18.09.22
aktualizacja 09.03.23
Tobias Schüring
0 komentarzy
Spis treści
Ukrywanie admina WP

Ukrywanie admina WP: Popularne, pracochłonne i nieszczególnie skuteczne

Prawie każdy wie, jak osiągnąć barierę logowania do obszaru administracyjnego w WordPressie. Ponieważ ponad 34% wszystkich stron internetowych działa na WordPressie, hakerom łatwo jest znaleźć i zaatakować obszary logowania na tych stronach. To właśnie dlatego takie ataki, jak np. brute force, należą do najczęstszych ataków na strony internetowe WordPress. Ukrywanie obszaru administracyjnego WP wydaje się być prostym środkiem ochronnym. Dzisiaj pokażę ci, jak przydatna jest ta technika i jak możesz ją zastosować.

Ataki brute force są prawdopodobnie najczęstszym rodzajem ataków na strony internetowe WordPressa. W 2017 roku sam dostawca zabezpieczeń Wordfence zmierzył prawie 1 miliard takich ataków w niektórych miesiącach tego roku - nie licząc liczby niezgłoszonych przypadków. Aby zmniejszyć zagrożenie bezpieczeństwa związane z atakami brute force, zasadniczo sensowne jest ograniczenie prób logowania po zbyt wielu nieudanych próbach. Ponadto wielu webmasterów WordPress stosuje inną metodę: przenoszą obszar administracyjny WP tak, by nie można go było znaleźć pod końcówką wp-admin.

Wiele wtyczek bezpieczeństwa oferuje również odpowiednią funkcję. Osoby, które mogą, korzystają też z pliku .htaccess. Jednak samo ukrywanie obszaru administracyjnego WP nie jest naprawdę dobrym środkiem bezpieczeństwa. Może być jednak użytecznym dodatkiem.

Ukryj WP Admin: O co chodzi?

Za pomysłem ukrycia obszaru administracyjnego WP kryje się zasada security through obscurity - idea, że bezpieczeństwo systemu jest silniejsze, dopóki jego funkcjonalność pozostaje tajna. Innymi słowy, jeśli napastnik nie wie, gdzie są twoje drzwi wejściowe, może się skradać po twoim domu, ale nie może się włamać.

Security through obscurity - bezzębny tygrys w praktyce

To podejście jest kontrowersyjnie dyskutowane wśród ekspertów — i nie bez powodu. W tym przypadku fakt, że informacja jest bezpieczna, nie oznacza, że nie ma już do niej dostępu. One tam są — ale są ukryte. Jednak dzięki odpowiednim narzędziom hakerzy mogą znaleźć Twoją stronę logowania, jeśli tylko zechcą.

I tu właśnie pojawia się prawdziwy problem z security through obscurity: podejście to jest często używane do ukrywania problemów, które zamiast tego powinny być całkowicie wyeliminowane. Jeśli twoja nazwa administratora to admin, a twoje hasło to hasło123!, haker znajdzie się w twoim backendzie w mgnieniu oka, gdy tylko znajdzie ukrytą stronę logowania.

Krótko mówiąc, ukryty obszar administracyjny nie powstrzymuje napastników przed atakiem, a jedynie zwiększa czas poświęcony na jego przeprowadzenie. Niestety, nie da się całkowicie ukryć faktu, że twoje projekty to strony internetowe WordPress. Dlatego ukrywanie administratora WP nigdy nie powinno być Twoim jedynym środkiem bezpieczeństwa. Ten, kto bierze cię na celownik, nie będzie w stanie uciec.

Koncepcja bezpieczeństwa przez ukrycie jest więc idealnie jedną z wielu warstw Twojej koncepcji bezpieczeństwa. Limit prób logowania (LLA), silne hasło, uwierzytelnianie dwuskładnikowe i - jeśli w końcu go użyjesz - czysto skonfigurowana wtyczka bezpieczeństwa to rozsądna mieszanka. Ukrycie obszaru administracyjnego to tylko dodatek.

W niektórych przypadkach ukrywanie WP-Admina nadal ma sens

Teraz jest kilka sytuacji, w których ukrycie administratora WP może mieć sens:

  • Ukrycie administratora WP ma duży wpływ na postrzeganie bezpieczeństwa witryny WordPress. Szczególnie jeśli pracujesz na zlecenie klienta, ukryty WP-Admin ma sens, aby zmaksymalizować postrzeganie bezpieczeństwa przez klienta.
  • Jeśli hakerzy przeprowadzą na twojej stronie atak brute force, twój serwer może się „przegrzać” z powodu dużej liczby żądań. Jeśli przeniesiesz obszar administracyjny, przynajmniej wyeliminujesz możliwość przeprowadzenia prymitywnych ataków brute force już na samym początku.
  • Możesz pozytywnie zaskoczyć niektórych klientów, ukrywając strefę administratora, na przykład przenosząc ją na stronę /NameOfYourCompany. W ten sposób możesz stworzyć niewielki, ale subtelny efekt brandingu.

Jak widzisz, te środki są raczej kosmetyczne. Ale nawet wyższy poziom postrzeganego bezpieczeństwa może czasem pomóc. Dlatego poniżej pokażę ci, jak możesz zabezpieczyć administratora WP z wtyczkami i bez nich.

Używanie wtyczek tylko do ukrywania administracji WP, czy to ma sens?

Świetne wtyczki bezpieczeństwa pozwalają także ukryć obszar administracyjny i dokładny charakter twojej strony, a także wiele innych funkcji. Jak już wspomniałem, podchodzę do tego krytycznie: instalowanie dużej ilości wtyczek tylko po to, by zmienić adres URL, nie rozwiąże wszystkich Twoich problemów za jednym zamachem. Dopiero po dokładnym zapoznaniu się z tematem możesz zdecydować, jakie środki bezpieczeństwa mają sens dla twojego projektu.

Jeśli chodzi o wtyczki, masz w zasadzie dwie opcje:

  • proste wtyczki przeznaczone tylko do ukrywania obszaru logowania
  • wtyczki, które obejmują ukrywanie obszaru logowania, ale mogą zrobić o wiele więcej

Kompleksowe wtyczki bezpieczeństwa są bardziej kłopotliwe ze względu na ich rozbudowaną funkcjonalność. Dlatego mają sens tylko wtedy, gdy wiesz, co chcesz dzięki nim osiągnąć: na przykład zablokować określone adresy IP, użyć zapory aplikacji internetowych (WAF) lub skorzystać z raportowania wtyczek.

Instalowanie dużej wtyczki tylko po to, żeby ukryć obszar administracyjny, to przesada. Ucierpi na tym szybkość ładowania strony, a w rezultacie zyskasz niewielką wartość dodaną. I nie zastąpi to zajmowania się zabezpieczeniami.

Ukrywanie obszaru administracyjnego za pomocą wtyczki jest więc wskazane tylko wtedy, gdy możesz jej używać bez większych strat w wydajności lub funkcjonalności - jako nice to have. Nie polecam instalowania specjalnie w tym celu dużych wtyczek, takich jak iThemes Security czy Wordfence.

Zamiast tego przedstawiamy dwie zgrabne alternatywy, które pozwolą ukryć obszar administracyjny:

WPS Hide Login

Ukryj WP Admin Plugin WPS Ukryj logowanie
Administratora WP można ukryć na przykład za pomocą wtyczki WPS Hide Login.

Ta darmowa wtyczka robi dokładnie jedną rzecz: zmienia dwa adresy URL /wp-admin i /wp-login.php na adresy podane przez Ciebie. W ten sposób utrudnia to pracę hakerom i sprawia, że Twoja strona jest nieco bardziej bezpieczna. Biorąc pod uwagę ponad milion aktywnych instalacji i średnią ocenę 4,9 gwiazdki (z ponad 2000 recenzji!), wtyczka sprawdza się w praktyce.

WP Hide & Security Enhancer

Ukryj WP Admin Plugin WP Hide Security Enhancer
Inną alternatywą jest nieco bardziej rozbudowana wtyczka WP Hide Security Enhancer.

Ta darmowa wtyczka ukrywa fakt, że Twoja strona działa na WordPressie. Nie wiadomo, czy ma to w zasadzie sens (za pomocą narzędzia takiego jak BuiltWith można to szybko ujawnić), ale jednocześnie zmienia adresy URL /wp-admin i /wp-login.php na dowolny inny. Obecnie ponad 80 000 webmasterów używa tej wtyczki, a średnia ocena wynosi 4,3 gwiazdki.

Nie bój się złego kodu: Zabezpiecz się za pomocą .htaccess

Jeśli chcesz ukryć fakt, że twoja strona jest instalacją WordPressa, możesz to zrobić za pomocą niektórych z wymienionych wtyczek. Możesz też zająć się bezpośrednio plikiem .htaccess. Jest to jeden z najważniejszych plików dla instalacji WordPress działających na serwerach Apache. Plik .htaccess określa na przykład, które pliki i katalogi Twojej strony są widoczne i kto ma do nich dostęp.

.htaccess i Raidboxes

Strony internetowe Raidboxes nie działają na serwerach Apache, więc .htaccess nie ma wpływu na serwer internetowy. Jeśli masz swój hosting WordPress w Raidboxes, możesz skorzystać z naszej ochrony logowania.

Wprowadzając niewielkie zmiany w tym pliku, możesz nadać swojej witrynie dodatkową warstwę bezpieczeństwa. W szczególności dodajesz pojedyncze fragmenty kodu, które ograniczają dostęp do pliku wp-config.php lub blokują określone adresy IP. Zalecam, abyś zawsze robił kopię zapasową tego pliku przed wprowadzeniem jakichkolwiek zmian — jeśli coś pójdzie nie tak, możesz szybko i łatwo przywrócić stan pierwotny. A w przypadku .htaccess nawet mały błąd w kodzie może wystarczyć do sparaliżowania twojej strony.

Wariant 1: Zezwalaj tylko na określone adresy IP

W zasadzie każdy katalog może być chroniony przez .htaccess - w tym przypadku chcesz szczególnie chronić obszar administracyjny. Dlatego umieszczasz nowy .htaccess w katalogu wp-admin. Jeśli zamiast tego określisz w głównym katalogu WordPressa, że dostęp mają tylko określone adresy IP, wykluczysz wszystkich innych z całej witryny, a nie tylko z obszaru administracyjnego.

W .htaccess katalogu administracyjnego masz teraz możliwość zablokowania określonym adresom IP dostępu do tego katalogu. Jeśli sam używasz statycznego IP, zaleca się wykluczenie wszystkich IP oprócz twojego własnego. W ten sposób tylko ty będziesz miał dostęp do obszaru administracyjnego.

To samo możesz zrobić, aby wykluczyć adresy IP ze strony wp-login.php. Nieuprawnione adresy IP mogą być na przykład przekierowane na stronę 404 (lub inną wybraną przez Ciebie) i nie będą już mogły dotrzeć do ekranu logowania. Można to zrobić, wstawiając odpowiedni kod.

Wariant 2: Skonfiguruj ochronę hasłem (lub uwierzytelnianie dwuskładnikowe)

Inną i bardzo często stosowaną opcją ochrony obszaru administracyjnego za pomocą .htaccess jest utworzenie dodatkowego uwierzytelnienia HTTP. Serwer wymaga wtedy odpowiednich danych dostępowych, aby w ogóle dostać się do strony logowania WordPress.

Oznacza to nieco więcej wysiłku podczas logowania, ale wielu napastników rezygnuje w tym momencie. Ataki typu brute force są w ten sposób blokowane, zanim jeszcze się rozpoczną. Jednak nawet ta ochrona nie jest całkowicie niezawodna, ponieważ wiele ataków odbywa się przez interfejs XMLrpc. Hakerzy mogą przeprowadzać ataki DDoS i brute force przez ten interfejs, który jest domyślnie zaimplementowany. Ataki są podobne do tych na stronę wp-admin, ale tutaj można zażądać setek kombinacji loginów i haseł jednocześnie. W tym miejscu należy więc powiedzieć, że rozsądniejszą ochroną nie jest dodatkowy login, ale dwuskładnikowe uwierzytelnianie.

Aby jednak wprowadzić dodatkową ochronę hasłem, oprócz pliku .htaccess potrzebny jest jeszcze jeden plik, a mianowicie tak zwany .htpasswd. Zawiera on dane dostępowe potrzebne do uwierzytelniania. Aby go stworzyć, możesz użyć odpowiednich narzędzi online . Szyfrują one wybrane przez Ciebie hasło (na przykład Günterdergroße86) zgodnie z formatem MD5 (Günterdergroße86 wygląda wtedy tak: $apr1$R71r9bVr$6S99bG1Z9R9yHXcOCG6m/). MD5 jest jednym z pięciu formatów haseł, z którymi może pracować serwer Apache. Ostatecznie musisz pamiętać tylko niezaszyfrowane hasło - serwer zajmie się resztą automatycznie.

Utworzony w ten sposób .htpasswd jest umieszczany na tym samym poziomie co .htaccess, zwykle na najwyższym poziomie katalogu WordPress.

W pliku .htaccess określasz, że uwierzytelnianie HTTP powinno mieć miejsce podczas dostępu do wp-login.php, i tworzysz łącze do .htpasswd za pomocą fragmentu kodu. W ten sposób serwer może uzyskać dostęp do wcześniej zdefiniowanych danych dostępowych w innym pliku. Jak to działa, wyjaśniono na przykład tutaj.

Następnie .htaccess określa, że do dostępu do /wp-login.php wymagana jest autoryzacja i gdzie serwer znajdzie odpowiednie dane uwierzytelniające (mianowicie w .htpasswd). Dodatkowo, zabraniasz dostępu do .htaccess, .htpasswd i wp-config.php, aby nikt poza Tobą nie mógł przekonfigurować Twojej instalacji.

Czy to wszystko wydaje się dość kłopotliwe? Tak jest. Co więcej, może się zdarzyć, że ta dodatkowa ochrona hasłem pogorszy kompatybilność wtyczek. Dlatego zawsze zalecam dwuskładnikowe uwierzytelnianie. Można je szybko skonfigurować za pomocą wtyczki, a ponadto zapewnia ono jeszcze większą ochronę przed nieuprawnionym wtargnięciem. Dzieje się tak dlatego, że kody uwierzytelniające są przesyłane przez zewnętrzny system.

"*" wyświetla wymagane pola

Chcę otrzymywać newsletter, aby być informowanym o nowych artykułach na blogu, e-bookach, funkcjach i nowościach dotyczących WordPress. Mogę wycofać swoją zgodę w dowolnym momencie. Należy zapoznać się z naszą Polityką prywatności.
To pole służy do weryfikacji i nie powinno być zmieniane.

Wniosek: Ukrycie administratora WP może wymagać wiele pracy — i przynosi raczej kosmetyczne korzyści

Idealnie byłoby, gdybyś chronił swój obszar administracyjny WP w możliwie najbardziej usprawniony sposób. Duży plugin bezpieczeństwa należy instalować tylko wtedy, gdy jednocześnie rozsądnie skonfiguruje się i wykorzysta jego pozostałe funkcje. Więc jeśli zależy Ci tylko na ukryciu administratora WP, nasza rada jest taka, aby pójść tak nisko, jak to tylko możliwe Plugin. Wszystko inne byłoby przesadą.

Jako środek bezpieczeństwa sam w sobie, ukrywanie administratora WP jest i tak nieistotne. Zasadniczo stosuje się również następującą zasadę: żadna wtyczka nie zastąpi silnego hasła i znajomości najważniejszych luk w zabezpieczeniach WordPress. A każda nowa wtyczka niesie ze sobą ryzyko wprowadzenia do kodu luk bezpieczeństwa. Dlatego ważne jest, aby dokładnie rozważyć, które i ile wtyczek instalujesz.

Stuprocentowa ochrona nie istnieje dla żadnej strony internetowej. Naszym zdaniem ukrycie obszaru administratora nie zwiększa w rzeczywistości bezpieczeństwa. Może jednak w znacznym stopniu przyczynić się do zwiększenia postrzeganego bezpieczeństwa. Zwłaszcza jeśli pracujesz na zlecenie klienta, nie powinieneś lekceważyć siły jego postrzegania. Nie jest to jednak w żadnym wypadku wystarczające jako jedyny lub główny środek bezpieczeństwa. Jeśli jednak zmodyfikowany adres URL zostanie zaprojektowany jako jedna z wielu warstw twojego systemu bezpieczeństwa, może być użytecznym dodatkiem do twojej koncepcji bezpieczeństwa.

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Tobias Schüring

Jako administrator systemu Tobias czuwa nad naszą infrastrukturą i znajduje każdą śrubkę, aby zoptymalizować działanie naszych serwerów. Ze względu na jego niestrudzone wysiłki często można go znaleźć w nocy na Slacku.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.