Ukryj WP Admin: Popularne, kłopotliwe i nieszczególnie skuteczne

Tobias Schüring Ostatnia aktualizacja 20.10.2020
9 Min.
wp admin hide
Ostatnia aktualizacja 20.10.2020

Prawie każdy wie, jak domyślnie dotrzeć do bariery logowania do strefy administratora na stronie WordPress . Ponieważ ponad 34 procent wszystkich stron internetowych działa pod adresem WordPress , hakerom łatwo jest znaleźć i zaatakować obszary logowania na tych stronach. To właśnie dlatego odpowiednie włamania, takie jak Brute Force , należą do najczęstszych. najczęstsze ataki na strony WordPress w ogóle. Prostym środkiem ochronnym wydaje się być ukrycie obszaru administracyjnego WP. Dziś pokażę Ci, jak przydatna jest ta technika i jak możesz ją wdrożyć.

Brute Force Ataki są prawdopodobnie najczęstszym rodzajem ataków na strony WordPress . Sam dostawca zabezpieczeń Wordfence zmierzył w niektórych miesiącach tego roku prawie 1 miliard takich ataków w 2017 roku - nie licząc liczby niezgłoszonych przypadków. W celu ograniczenia zagrożenia bezpieczeństwa wynikającego z ataków Brute Force , zasadniczo sensowne jest ograniczenie prób logowania po zbyt wielu nieudanych próbach. Ponadto wielu webmasterów WordPress stosuje inną metodę: przenoszą obszar administracyjny WP, tak, że nie można go już znaleźć pod sufiksem wp-admin.

Dlatego wiele wtyczek bezpieczeństwa oferuje odpowiednią funkcję. Kto może również odważyć się na plik .htaccess. Ale ukrywanie obszaru administracyjnego WP samo w sobie nie jest naprawdę dobrym środkiem bezpieczeństwa. Ale może to być przydatny dodatek.

Ukryj WP Admin: O co chodzi?

Za ideą ukrywania obszaru administracyjnego WP kryje się zasada bezpieczeństwo dzięki niejawności ("security through obscurity") - idea mówiąca, że bezpieczeństwo systemu jest tym większe, im bardziej jego funkcjonalność pozostaje utajniona. Innymi słowy, jeśli napastnik nie wie, gdzie są drzwi wejściowe, może się skradać wokół domu, ale nie może się włamać.

Bezpieczeństwo przez ukrycie - bezzębny tygrys w praktyce

Takie podejście budzi kontrowersje wśród ekspertów - i nie bez powodu. W tym przypadku fakt, że informacje są bezpieczne, nie oznacza, że nie można się do nich w ogóle dostać. Jest tam - ale jest ukryty. Ale z odpowiednimi narzędziami, hakerzy nadal mogą znaleźć Twoją stronę logowania, jeśli chcą.

I tu pojawia się prawdziwy problem z bezpieczeństwo dzięki niejawności często wykorzystywane do ukrywania problemów, które zamiast tego powinny zostać całkowicie wyeliminowane. Jeśli Twoja nazwa administratora to admin a twoje hasło to hasło123!Haker znajdzie się w Twoim backendzie w mgnieniu oka, gdy tylko znajdzie Twoją ukrytą stronę logowania.

W skrócie: Ukryty obszar administratora nie powstrzymuje napastników przed atakiem na ciebie, a jedynie wydłuża czas pracy potrzebny do przeprowadzenia ataku. Niestety, nie da się całkowicie ukryć faktu, że twój WordPress -projekty wokół WordPress-strony. Ukrywanie WP-Admin nie powinno być jedynym środkiem bezpieczeństwa. Ktokolwiek cię celuje, nie będzie mógł uciec.

Koncepcja bezpieczeństwo dzięki niejawności jest więc idealnie jedną z wielu warstw Twojej koncepcji bezpieczeństwa. Limitowanie prób logowania (LLA), silne hasło wraz z dwuskładnikowym uwierzytelnianiem oraz - jeśli ostatecznie z niego korzystasz - czysto skonfigurowane zabezpieczeniaPlugin to rozsądne połączenie. Ukrycie obszaru administratora jest tylko wisienką na torcie.

W niektórych przypadkach, ukrywanie administratora WP nadal ma sens

Teraz jest kilka sytuacji, w których ukrycie administratora WP może mieć sens:

  • Ukrywanie WP-Admin ma silny wpływ na postrzegane bezpieczeństwo WordPress strony. Zwłaszcza jeśli pracujesz w imieniu klienta, ukryty WP-Admin ma sens, aby zmaksymalizować percepcję bezpieczeństwa Twojego klienta.
  • Jeśli hakerzy przeprowadzą atak Brute Force na Twoją stronę, Twój serwer może się "przegrzać" z powodu dużej liczby żądań. Jeśli przeniesiesz obszar administratora, przynajmniej pozbawisz wiatru w żagle prymitywne ataki Brute Force już na samym początku.
  • Możesz pozytywnie zaskoczyć niektórych klientów, ukrywając strefę administratora, np. przenosząc ją pod /nazwafirmy. W ten sposób można stworzyć mały, ale ładny efekt brandingowy.

Jak widać, środki te mają charakter bardziej kosmetyczny. Ale nawet większe poczucie bezpieczeństwa może czasem pomóc. Dlatego poniżej pokażę Ci, jak możesz zabezpieczyć swojego administratora WP z i bez Plugins .

UżyjPlugins tylko do ukrywania administratora, czy to ma sens?

Świetne zabezpieczeniaPlugins oferują również możliwość ukrycia obszaru administracyjnego i dokładnego charakteru witryny, wśród wielu innych funkcji. Jak już mówiłem, jestem krytycznie nastawiony do tego: instalacja nieporęcznego Plugin tylko po to, aby zmienić adres URL nie rozwiąże wszystkich problemów za jednym zamachem. Dopiero po dokładnym zbadaniu tematu można zdecydować, jakie środki bezpieczeństwa mają sens dla danego projektu.

Jeśli jednak chodzi o Plugins , masz w zasadzie dwie opcje:

  • slim Plugins, przeznaczony tylko do ukrycia obszaru logowania
  • Plugins, które obejmują ukrywanie obszaru logowania, ale mogą zrobić o wiele więcej

Kompleksowe zabezpieczeniePlugins jest bardziej obszerne ze względu na swoją rozbudowaną funkcjonalność. Dlatego mają one sens tylko wtedy, gdy wiesz, co chcesz dzięki nim osiągnąć: na przykład zablokować określone IP, użyć Web Application Firewall (WAF) lub skorzystać z raportowania Plugins . W tym artykule można również znaleźć odpowiedź na pytanie, na ile użyteczne jest bezpieczeństwoPlugins .

Instalowanie dużej strony Plugin tylko po to, aby ukryć obszar administratora jest przesadą. Twoja prędkość ładowania cierpi i masz niewielką wartość dodaną na koniec dnia. Nie zastąpi to również zajmowania się zabezpieczeniami.

Ukrywanie obszaru administracyjnego za pomocą Plugin jest więc wskazane tylko wtedy, gdy można go używać bez większych strat wydajnościowych i funkcjonalnych - jako rodzaj miło mieć. Instalować dużego Plugin jak iThemes Security czy Wordfence tylko po to, nie polecam.

Zamiast tego, oto kilka eleganckich alternatyw, aby ukryć swój obszar administratora:

WPS Hide Login

wps hide login
Na przykład, administrator WP może zostać ukryty za pomocą funkcji WPS Hide Login Plugin .

Ten darmowy Plugin robi dokładnie to samo jeden rzecz: Zmienia dwa adresy URL /wp-admin i /wp-login.php na adresy podane przez Ciebie. Stanowi to dodatkową przeszkodę dla hakerów i sprawia, że Twoja strona jest nieco bardziej bezpieczna. Z ponad 400 000 aktywnych instalacji i średnią oceną 4,9 gwiazdek (z ponad 1100 recenzjami!), Plugin sprawdza się w praktyce.

Chroń swojego administratora

chroń swojego administratora
Opcjonalnie, działa to również z Plugin Protect Your Admin.

Plugin jest, pomimo kilku dodatkowych funkcji, jednym z najcieńszych na rynku i pozwala na określenie niestandardowego adresu URL dla /wp-admin i /wp-login.php. Każdy, kto spróbuje wejść na te dwie strony, wyląduje zamiast tego na Twojej stronie głównej. 40 000 użytkowników ma obecnie zainstalowaną tę stronę Plugin , a średnia ocena wynosi 3,8 gwiazdki. Płatna aktualizacja odblokowuje kilka dodatkowych funkcji, takich jak licznik prób logowania.

Cerber Security, Antispam & Malware Scan

cerber bezpieczeństwo antyspam skanowanie malware
Cerber Security Plugin strzeże również administratora WP.

Między innymi, ten Plugin ukrywa /wp-login.php i wyświetla zamiast tego komunikat o błędzie 404. Potrafi jednak znacznie więcej - warto więc przyjrzeć się temu narzędziu bliżej. Ocena wynosi obecnie 4,9 gwiazdki, a aktywnych użytkowników jest około 100 000. Wejście na stronę Plugin jest bezpłatne.

WP Hide & Security Enhancer

wp hide security enhancer
Inną alternatywą jest nieco grubszy Plugin WP Hide Security Enhancer.
 

Ten darmowy Plugin ukrywa fakt, że Twoja strona działa z WordPress . Czy ma to w zasadzie sens, czy też nie (dzięki narzędziu takiemu jak BuiltWith, można to szybko wydobyć na światło dzienne), ale jednocześnie zmienia adresy URL /wp-admin i /wp-login.php na dowolny inny adres URL. Ponad 50.000 webmasterów korzysta obecnie z Plugin , średnia ocena to 4,3 gwiazdki.

Nie bój się złego kodu: Zabezpiecz się za pomocą .htaccess

Jeśli chcesz ukryć fakt, że twoja witryna jest instalacją WordPress , możesz to zrobić za pomocą niektórych plików Plugins , które właśnie wymieniłem. Możesz też bezpośrednio manipulować plikiem .htaccess. Jest to jeden z najważniejszych plików instalacji WordPress działających na serwerach Apache (uwaga: strony RAIDBOXES nie działają na serwerach Apache, więc .htaccess nie ma wpływu na serwer WWW). .htaccess definiuje na przykład, które pliki i katalogi Twojej witryny są widoczne i kto ma dostęp do czego.

Dzięki niewielkim zmianom w tym pliku, możesz nadać swojej witrynie dodatkową warstwę bezpieczeństwa. Konkretnie, dodajesz indywidualne fragmenty kodu, które ograniczają dostęp do wp-config.php lub blokują określone IP. Zalecam, aby zawsze robić kopię zapasową tego pliku przed wprowadzeniem jakichkolwiek zmian - jeśli coś pójdzie nie tak, można wtedy szybko i łatwo przywrócić stan pierwotny. A z .htaccess, nawet mały błąd w kodzie może wystarczyć, aby sparaliżować twoją stronę.

Wariant 1: Zezwalaj tylko na określone adresy IP

W zasadzie każdy katalog może być chroniony za pomocą .htaccess - w tym przypadku chcesz szczególnie chronić obszar administracyjny. Dlatego wgrywasz nowy .htaccess w katalogu wp-admin. Jeśli zamiast tego określisz w głównym katalogu WordPress , że tylko niektóre IP mają dostęp, wykluczasz wszystkich innych z całej witryny zamiast tylko z obszaru administracyjnego.

W .htaccess katalogu administratora masz teraz możliwość zablokowania określonym IP dostępu do tego katalogu. Jeśli sam używasz statycznego IP, zalecane jest wykluczenie wszystkich IP z wyjątkiem własnego. W ten sposób tylko Ty będziesz miał dostęp do obszaru administracyjnego.

Przy okazji, możesz zrobić to samo, aby wykluczyć IP ze strony wp-login.php. Nieuprawnione IP mogą zostać na przykład przekierowane na stronę 404 (lub inną wybraną przez Ciebie) i nie dotrzeć do ekranu logowania. Można to zrobić wstawiając odpowiedni kod.

Wariant 2: Skonfiguruj ochronę hasłem (lub uwierzytelnianie dwuskładnikowe)

Inną i bardzo często wykorzystywaną możliwością zabezpieczenia obszaru administracyjnego za pomocą .htaccess jest stworzenie dodatkowego uwierzytelnienia HTTP. Serwer wymaga już wtedy odpowiednich danych dostępowych, aby w ogóle dostać się na stronę logowania WordPress .

Oznacza to trochę więcej wysiłku dla Ciebie podczas logowania, ale wielu atakujących rzuca ręcznik w tym momencie. Brute Force Ataki są blokowane zanim jeszcze się rozpoczną. Jednak nawet ta ochrona nie jest całkowicie niezawodna, gdyż wiele ataków przebiega przez interfejs XMLrpc. Hakerzy mogą przeprowadzać atakBrute Force i DDoS i poprzez ten interfejs, który jest domyślnie zaimplementowany. Ataki są podobne do tych na stronę wp-admin, ale tutaj setki kombinacji loginów i haseł mogą być żądane jednocześnie. Dlatego w tym miejscu trzeba powiedzieć, że sensowniejszym zabezpieczeniem nie jest dodatkowe logowanie, ale uwierzytelnianie dwuskładnikowe.

Aby jednak zaimplementować dodatkową ochronę hasłem, potrzebny jest jeszcze jeden plik oprócz .htaccess, mianowicie tzw. Zawiera on dane dostępowe potrzebne do uwierzytelnienia. Aby go stworzyć, można skorzystać z odpowiednich narzędzi online. Szyfrują one Twoje hasło (np. Günterdergroße86) zgodnie z formatem MD5 (Günterdergroße86 wygląda wtedy następująco: $apr1$R71r9bVr$6S99bG1Z9R9yHXcOCG6m/). MD5 jest jednym z pięciu formatów haseł, z którymi może współpracować serwer Apache. Ostatecznie jednak wystarczy zapamiętać tylko niezaszyfrowane hasło - o resztę serwer zadba automatycznie.

Utworzony w ten sposób .htpasswd umieszczany jest na tym samym poziomie co .htaccess, zwykle na najwyższym poziomie katalogu WordPress .

W .htaccess definiujemy, że uwierzytelnianie HTTP powinno mieć miejsce podczas dostępu do wp-login.php i tworzymy link do .htpasswd poprzez snippet kodu. W ten sposób serwer może uzyskać dostęp do wcześniej podanych danych uwierzytelniających w innym pliku. Jak to działa wyjaśnione jest na przykład tutaj.

Następnie .htaccess określa, że do dostępu do /wp-login.php wymagana jest autoryzacja i gdzie serwer znajdzie odpowiednie dane uwierzytelniające (mianowicie w .htpasswd). Dodatkowo, zabraniasz dostępu do .htaccess, .htpasswd i wp-config.php, aby nikt poza Tobą nie mógł przekonfigurować Twojej instalacji.

Czy to wszystko wydaje się dość uciążliwe? Tak jest. Ponadto, ta dodatkowa ochrona hasłem może zagrozić kompatybilności Plugins . Dlatego zawsze zalecałbym uwierzytelnianie dwuskładnikowe. Jest on szybko konfigurowany przez Plugin i zapewnia jeszcze większą ochronę przed nieuprawnionym wtargnięciem. Dzieje się tak, ponieważ kody uwierzytelniające są przesyłane przez system zewnętrzny.

Wniosek: Ukrywanie WP-Admin może być pracochłonne - i przynosi raczej kosmetyczne korzyści

Idealnie byłoby, gdybyś chronił swój obszar administracyjny WP w możliwie najbardziej usprawniony sposób. Duży plugin bezpieczeństwa należy instalować tylko wtedy, gdy jednocześnie rozsądnie skonfiguruje się i wykorzysta jego pozostałe funkcje. Więc jeśli zależy Ci tylko na ukryciu administratora WP, nasza rada jest taka, aby pójść tak nisko, jak to tylko możliwe Plugin. Wszystko inne byłoby przesadą.

Jako własne zabezpieczenie, ukrywanie administratora WP jest i tak mało skuteczne. Zasadniczo obowiązuje również następująca zasada: Żadna strona Plugin nie zastąpi silnego hasła i znajomości najważniejszych luk w zabezpieczeniach WordPress . A każdy nowy Plugin niesie ze sobą ryzyko pojawienia się w kodzie luk bezpieczeństwa. Dlatego ważne jest, aby dokładnie rozważyć, które i ile ich zainstalować.

Stuprocentowa ochrona nie istnieje dla żadnej strony internetowej. Naszym zdaniem, ukrycie obszaru wp-admin nie zwiększa bezpieczeństwa. Może jednak w znacznym stopniu przyczynić się do zwiększenia poczucia bezpieczeństwa. Zwłaszcza jeśli pracujesz w imieniu klienta, nie powinieneś lekceważyć siły percepcji klienta. Jednak zdecydowanie nie jest on wystarczający jako jedyny lub główny środek bezpieczeństwa. Jednakże, jeśli zmodyfikowany URL jest zaprojektowany jako jedna z wielu warstw systemu bezpieczeństwa, może być użytecznym dodatkiem do koncepcji bezpieczeństwa.

Jako administrator systemu Tobiasz czuwa nad naszą infrastrukturą i znajduje każdą śrubkę, aby zoptymalizować wydajność naszych serwerów. Dzięki jego niestrudzonym wysiłkom, często można go spotkać w nocy na stronie Slack .

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.