di WordPress login.

Questo significa un po' più di sforzo per voi per accedere, ma molti attaccanti getteranno la spugna a questo punto. Brute Force Gli attacchi sono bloccati prima ancora di cominciare. Tuttavia, anche questa protezione non è del tutto infallibile, poiché molti attacchi vengono effettuati tramite il Interfaccia XMLrpc correre. Questa interfaccia, implementata di default, permette agli hacker di eseguire DDoS e Brute Force Attacchi correre. Gli attacchi sono simili a quelli del sito wp-admin, ma qui si possono richiedere contemporaneamente centinaia di combinazioni di login e password. Pertanto va detto a questo punto che la protezione più sensata non è un login aggiuntivo, ma un'autenticazione a due fattori

Ma per aggiungere un'ulteriore protezione con password è necessario un altro file oltre al .htaccess, il cosiddetto .htpasswd. Contiene i dati di accesso necessari per l'autenticazione. Per crearlo, è possibile strumenti online appropriati uso. Essi criptano la password desiderata (per esempio Günterdergrosse86) secondo il formato MD5 (Günterdergrosse86 si presenta così: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 è uno dei cinque formati di password con cui il server Apache può lavorare. Ma basta ricordare la password non criptata - il server farà il resto automaticamente.

Il .htpasswd creato in questo modo viene messo sullo stesso livello del .htaccess, di solito il livello superiore della WordPress directory.

Clima positivo di WordPress Hosting

Nel .htaccess si definisce ora che l'autenticazione HTTP deve avvenire quando si accede a wp-login.php e si crea un link al .htpasswd tramite un frammento di codice. Questo permette al server di accedere alle credenziali precedentemente definite nell'altro file. Come questo viene fatto viene spiegato ad esempio qui Spiegati.

Il .htaccess specifica poi che è necessaria un'autorizzazione per accedere a /wp-login.php e dove il server può trovare i dati di accesso corrispondenti (cioè nel .htpasswd). Inoltre, si proibisce anche l'accesso ai file .htaccess, .htpasswd e wp-config.php per garantire che nessuno tranne voi possa riconfigurare la vostra installazione.

Sembra tutto piuttosto complicato? Lo è. Inoltre, può accadere che questa ulteriore protezione con password Compatibilità dei Pluginscompromessi. Ecco perché consiglierei sempre un'autenticazione a due fattori. Questo viene impostato Pluginrapidamente tramite a e offre anche una protezione ancora maggiore contro le intrusioni non autorizzate. Perché i codici di autenticazione vengono trasmessi tramite un sistema esterno.

Conclusione: Nascondere il WP-Admin può essere un sacco di lavoro - e porta più benefici cosmetici

Idealmente, dovreste proteggere la vostra area amministrativa del WP nel modo più sottile possibile. Si dovrebbe installare un plugin di sicurezza di grandi dimensioni solo se si configura e si utilizzano le sue altre funzioni in modo sensato. Se volete nascondere solo il WP-Admin, vi consigliamo una versione Pluginslim. Tutto il resto sarebbe esagerato.

Come misura di sicurezza a parte, nascondere il WP-Admin è comunque trascurabile. In linea di principio vale anche quanto segue: No Plugin sostituisce una password forte e la conoscenza delle più importanti WordPress falle di sicurezza. E ogni nuovo Plugin comporta il rischio di introdurre falle di sicurezza nel codice. È quindi importante considerare attentamente quali e quanti ne installate.

La protezione al 100% non esiste per nessun sito web. A nostro avviso, nascondere la sezione wp-admin non porta realmente più sicurezza. Ma può contribuire enormemente alla sicurezza percepita. Soprattutto se si lavora per conto di un cliente, non bisogna sottovalutare il potere della percezione del cliente. Tuttavia, non è assolutamente sufficiente come misura di sicurezza unica o centrale. Tuttavia, se l'URL modificato è stato progettato come uno dei tanti livelli del vostro sistema di sicurezza, può essere un'utile aggiunta al vostro concetto di sicurezza.

Articoli correlati

Commenti su questo articolo

Scrivi un commento

Il tuo indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati con * marcato.