18.09.22
aktualizacja 27.10.23
Tobias Schüring
0 komentarzy
Spis treści
Ukrywanie admina WP

Ukryj administratora WP: Jak skuteczne są naprawdę WPS Hide Login & Co?

Prawie każdy wie, jak domyślnie dotrzeć do bariery logowania do obszaru administratora w WordPress. Ponieważ ponad 34 procent wszystkich stron internetowych działa na WordPressie, hakerom łatwo jest znaleźć i zaatakować obszary logowania na tych stronach. Właśnie dlatego takie ataki, takie jak ataki siłowe, są jednymi z najczęstszych ataków na strony internetowe WordPress. Ukrycie obszaru administracyjnego WP wydaje się być prostym środkiem ochronnym. Dzisiaj pokażę ci, jak przydatna jest ta technika i jak możesz ją wdrożyć za pomocą wtyczek takich jak WPS Hide Login.

Ataki typu brute force są prawdopodobnie najczęstszym rodzajem ataków na strony internetowe WordPress. Sam dostawca zabezpieczeń Wordfence zmierzył prawie 1 miliard takich ataków w 2017 roku w niektórych miesiącach tego roku - nie licząc liczby niezgłoszonych przypadków. Aby zmniejszyć zagrożenie bezpieczeństwa związane z atakami brute force, zasadniczo sensowne jest ograniczenie prób logowania po zbyt wielu nieudanych próbach. Ponadto wielu webmasterów WordPress stosuje inną metodę: przenoszą obszar administracyjny WP tak, aby nie można go było znaleźć pod sufiksem wp-admin.

Wiele wtyczek bezpieczeństwa oferuje również odpowiednią funkcję. Osoby, które mogą, korzystają też z pliku .htaccess. Jednak samo ukrywanie obszaru administracyjnego WP nie jest naprawdę dobrym środkiem bezpieczeństwa. Może być jednak użytecznym dodatkiem.

Ukryj WP Admin: O co chodzi?

Za pomysłem ukrycia obszaru administracyjnego WP kryje się zasada bezpieczeństwa poprzez niejasność - idea, że bezpieczeństwo systemu jest silniejsze, o ile jego funkcjonalność pozostaje tajna. Innymi słowy: jeśli atakujący nie wie, gdzie są twoje drzwi wejściowe, może zakraść się do twojego domu, ale nie może się włamać.

Security through obscurity - bezzębny tygrys w praktyce

To podejście jest kontrowersyjnie dyskutowane wśród ekspertów — i nie bez powodu. W tym przypadku fakt, że informacja jest bezpieczna, nie oznacza, że nie ma już do niej dostępu. One tam są — ale są ukryte. Jednak dzięki odpowiednim narzędziom hakerzy mogą znaleźć Twoją stronę logowania, jeśli tylko zechcą.

I tu właśnie pojawia się prawdziwy problem z security through obscurity: podejście to jest często używane do ukrywania problemów, które zamiast tego powinny być całkowicie wyeliminowane. Jeśli twoja nazwa administratora to admin, a twoje hasło to hasło123!, haker znajdzie się w twoim backendzie w mgnieniu oka, gdy tylko znajdzie ukrytą stronę logowania.

Krótko mówiąc, ukryty obszar administracyjny nie powstrzymuje napastników przed atakiem, a jedynie zwiększa czas poświęcony na jego przeprowadzenie. Niestety, nie da się całkowicie ukryć faktu, że twoje projekty to strony internetowe WordPress. Dlatego ukrywanie administratora WP nigdy nie powinno być Twoim jedynym środkiem bezpieczeństwa. Ten, kto bierze cię na celownik, nie będzie w stanie uciec.

Koncepcja bezpieczeństwa przez ukrycie jest więc idealnie jedną z wielu warstw Twojej koncepcji bezpieczeństwa. Limit prób logowania (LLA), silne hasło, uwierzytelnianie dwuskładnikowe i - jeśli w końcu go użyjesz - czysto skonfigurowana wtyczka bezpieczeństwa to rozsądna mieszanka. Ukrycie obszaru administracyjnego to tylko dodatek.

W niektórych przypadkach ukrywanie WP-Admina nadal ma sens

Teraz jest kilka sytuacji, w których ukrycie administratora WP może mieć sens:

  • Ukrycie administratora WP ma duży wpływ na postrzeganie bezpieczeństwa witryny WordPress. Szczególnie jeśli pracujesz na zlecenie klienta, ukryty WP-Admin ma sens, aby zmaksymalizować postrzeganie bezpieczeństwa przez klienta.
  • Jeśli hakerzy przeprowadzą na twojej stronie atak brute force, twój serwer może się „przegrzać” z powodu dużej liczby żądań. Jeśli przeniesiesz obszar administracyjny, przynajmniej wyeliminujesz możliwość przeprowadzenia prymitywnych ataków brute force już na samym początku.
  • Możesz pozytywnie zaskoczyć niektórych klientów, ukrywając strefę administratora, na przykład przenosząc ją na stronę /NameOfYourCompany. W ten sposób możesz stworzyć niewielki, ale subtelny efekt brandingu.

Jak widzisz, te środki są raczej kosmetyczne. Ale nawet wyższy poziom postrzeganego bezpieczeństwa może czasem pomóc. Dlatego poniżej pokażę ci, jak możesz zabezpieczyć administratora WP z wtyczkami i bez nich.

Ukryj administratora WP za pomocą wtyczek

Świetne wtyczki bezpieczeństwa pozwalają także ukryć obszar administracyjny i dokładny charakter twojej strony, a także wiele innych funkcji. Jak już wspomniałem, podchodzę do tego krytycznie: instalowanie dużej ilości wtyczek tylko po to, by zmienić adres URL, nie rozwiąże wszystkich Twoich problemów za jednym zamachem. Dopiero po dokładnym zapoznaniu się z tematem możesz zdecydować, jakie środki bezpieczeństwa mają sens dla twojego projektu.

Jeśli chodzi o wtyczki, masz w zasadzie dwie opcje:

  • proste wtyczki przeznaczone tylko do ukrywania obszaru logowania
  • wtyczki, które obejmują ukrywanie obszaru logowania, ale mogą zrobić o wiele więcej

Kompleksowe wtyczki bezpieczeństwa są bardziej kłopotliwe ze względu na ich rozbudowaną funkcjonalność. Dlatego mają sens tylko wtedy, gdy wiesz, co chcesz dzięki nim osiągnąć: na przykład zablokować określone adresy IP, użyć zapory aplikacji internetowych (WAF) lub skorzystać z raportowania wtyczek.

Instalowanie dużej wtyczki tylko po to, żeby ukryć obszar administracyjny, to przesada. Ucierpi na tym szybkość ładowania strony, a w rezultacie zyskasz niewielką wartość dodaną. I nie zastąpi to zajmowania się zabezpieczeniami.

Ukrywanie obszaru administracyjnego za pomocą wtyczki jest więc wskazane tylko wtedy, gdy możesz jej używać bez większych strat w wydajności lub funkcjonalności - jako nice to have. Nie polecam instalowania specjalnie w tym celu dużych wtyczek, takich jak iThemes Security czy Wordfence.

Zamiast tego przedstawiamy dwie zgrabne alternatywy, które pozwolą ukryć obszar administracyjny:

WPS Hide Login

Ukryj WP Admin Plugin WPS Ukryj logowanie
Administratora WP można ukryć na przykład za pomocą wtyczki WPS Hide Login.

Darmowa wtyczka WPS Hide Login robi dokładnie jedną rzecz: zmienia dwa adresy URL /wp-admin i /wp-login.php na adresy określone przez Ciebie. Dodaje to przeszkodę dla hakerów i sprawia, że Twoja witryna jest nieco bezpieczniejsza. Z ponad milionem aktywnych instalacji i średnią oceną 4,9 gwiazdki (z ponad 2000 recenzji!), wtyczka sprawdziła się w praktyce.

WP Hide & Security Enhancer

Ukryj WP Admin Plugin WP Hide Security Enhancer
Inną alternatywą jest nieco bardziej rozbudowana wtyczka WP Hide Security Enhancer.

Ta darmowa wtyczka ukrywa fakt, że Twoja strona działa na WordPressie. Nie wiadomo, czy ma to w zasadzie sens (za pomocą narzędzia takiego jak BuiltWith można to szybko ujawnić), ale jednocześnie zmienia adresy URL /wp-admin i /wp-login.php na dowolny inny. Obecnie ponad 80 000 webmasterów używa tej wtyczki, a średnia ocena wynosi 4,3 gwiazdki.

Nie bój się złego kodu: Zabezpiecz się za pomocą .htaccess

Jeśli chcesz ukryć fakt, że Twoja witryna jest instalacją WordPress, możesz to zrobić za pomocą wtyczek takich jak WPS Hide Login. Możesz też pracować bezpośrednio na pliku .htaccess. Jest to jeden z najważniejszych plików dla instalacji WordPress działających na serwerach Apache. .htaccess definiuje na przykład, które pliki i katalogi Twojej witryny są widoczne i kto ma do czego dostęp.

.htaccess i Raidboxes

Raidboxes Strony internetowe nie działają na serwerach Apache, więc .htaccess nie ma wpływu na serwer WWW. Jeśli masz hosting WordPress na Raidboxes , możesz skorzystać z naszej ochrony logowania.

Wprowadzając niewielkie zmiany w tym pliku, możesz nadać swojej witrynie dodatkową warstwę bezpieczeństwa. W szczególności dodajesz pojedyncze fragmenty kodu, które ograniczają dostęp do pliku wp-config.php lub blokują określone adresy IP. Zalecam, abyś zawsze robił kopię zapasową tego pliku przed wprowadzeniem jakichkolwiek zmian — jeśli coś pójdzie nie tak, możesz szybko i łatwo przywrócić stan pierwotny. A w przypadku .htaccess nawet mały błąd w kodzie może wystarczyć do sparaliżowania twojej strony.

Wariant 1: Zezwalaj tylko na określone adresy IP

W zasadzie każdy katalog może być chroniony przez .htaccess - w tym przypadku chcesz szczególnie chronić obszar administracyjny. Dlatego umieszczasz nowy .htaccess w katalogu wp-admin. Jeśli zamiast tego określisz w głównym katalogu WordPressa, że dostęp mają tylko określone adresy IP, wykluczysz wszystkich innych z całej witryny, a nie tylko z obszaru administracyjnego.

W .htaccess katalogu administracyjnego masz teraz możliwość zablokowania określonym adresom IP dostępu do tego katalogu. Jeśli sam używasz statycznego IP, zaleca się wykluczenie wszystkich IP oprócz twojego własnego. W ten sposób tylko ty będziesz miał dostęp do obszaru administracyjnego.

To samo możesz zrobić, aby wykluczyć adresy IP ze strony wp-login.php. Nieuprawnione adresy IP mogą być na przykład przekierowane na stronę 404 (lub inną wybraną przez Ciebie) i nie będą już mogły dotrzeć do ekranu logowania. Można to zrobić, wstawiając odpowiedni kod.

Wariant 2: Skonfiguruj ochronę hasłem (lub uwierzytelnianie dwuskładnikowe)

Inną i bardzo często stosowaną opcją ochrony obszaru administracyjnego za pomocą .htaccess jest utworzenie dodatkowego uwierzytelnienia HTTP. Serwer wymaga wtedy odpowiednich danych dostępowych, aby w ogóle dostać się do strony logowania WordPress.

Oznacza to nieco więcej wysiłku podczas logowania, ale wielu napastników rezygnuje w tym momencie. Ataki typu brute force są w ten sposób blokowane, zanim jeszcze się rozpoczną. Jednak nawet ta ochrona nie jest całkowicie niezawodna, ponieważ wiele ataków odbywa się przez interfejs XMLrpc. Hakerzy mogą przeprowadzać ataki DDoS i brute force przez ten interfejs, który jest domyślnie zaimplementowany. Ataki są podobne do tych na stronę wp-admin, ale tutaj można zażądać setek kombinacji loginów i haseł jednocześnie. W tym miejscu należy więc powiedzieć, że rozsądniejszą ochroną nie jest dodatkowy login, ale dwuskładnikowe uwierzytelnianie.

Aby jednak wprowadzić dodatkową ochronę hasłem, oprócz pliku .htaccess potrzebny jest jeszcze jeden plik, a mianowicie tak zwany .htpasswd. Zawiera on dane dostępowe potrzebne do uwierzytelniania. Aby go stworzyć, możesz użyć odpowiednich narzędzi online . Szyfrują one wybrane przez Ciebie hasło (na przykład Günterdergroße86) zgodnie z formatem MD5 (Günterdergroße86 wygląda wtedy tak: $apr1$R71r9bVr$6S99bG1Z9R9yHXcOCG6m/). MD5 jest jednym z pięciu formatów haseł, z którymi może pracować serwer Apache. Ostatecznie musisz pamiętać tylko niezaszyfrowane hasło - serwer zajmie się resztą automatycznie.

Utworzony w ten sposób .htpasswd jest umieszczany na tym samym poziomie co .htaccess, zwykle na najwyższym poziomie katalogu WordPress.

W pliku .htaccess określasz, że uwierzytelnianie HTTP powinno mieć miejsce podczas dostępu do wp-login.php, i tworzysz łącze do .htpasswd za pomocą fragmentu kodu. W ten sposób serwer może uzyskać dostęp do wcześniej zdefiniowanych danych dostępowych w innym pliku. Jak to działa, wyjaśniono na przykład tutaj.

Następnie .htaccess określa, że do dostępu do /wp-login.php wymagana jest autoryzacja i gdzie serwer znajdzie odpowiednie dane uwierzytelniające (mianowicie w .htpasswd). Dodatkowo, zabraniasz dostępu do .htaccess, .htpasswd i wp-config.php, aby nikt poza Tobą nie mógł przekonfigurować Twojej instalacji.

Czy to wszystko wydaje się dość kłopotliwe? Tak jest. Co więcej, może się zdarzyć, że ta dodatkowa ochrona hasłem pogorszy kompatybilność wtyczek. Dlatego zawsze zalecam dwuskładnikowe uwierzytelnianie. Można je szybko skonfigurować za pomocą wtyczki, a ponadto zapewnia ono jeszcze większą ochronę przed nieuprawnionym wtargnięciem. Dzieje się tak dlatego, że kody uwierzytelniające są przesyłane przez zewnętrzny system.

"*" wyświetla wymagane pola

Chcę otrzymywać newsletter, aby być informowanym o nowych artykułach na blogu, e-bookach, funkcjach i nowościach dotyczących WordPress. Mogę wycofać swoją zgodę w dowolnym momencie. Należy zapoznać się z naszą Polityką prywatności.
To pole służy do weryfikacji i nie powinno być zmieniane.

Wniosek: Ukrycie administratora WP może wymagać wiele pracy — i przynosi raczej kosmetyczne korzyści

Idealnie byłoby, gdybyś chronił swój obszar administracyjny WP w możliwie najbardziej usprawniony sposób. Powinieneś zainstalować dużą wtyczkę zabezpieczającą tylko wtedy, gdy rozsądnie skonfigurujesz i wykorzystasz również inne jej funkcje. Jeśli interesuje Cię tylko ukrycie administratora WP, zalecamy jak najprostszą wtyczkę, taką jak WPS Hide Login. Wszystko inne byłoby przesadą.

Jako środek bezpieczeństwa sam w sobie, ukrywanie administratora WP i tak jest nieistotne. Zasadniczo obowiązuje również następująca zasada: żadna wtyczka nie zastąpi silnego hasła i znajomości najważniejszych luk w zabezpieczeniach WordPressa. Każda nowa wtyczka niesie ze sobą ryzyko wprowadzenia luk bezpieczeństwa w kodzie. Dlatego ważne jest, aby dokładnie rozważyć, które i ile z nich zainstalujesz.

Stuprocentowa ochrona nie istnieje dla żadnej strony internetowej. Naszym zdaniem ukrycie obszaru administratora nie zwiększa w rzeczywistości bezpieczeństwa. Może jednak w znacznym stopniu przyczynić się do zwiększenia postrzeganego bezpieczeństwa. Zwłaszcza jeśli pracujesz na zlecenie klienta, nie powinieneś lekceważyć siły jego postrzegania. Nie jest to jednak w żadnym wypadku wystarczające jako jedyny lub główny środek bezpieczeństwa. Jeśli jednak zmodyfikowany adres URL zostanie zaprojektowany jako jedna z wielu warstw twojego systemu bezpieczeństwa, może być użytecznym dodatkiem do twojej koncepcji bezpieczeństwa.

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Tobias Schüring

Jako administrator systemu Tobias czuwa nad naszą infrastrukturą i znajduje każdą śrubkę, aby zoptymalizować działanie naszych serwerów. Ze względu na jego niestrudzone wysiłki często można go znaleźć w nocy na Slacku.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.