Ukryć WP Admina: Popularne, złożone i niezbyt skuteczne

9 Min.
ukryj się admin
Ostatnio zaktualizowany na

Prawie każdy wie, jak dotrzeć do bariery logowania do obszaru administratora WordPress domyślnie. Od więcej niż 34 procent wszystkich stron internetowych hakerzy mogą łatwo znaleźć i zaatakować obszary logowania na tych stronach. Dokładnie z tego powodu odpowiednie włamania, jak Brute Forceataki, należą do najczęstsze ataki na WordPress strony w ogóle. Prostym środkiem ochronnym wydaje się być ukrycie obszaru administracyjnego WP. Dzisiaj pokażę wam, jak przydatna jest ta technika i jak możecie ją wdrożyć.

Brute Force Ataki są prawdopodobnie najczęstszym rodzajem ataku na WordPress strony w ogóle. Sam sprzedawca zabezpieczeń Wordfence zmierzył prawie 1 miliard takich ataków w 2017 roku w ciągu kilku miesięcy tego roku, nie licząc liczby niezgłoszonych ataków. W celu ograniczenia zagrożenia bezpieczeństwa Brute Forceataków, zasadniczo sensowne jest ograniczenie prób logowania po zbyt wielu nieudanych próbach. Co więcej, wielu WordPress webmasterów używa innej metody: przenoszą Obszar administracyjny WP, dzięki czemu nie można go już znaleźć pod przyrostkiem wp-admin.

Wiele wtyczek bezpieczeństwa oferuje zatem odpowiednią funkcję. Kto też może odważyć się użyć pliku .htaccess. Ale ukrycie obszaru administracyjnego WP nie jest samo w sobie dobrym środkiem bezpieczeństwa. Ale to może być użyteczne uzupełnienie.

Ukryć WP Admina: Jaki jest sens tego wszystkiego?

Za ideą ukrycia obszaru administracyjnego WP kryje się zasada bezpieczeństwo poprzez ukrycie ("security through obscurity/uncertainty") - założenie, że bezpieczeństwo systemu jest silniejsze, dopóki jego działanie pozostaje tajne. Innymi słowy, jeśli napastnik nie wie, gdzie są twoje drzwi wejściowe, może zakraść się do twojego domu, ale nie może się włamać.

FREE DEV Program RAIDBOXES

Bezpieczeństwo poprzez zaciemnienie - w praktyce bezzębny tygrys

Podejście to jest kontrowersyjnie dyskutowane przez ekspertów - i to nie bez powodu. W tym przypadku fakt, że informacje są bezpieczne, nie oznacza, że nie mogą być już w ogóle dostępne. Jest dostępny - ale ukryty. Ale dzięki odpowiednim narzędziom, hakerzy nadal mogą znaleźć Twoją stronę logowania, jeśli chcą.

I tu pojawia się prawdziwy problem z bezpieczeństwo poprzez ukrycie do gry: Często podejście to jest wykorzystywane do ukrycia problemów, które zamiast tego powinny być całkowicie wyeliminowane. Czy twoje nazwisko administratora admin i twoje hasło Hasło 123!haker w mgnieniu oka znajdzie się w twoim backendzie, jeśli znajdzie twoją ukrytą stronę logowania.

W skrócie: Ukryty obszar administratora nie powstrzymuje napastników przed atakiem na ciebie, a jedynie wydłuża czas pracy potrzebny do przeprowadzenia ataku. Niestety, nie da się całkowicie ukryć faktu, że twój WordPress -projekty wokół WordPress-strony. Ukrywanie WP-Admin nie powinno być jedynym środkiem bezpieczeństwa. Ktokolwiek cię celuje, nie będzie mógł uciec.

Koncepcja bezpieczeństwo poprzez ukrycie jest więc idealnie jedną z wielu warstw twojej koncepcji bezpieczeństwa. Limit Login Attempts (LLA), silne hasło z dwuczynnikowym uwierzytelnianiem i - jeśli w końcu użyjesz jednego - dobrze skonfigurowane zabezpieczeniaPlugin to rozsądna mieszanka. Ukrywanie obszaru administracyjnego jest tylko lukrem na torcie.

W niektórych przypadkach ukrywanie WP-Admin ma jednak sens.

Ale tak naprawdę istnieją pewne sytuacje, w których ukrycie WP-Admin może mieć sens:

  • Ukrywanie WP-Admin ma silny wpływ na postrzegane bezpieczeństwo WordPress strony. Zwłaszcza jeśli pracujesz w imieniu klienta, ukryty WP-Admin ma sens, aby zmaksymalizować percepcję bezpieczeństwa Twojego klienta.
  • Jeśli hakerzy znajdą Brute Force atak na Twoją stronę, Twój serwer internetowy może się "przegrzać" tylko z powodu dużej liczby żądań. Jeśli przeniesiesz obszar administratora, użyjesz przynajmniej prymitywnego Brute Force Atakuje już na początku wiatr od żagli.
  • Możesz pozytywnie zaskoczyć niektórych klientów poprzez ukrycie obszaru administracyjnego, np. jeśli przeniesiesz go pod /nazwę firmy. W ten sposób można stworzyć mały, ale ładny efekt brandingowy.

Jak widać, środki te mają raczej charakter kosmetyczny. Ale czasami nawet wyższe postrzeganie bezpieczeństwa może pomóc. Dlatego też poniżej pokażę ci, jak możesz zabezpieczyć swój WP-Admin z i bezPlugins.

Plugins tylko po to, by ukryć administratora, czy to ma sens?

Wspaniałe zabezpieczeniaPlugins obejmują możliwość ukrycia obszaru administratora i dokładnego charakteru Twojej strony. Jak już mówiłem, mam krytyczne spojrzenieInstalacja nieporęcznego Plugintylko w celu zmiany adresu URL nie rozwiązuje wszystkich problemów na raz. Dopiero po dokładnym zbadaniu tematu można zdecydować, jakie środki bezpieczeństwa są sensowne dla Państwa projektu.

Ale w sprawach Pluginsmasz w zasadzie dwie opcje:

  • szczupłePlugins, które zostały opracowane tylko w celu ukrycia obszaru logowania
  • Pluginsktóre obejmują ukrycie obszaru logowania, ale mogą zrobić o wiele więcej

Wszechstronne bezpieczeństwoPlugins są bardziej nieporęczne ze względu na ich rozszerzoną funkcjonalność. Dlatego też mają one zasadniczo sens tylko wtedy, gdy wiesz, co chcesz za ich pomocą osiągnąć: na przykład zablokować bardzo konkretne IP, użyć Web Application Firewall (WAF) lub być wykluczonym z raportowania w zakresie Plugins Zysk. Pytanie o to, jak sensowne jest bezpieczeństwoPlugins są prawdziwe, my również odpowiadamy w tym artykule.

Zainstalowanie dużego Plugintylko po to, by ukryć obszar administracyjny jest przesadą. Cierpi na tym Twoja prędkość załadunku i nie masz prawie żadnej wartości dodanej. I to nie zastąpi postępowania z zabezpieczeniami.

Ukrywanie obszaru administracyjnego z jednym Pluginjest wskazane tylko wtedy, gdy można go używać bez większych strat wydajności lub funkcjonalności - jako fajnie mieć. Extra do tego duży Pluginjak iThemes Security lub Wordfencezainstalować, nie polecam.

Tutaj zamiast tego są jakieś szczuplejsze alternatywy, aby ukryć swój obszar administracyjny:

WPS Ukryte logowanie

wps ukryć login
WP-Admin może być ukryty np. za pomocą Ukrytego Loginu PluginWPS.

Ten wolny Pluginrobi dokładnie a Rzecz w tym, że zmienia dwa adresy URL /wp-admin i /wp-login.php na adresy, które podasz. Stanowi to dodatkową przeszkodę dla hakerów i czyni Twoją stronę nieco bardziej bezpieczną. Przy ponad 400.000 aktywnych instalacji i średniej ocenie 4,9 gwiazdki (przy ponad 1.100 ocenach!) zostało to Pluginudowodnione w praktyce.

Chroń swojego administratora

chronić swojego administratora
Opcjonalnie działa to również z systemem PluginProtect Your Admin.

Plugin jest, pomimo pewnych dodatkowych funkcji, jednym z chudszych na rynku i pozwala na określenie własnego adresu URL dla /wp-admin i /wp-login.php. Każdy, kto spróbuje wejść na którąkolwiek z tych stron, trafi na Twoją stronę główną. 40.000 użytkowników skorzystało z tego Plugin aktualnie zainstalowany, średni ranking wynosi 3,8 gwiazdki. Płatne uaktualnienie aktywuje kilka dodatkowych funkcji, takich jak licznik prób logowania.

Skanowanie Cerber Security, Antispamu i Malware'u

antyspamowe skanowanie antywirusowe cerber security
Firma Cerber Security pilnuje również PluginWP-Admin.

To Plugin ukrywa między innymi /wp-login.php i zamiast tego wyświetla komunikat o błędzie 404. Ale może zrobić o wiele więcej - dlatego warto dokładnie przyjrzeć się temu narzędziu. Rating wynosi obecnie 4,9 gwiazdki, a aktywnych jest około 100 000 użytkowników. Plugin jest wolny.

WP Hide & Security Enhancer

wp hide wzmacniacz bezpieczeństwa
Inną alternatywą jest nieco bardziej obszerny PluginWP Hide Security Enhancer.
 

Ten darmowy Pluginukrywa fakt, że twoja strona również WordPress działa. To, czy ma to w zasadzie sens, jest dyskusyjne (z narzędziem takim jak Zbudowany z może zostać szybko ujawniony), ale jednocześnie zmienia adresy URL /wp-admin i /wp-login.php na dowolny inny adres URL. Obecnie korzysta z tego ponad 50 000 webmasterówPlugin, średnia ocena wynosi 4,3 gwiazdki.

Nie ma strachu przed złym kodeksem: Zabezpieczenie z .htaccess

Jeśli chcesz ukryć fakt, że twoja strona jest WordPress -Instalacja, potem możesz Pluginsto zrobić nad niektórymi z tych, które właśnie zostały wymienione. Albo można przejść bezpośrednio do pliku .htaccess. Jest to jedna z najważniejszych teczek WordPress -instalacje uruchomione na serwerach Apache. (Uwaga: RAIDBOXES-strony nie działają na serwerach Apache'a, więc .htaccess nie ma wpływu na serwer WWW) Na przykład, .htaccess określa, które pliki i katalogi Twojej strony są widoczne i kto ma dostęp do czego.

Dzięki małym zmianom w tym pliku możesz nadać swojej stronie internetowej dodatkową warstwę bezpieczeństwa. W szczególności można dodać fragmenty kodu, które ograniczają dostęp do wp-config.php lub blokują pewne IP. Zalecam, aby przed dokonaniem jakichkolwiek zmian, upewnić się, że posiadasz Kopia zapasowa tego pliku - jeśli coś pójdzie nie tak, można wtedy szybko i łatwo wrócić do pierwotnego stanu. A z .htaccess, nawet mały błąd w kodzie może być wystarczający, aby sparaliżować Twoją stronę.

ootb autorzy poszukiwali bloga

Wariant 1: Zezwolenie tylko na niektóre IP

Z .htaccessem możesz w zasadzie chronić każdy katalog - w tym przypadku chcesz chronić obszar administracyjny. W związku z tym w katalogu wp-admin wrzucasz nowy plik .htaccess. Jeśli zamiast tego określisz w katalogu głównym WordPress tego katalogu, że tylko niektóre IP mają dostęp, wykluczysz wszystkie inne z całej witryny zamiast tylko z obszaru administratora.

W katalogu .htaccess administratora masz teraz możliwość zablokowania dostępu do tego katalogu określonym IP. Jeśli sam korzystasz ze statycznego adresu IP, zaleca się wyłączenie wszystkich adresów IP oprócz swojego własnego. W ten sposób tylko ty będziesz miał dostęp do obszaru administracyjnego.

Przy okazji, możesz zrobić to samo, aby wykluczyć IP ze strony wp-login.php. Nieautoryzowane IP mogą zostać przekierowane na stronę 404 (lub inną wybraną przez Ciebie stronę) i nie będą miały dostępu do ekranu logowania. Można to zrobić poprzez wprowadzenie odpowiedniego kodu.

  • Na stronie WordPress Codex jest opisane, jak można chronić poszczególne katalogi swojej WordPress instalacji
  • Koledzy z WP-Beginner Pokaż w szczegółach jak chronić WP-Admin za pomocą .htaccess
  • Producent wtyczek wpmudev pokazuje w obszernym przewodnikujak możesz wykorzystać .htaccess do ochrony swoich stron internetowych

Wariant 2: Konfiguracja ochrony hasłem (lub uwierzytelnianie dwuskładnikowe)

Inną i bardzo często wykorzystywaną możliwością ochrony obszaru administratora za pomocą .htaccess jest stworzenie dodatkowego uwierzytelnienia HTTP. Serwer potrzebuje już wtedy odpowiednich danych dostępu, aby dostać się na stronę WordPress logowania.

To oznacza trochę więcej pracy, żeby się zalogować, ale wielu napastników wrzuci w tym momencie ręcznik. Brute Force Ataki są blokowane zanim jeszcze się rozpoczęły. Jednak nawet ta ochrona nie jest całkowicie niezawodna, ponieważ wiele ataków odbywa się poprzez Interfejs XMLrpc Biegnij. Interfejs ten, zaimplementowany domyślnie, pozwala hakerom na uruchamianie DDoS i Brute Force Ataki Biegnij. Ataki są podobne do tych na stronie wp-admin, ale tutaj można żądać setek kombinacji loginów i haseł jednocześnie. W związku z tym należy w tym miejscu powiedzieć, że bardziej sensowną ochroną nie jest dodatkowe logowanie, ale dwuczynnikowe uwierzytelnienie.

Ale aby dodać dodatkową ochronę hasłem potrzebny jest inny plik oprócz .htaccess, tak zwany .htpasswd. Zawiera on dane dostępowe potrzebne do uwierzytelnienia. Aby go stworzyć, możesz odpowiednie narzędzia online użycie. Szyfrują one żądane hasło (na przykład Günterdergrosse86) zgodnie z formatem MD5 (Günterdergrosse86 wygląda tak: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 jest jednym z pięciu formatów haseł, z którymi może pracować serwer Apache. Ale trzeba tylko pamiętać o niezaszyfrowanym haśle - serwer zrobi resztę automatycznie.

Stworzona w ten sposób domena .htpasswd jest umieszczona na tym samym poziomie co domena .htaccess, zwykle na najwyższym poziomie WordPress katalogu.

Pozytywny WordPress wpływ na klimat

W domenie .htaccess definiujemy teraz, że uwierzytelnianie HTTP powinno odbywać się podczas dostępu do wp-login.php i tworzenia linku do domeny .htpasswd za pomocą snippetu kodu. Pozwala to serwerowi na dostęp do wcześniej zdefiniowanych danych uwierzytelniających w drugim pliku. Jak to się robi, wyjaśniono na przykład Tutaj Wyjaśnione.

Następnie .htaccess określa, że wymagana jest autoryzacja dostępu do /wp-login.php i gdzie serwer może znaleźć odpowiednie dane dostępu (mianowicie w .htpasswd). Ponadto, zabrania się również dostępu do plików .htaccess, .htpasswd i wp-config.php, aby zapewnić, że nikt poza Tobą nie będzie mógł ponownie skonfigurować instalacji.

Czy wszystko wydaje się dość skomplikowane? Tak jest. Dodatkowo, może się zdarzyć, że ta dodatkowa ochrona hasłem Kompatybilność osób Pluginsniepełnosprawnych. Dlatego zawsze polecam dwuczynnikowe uwierzytelnienie. Jest on szybko Pluginkonfigurowany za pomocą a także oferuje jeszcze większą ochronę przed nieautoryzowanym włamaniem. Ponieważ kody uwierzytelniające są przesyłane za pomocą zewnętrznego systemu.

Wniosek: Ukrywanie WP-Admin może być bardzo pracochłonne - i przynosi więcej korzyści kosmetycznych.

Idealnie byłoby, gdybyś chronił swój obszar administracyjny WP w możliwie najsmuklejszy sposób. Powinieneś zainstalować duży dodatek bezpieczeństwa tylko wtedy, gdy rozsądnie skonfigurowasz i używasz jego innych funkcji. Jeśli chcesz ukryć tylko WP-Admin, zalecamy wąską wersjęPlugin. Wszystko inne byłoby przesadzone.

Jako osobny środek bezpieczeństwa, ukrywanie WP-Admin jest i tak nieistotne. Co do zasady, zastosowanie mają również następujące zasady: Nie Plugin zastępuje silne hasło i wiedzę o najważniejszych WordPress lukach w zabezpieczeniach. I każdy nowy Plugin niesie ze sobą ryzyko wprowadzenia wad bezpieczeństwa w kodzie. Dlatego ważne jest, aby dokładnie rozważyć, które i ile razy zainstalować.

100% ochrony nie istnieje dla żadnej strony internetowej. Naszym zdaniem, ukrywanie sekcji wp-admin nie daje większego bezpieczeństwa. Ale może to w ogromnym stopniu przyczynić się do postrzeganego bezpieczeństwa. Zwłaszcza jeśli pracujesz w imieniu klienta, nie należy lekceważyć siły percepcji klienta. Jednak w żadnym wypadku nie jest to wystarczające jako pojedynczy lub centralny środek bezpieczeństwa. Jednakże, jeśli zmieniony adres URL jest zaprojektowany jako jedna z wielu warstw systemu bezpieczeństwa, może on być użytecznym dodatkiem do koncepcji bezpieczeństwa.

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.