Ocultar WP Admin: Popular, complexo e não muito eficaz

9 Min.
administrador de hidden wp
Última actualização em

Quase todos sabem como alcançar a barreira de login na área de administração por WordPress padrão. Desde mais de 34 por cento de todos os sites WordPress é fácil para os hackers encontrarem e atacarem as áreas de login destas páginas. Exatamente por este motivo, os hacks correspondentes, como os Brute Forceataques, pertencem ao ataques mais frequentes às WordPress páginas. Uma simples medida de proteção parece ser esconder a área administrativa do WP. Hoje vou mostrar-vos como esta técnica é útil e como a podem implementar.

Brute Force Ataques são provavelmente o tipo de ataque mais comum nas WordPress páginas em geral. Só o fornecedor de segurança Wordfence mediu quase 1 bilhão de ataques desse tipo em 2017 em alguns meses deste ano, sem contar o número de ataques não reportados. A fim de limitar o risco de segurança dos Brute Forceataques, faz sentido, em princípio, restringir as tentativas de login após muitas tentativas fracassadas. Além disso, muitos WordPress webmasters usam outro método: eles movem o WP área administrativa, para que não seja mais encontrada sob o sufixo wp-admin.

Muitos plugins de segurança, portanto, oferecem uma função correspondente. Quem também pode ousar usar o arquivo .htaccess. Mas esconder a área administrativa do WP não é uma medida de segurança muito boa em si mesma. Mas pode ser uma adição útil.

Ocultar WP Admin: Qual é o objectivo de tudo isto?

Por trás da ideia de esconder a área administrativa do WP está o princípio segurança através da obscuridade ("segurança através da obscuridade/descontrole") - a ideia de que a segurança de um sistema é mais forte enquanto o seu funcionamento permanecer secreto. Em outras palavras, se o atacante não souber onde está a sua porta da frente, pode esgueirar-se pela sua casa, mas não pode invadi-la.

FREE DEV Programa RAIDBOXES

Segurança através da obscuridade - na prática um tigre desdentado

Esta abordagem é controversa entre os especialistas - e não sem razão. Neste caso, o facto da informação ser segura não significa que já não possa ser acedida de todo. Está disponível - mas escondido. Mas com as ferramentas certas, os hackers ainda podem encontrar a sua página de login, se quiserem.

E aí vem o verdadeiro problema com segurança através da obscuridade no jogo: Muitas vezes a abordagem é usada para esconder problemas que, em vez disso, devem ser completamente eliminados. É o seu nome de administrador admin e a sua senha Senha 123!o hacker está no seu backend em pouco tempo se ele tiver encontrado a sua página de login oculta.

Em suma, uma área administrativa oculta não impede os atacantes de atacar, mas apenas prolonga a quantidade de tempo de trabalho necessário para realizar o ataque. Infelizmente, é impossível esconder completamente o facto de que o seu WordPress -projetos ao redor WordPress -...páginas. Esconder a WP-Admin não deve ser a sua única medida de segurança. Quem quer que seja que o esteja a alvejar não poderá escapar.

O conceito segurança através da obscuridade é, portanto, idealmente uma das muitas camadas do seu conceito de segurança. Limit Login Attempts (LLA), uma senha forte com autenticação de dois fatores e - se você finalmente usar um - uma segurançaPlugin bem configurada é uma mistura sensata. Esconder a área administrativa é apenas a cereja no bolo.

Em alguns casos, esconder a WP-Admin faz sentido, no entanto.

Mas na verdade há algumas situações em que pode fazer sentido esconder a WP-Admin:

  • Esconder a WP-Admin tem uma forte influência sobre a percepção de segurança de um WordPress local. Especialmente se você estiver trabalhando em nome de um cliente, um WP-Admin oculto faz sentido para maximizar a percepção de segurança do seu cliente.
  • Se os hackers encontrarem um Brute Force ataque ao seu site, o seu servidor web pode "superaquecer" só por causa do alto número de pedidos. Se você mover a área administrativa, você usará pelo menos primitiva Brute Force Ataca já no início o vento das velas.
  • Você pode surpreender positivamente alguns clientes escondendo a área administrativa, por exemplo, se você a mover sob /nome da empresa. Desta forma, você pode criar um pequeno mas agradável efeito de marca.

Como podem ver, estas medidas são mais de natureza cosmética. Mas às vezes até uma maior percepção de segurança pode ajudar. Portanto, mostrarei a seguir como você pode garantir sua WP-Admin com e semPlugins.

Plugins só para esconder o administrador, isso faz sentido?

Grandes características de segurançaPlugins incluem a capacidade de esconder a área administrativa e a natureza exata do seu site. Como eu disse antes, tenho uma visão crítica.Instalar um volumoso Pluginapenas para mudar um URL não resolve todos os seus problemas de uma só vez. Somente após um exame minucioso do tema você pode decidir quais medidas de segurança fazem sentido para o seu projeto.

Mas, em questõesPlugins, você basicamente tem duas opções:

  • slimPlugins, que foram desenvolvidos apenas para esconder a área de login
  • Pluginsque incluem a ocultação da área de login, mas podem fazer muito mais

Segurança abrangentePlugins são mais volumosos devido à sua funcionalidade alargada. Portanto, elas só fazem sentido, em princípio, se você souber o que quer alcançar com elas: por exemplo, bloquear IPs muito específicos, usar o Web Application Firewall (WAF) ou ser excluído do relatório do Plugins lucro. A questão de quão sensata é a segurançaPlugins são reais, nós também respondemos neste artigo.

Instalar um grande Pluginsó para esconder a área administrativa é exagero. Sua velocidade de carregamento sofre e você quase não tem nenhum valor agregado. E não é um substituto para lidar com características de segurança.

Esconder a área administrativa com uma Pluginsó é aconselhável apenas se você puder usá-la sem grandes perdas de desempenho ou funcionalidade - como um prazer em ter. Extra para este um grande Plugincomo o iThemes Security ou Wordfencepara instalar, eu não recomendaria.

Aqui estão algumas alternativas mais finas para esconder a sua área administrativa:

WPS Ocultar Login

wps esconder login
O WP-Admin pode ser escondido com o WPS Hide LoginPlugin, por exemplo.

Este grátis Pluginfaz exatamente a Coisa: Altera as duas URLs /wp-admin e /wp-login.php para endereços que você especificar. Isto acrescenta um obstáculo para os hackers e torna o seu site um pouco mais seguro. Com mais de 400.000 instalações activas e uma classificação média de 4,9 estrelas (com mais de 1.100 classificações!), isto Pluginfoi comprovado na prática.

Proteja a sua Administração

proteger a sua administração
Opcionalmente, isto também funciona com o PluginProtect Your Admin.

O Plugin é, apesar de algumas características adicionais, uma das mais enxutas do mercado e permite especificar um URL personalizado para /wp-admin e /wp-login.php. Quem tentar aceder a qualquer uma destas páginas acabará na sua página inicial. 40.000 usuários já usaram este Plugin actualmente instalado, a classificação média é de 3,8 estrelas. Uma atualização paga ativa algumas características adicionais, como um contador de tentativas de login.

Cerber Security, Antispam & Malware Scan

cerber security antispam malware scan
A Cerber Security também Pluginguarda a WP-Admin.

Este Plugin esconde /wp-login.php entre outros e exibe uma mensagem de erro 404. Mas pode fazer muito mais - é por isso que vale a pena um exame detalhado da ferramenta. A classificação atual é de 4,9 estrelas e há cerca de 100.000 usuários ativos. O Plugin é grátis.

WP Hide & Security Enhancer

wp hide security enhancer
Outra alternativa é o WP Hide Security Enhancer, um pouco mais volumosoPlugin.
 

Este gratuito Pluginesconde o facto de que o seu site também está a WordPress funcionar. Se isto faz sentido em princípio é discutível (com uma ferramenta como ConstruídoCom pode ser trazido à luz rapidamente), mas ao mesmo tempo muda os URLs /wp-admin e /wp-login.php para qualquer outro URL. Mais de 50.000 webmasters Pluginusam actualmente esta classificação, a média de classificação é de 4,3 estrelas.

Sem medo do código do mal: Segurança com o .htaccess

Se você quer esconder o fato de que seu site é um WordPress -instalação, então você pode Pluginsfazer isso sobre alguns dos que acabaram de ser listados. Ou você pode ir diretamente para o arquivo .htaccess. É um dos arquivos mais importantes de WordPress -instalações em execução nos servidores Apache (Atenção: RAIDBOXES-páginas não rodam em servidores Apache, portanto o .htaccess não tem influência sobre o servidor web) Por exemplo, o .htaccess define quais arquivos e diretórios do seu site são visíveis e quem tem acesso a quê.

Com pequenas alterações neste arquivo você pode dar ao seu site uma camada extra de segurança. Especificamente, você pode adicionar trechos de código que restringem o acesso ao wp-config.php ou bloquear determinados IPs. Eu recomendo que antes de qualquer alteração seja feita, você se certifique de ter um Backup deste arquivo - se algo correr mal, você pode então rápida e facilmente retornar ao estado original. E com .htaccess, mesmo um pequeno erro no código pode ser suficiente para paralisar o seu site.

ootb autores queriam blog

Variante 1: Permitir apenas certos IPs

Com um .htaccess você pode, em princípio, proteger cada diretório - neste caso, você quer proteger a área administrativa. Portanto, você carrega um novo .htaccess no diretório wp-admin. Se em vez disso você especificar no diretório raiz WordPress desse diretório que apenas certos IPs têm acesso, você exclui todos os outros de todo o seu site em vez de apenas a área administrativa.

No diretório .htaccess do diretório admin você agora tem a possibilidade de bloquear o acesso de IPs específicos a este diretório. Se você mesmo estiver usando um IP estático, é recomendado que você exclua todos os IPs, exceto o seu próprio. Desta forma, só você terá acesso à área administrativa.

A propósito, você pode fazer o mesmo para excluir os IPs da página wp-login.php. IPs não autorizados podem ser redirecionados para uma página 404 (ou qualquer outra página de sua escolha) e não serão capazes de acessar a tela de login. Isto pode ser feito através da inserção do código apropriado.

  • Em WordPress Codex é descrito como você pode proteger diretórios individuais da sua WordPress instalação
  • Os colegas do WP-Beginner Mostrar em detalhe como proteger a WP-Admin através do .htaccess
  • O produtor de plugins wpmudev mostra em um guia completocomo você pode usar o .htaccess para proteger seus sites

Variante 2: Configurar a proteção por senha (ou autenticação de dois fatores)

Outra possibilidade muito utilizada para proteger a área administrativa com .htaccess é a criação de uma autenticação HTTP adicional. O servidor então já requer os dados de acesso apropriados para chegar à sua página de WordPress login.

Isto significa um pouco mais de trabalho para você entrar, mas muitos atacantes vão jogar a toalha nesta altura. Brute Force Os ataques são bloqueados antes mesmo de terem começado. No entanto, mesmo esta protecção não é completamente infalível, uma vez que muitos ataques são realizados através do interface XMLrpc correr. Esta interface, implementada por padrão, permite que hackers executem DDoS e Brute Force Ataques correr. Os ataques são semelhantes aos do site wp-admin, mas aqui centenas de combinações de logins e senhas podem ser solicitadas simultaneamente. Portanto, deve ser dito neste ponto que a proteção mais sensata não é um login adicional, mas uma autenticação de dois fatores

Mas para adicionar uma proteção de senha adicional você precisa de outro arquivo além do .htaccess, o chamado .htpasswd. Ele contém os dados de acesso que você precisa para autenticação. Para criá-lo, você pode ferramentas em linha adequadas usar. Eles criptografam a senha desejada (por exemplo Günterdergrosse86) de acordo com o formato MD5 (Günterdergrosse86 parece assim: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 é um dos cinco formatos de senha com os quais o servidor Apache pode trabalhar. Mas você só precisa se lembrar da senha não criptografada - o servidor fará o resto automaticamente.

O .htpasswd criado desta forma é colocado no mesmo nível que o .htaccess, normalmente o nível superior do WordPress diretório.

Acolhimento climático positivoWordPress

No .htaccess você agora define que a autenticação HTTP deve ocorrer ao acessar wp-login.php e cria um link para o .htpasswd através de um snippet de código. Isto permite que o servidor tenha acesso às credenciais previamente definidas no outro arquivo. Como isto é feito é explicado, por exemplo aqui explicado.

O .htaccess especifica então que a autorização é necessária para acessar /wp-login.php e onde o servidor pode encontrar os dados de acesso correspondentes (nomeadamente no .htpasswd). Além disso, você também está proibindo o acesso aos arquivos .htaccess, .htpasswd e wp-config.php para garantir que ninguém além de você possa reconfigurar sua instalação.

Parece tudo bastante complicado? Pois é. Além disso, pode acontecer que esta proteção adicional de senha Compatibilidade de Pluginsdeficientes. É por isso que eu recomendaria sempre uma autenticação de dois factores. Isto é rapidamente configurado Pluginatravés de um e também oferece ainda mais proteção contra intrusões não autorizadas. Porque os códigos de autenticação são transmitidos através de um sistema externo.

Conclusão: Esconder a WP-Admin pode ser muito trabalho - e traz mais benefícios cosméticos

Idealmente, você deve proteger a sua área de administração do WP da maneira mais fina possível. Você só deve instalar um grande plugin de segurança se você configurar e usar suas outras funções de forma sensata. Se você só quer esconder o WP-Admin, nós recomendamos uma versão Pluginmais fina. Tudo o resto seria um exagero.

Como uma medida de segurança separada, esconder a WP-Admin é insignificante de qualquer forma. Em princípio, também se aplica o seguinte: Não Plugin substitui uma senha forte e o conhecimento das falhas de WordPress segurança mais importantes. E cada novo Plugin acarreta o risco de introduzir falhas de segurança no código. Por isso é importante considerar cuidadosamente qual e quantos você instala.

A protecção a 100% não existe para nenhum website. Na nossa opinião, esconder a secção wp-admin não traz realmente mais segurança. Mas pode contribuir enormemente para a segurança percebida. Especialmente se você trabalha em nome de um cliente, você não deve subestimar o poder da percepção do cliente. Contudo, não é de forma alguma suficiente como medida de segurança única ou central. No entanto, se o URL alterado for projetado como uma das muitas camadas do seu sistema de segurança, ele pode ser uma adição útil ao seu conceito de segurança.

Artigos relacionados

Comentários sobre este artigo

Escreva um comentário

O seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com * marcado.