18.09.22
uppdaterad 27.10.23
Tobias Schüring
0 Kommentarer
Tabell
Dölja WordPress Admin

Dölj WP Admin: Hur effektiva är WPS Hide Login & Co. egentligen?

Nästan alla vet hur man når inloggningsbarriären till adminområdet på WordPress som standard. Eftersom mer än 34 procent av alla webbplatser körs på WordPress är det lätt för hackare att hitta och attackera inloggningsområdena på dessa webbplatser. Det är just därför sådana attacker, t.ex. brute force-attacker, är bland de vanligaste attackerna på WordPress-webbplatser. Att dölja WP-adminområdet verkar vara en enkel skyddsåtgärd. Idag ska jag visa dig hur användbar den här tekniken är och hur du kan implementera den med plugins som WPS Hide Login.

Brute force-attacker är förmodligen den vanligaste typen av attacker mot WordPress-webbplatser. Enbart säkerhetsleverantören Wordfence mätte nästan 1 miljard sådana attacker under 2017 under några månader i år - utan att räkna med antalet orapporterade fall. För att minska säkerhetsrisken med brute force-attacker är det i princip vettigt att begränsa inloggningsförsöken efter alltför många misslyckade försök. Dessutom använder många WordPress-webbansvariga en annan metod: de flyttar WP-administrationsområdet så att det inte längre kan hittas under suffixet wp-admin.

Många säkerhetsplugins har också en motsvarande funktion. De som kan vågar också använda .htaccess-filen. Men att enbart dölja WP-administrationsområdet är inte en riktigt bra säkerhetsåtgärd. Men det kan vara ett användbart tillägg.

Dölj WP Admin: Vad är poängen?

Bakom idén att dölja WP:s adminområde ligger principen om security through obscurity - idén att säkerheten i ett system är starkare så länge som dess funktionalitet förblir hemlig. Eller med andra ord: om angriparen inte vet var din ytterdörr är kan han smyga runt ditt hus, men han kan inte bryta sig in.

Trygghet genom dunkel – i praktiken en tandlös tiger

Detta tillvägagångssätt diskuteras kontroversiellt bland experter - och det är inte utan anledning. Att informationen är säker betyder inte att den inte längre är tillgänglig. Den finns där - men den är dold. Men med rätt verktyg kan hackare ändå hitta din inloggningssida om de vill.

Och det är här det verkliga problemet med säkerhet genom oklarhet kommer in: metoden används ofta för att dölja problem som i stället borde elimineras helt och hållet. Om ditt administratörsnamn är admin och ditt lösenord är123! kommer hackaren att vara inne i din backend på nolltid när han har hittat din dolda inloggningssida.

Kort sagt, ett dolt administratörsutrymme hindrar inte angriparna från att attackera, utan ökar bara den tid som går åt för att genomföra attacken. Tyvärr är det dock omöjligt att helt dölja att dina projekt är WordPress-webbplatser. Så att dölja WP-administrationsområdet bör definitivt inte vara din enda säkerhetsåtgärd. Den som riktar in sig på dig kommer inte att kunna fly.

Konceptet " säkerhet genom obskyritet " är därför idealiskt som ett av många lager i ditt säkerhetskoncept. Begränsade inloggningsförsök (LLA), ett starkt lösenord inklusive tvåfaktorsautentisering och - om du slutligen använder ett sådant - en väl konfigurerad säkerhetsinsticksmodul är en vettig blandning. Att dölja adminområdet är bara pricken över i:et.

I vissa fall är det fortfarande meningsfullt att dölja WP-administratören

Men nu finns det faktiskt några situationer där det kan vara meningsfullt att dölja WP-administratören:

  • Att dölja WP-administratören har ett stort inflytande på den upplevda säkerheten på en WordPress-webbplats. Särskilt om du arbetar på uppdrag av en kund är en dold WP-administratör vettigt för att maximera kundens uppfattning om säkerhet.
  • Om hackare startar en brute force-attack mot din webbplats kan din webbserver "överhettas" helt enkelt på grund av det stora antalet förfrågningar. Om du flyttar administrationsområdet tar du åtminstone vinden ur seglen för primitiva brute force-attacker redan från början.
  • Du kan överraska vissa kunder genom att dölja administrationsområdet, till exempel genom att flytta det till /NameOfOfYourCompany. På så sätt kan du skapa en liten men subtil varumärkeseffekt.

Du kan redan se att dessa åtgärder är ganska kosmetiska till sin natur. Men även en högre känsla av säkerhet kan ibland hjälpa. Det är därför jag ska visa dig hur du använder din WP-administratör med och utan Plugins kan säkras.

Dölj WP Admin med plugins

Med bra säkerhetstillägg kan du också dölja administrationsområdet och webbplatsens exakta karaktär, bland många andra funktioner. Som sagt ser jag kritiskt på detta: att installera ett skrymmande plugin bara för att ändra en URL kommer inte att lösa alla dina problem på en gång. Först efter en grundlig undersökning av ämnet kan du avgöra vilka säkerhetsåtgärder som är vettiga för ditt projekt.

När det gäller insticksprogram har du i princip två alternativ:

  • magra plugins som endast är utformade för att dölja inloggningsområdet
  • Insticksprogram som inkluderar att dölja inloggningsområdet, men som kan göra mycket mer

Omfattande säkerhetsplugins är mer besvärliga på grund av deras utökade funktionalitet. Därför är de bara meningsfulla om du vet vad du vill uppnå med dem: till exempel blockera specifika IP:er, använda brandväggen för webbprogram (WAF) eller dra nytta av pluginsens rapportering.

Att installera ett stort plugin bara för att dölja administrationsområdet är överdrivet. Din laddningshastighet blir lidande och i slutändan har du ett litet mervärde. Och det är ingen ersättning för att hantera säkerhetsfunktioner.

Att dölja administrationsområdet med ett insticksprogram är därför bara tillrådligt om du kan använda det utan någon större förlust av prestanda eller funktionalitet - som ett trevligt alternativ, så att säga. Jag skulle inte rekommendera att installera ett stort plugin som iThemes Security eller Wordfence speciellt för detta ändamål.

Här är istället två snyggare alternativ för att dölja administrationsområdet:

WPS Dölj inloggning

Dölj WP Admin Plugin WPS Dölj inloggning
WP-administratören kan till exempel användas med WPS Hide Login Plugin Dölja.

Det kostnadsfria insticksprogrammet WPS Hide Login gör exakt en sak: det ändrar de två webbadresserna /wp-admin och /wp-login.php till adresser som du anger. Detta lägger till ett hinder för hackare och gör din webbplats lite säkrare. Med över en miljon aktiva installationer och ett genomsnittligt betyg på 4,9 stjärnor (med över 2 000 recensioner!) har pluginet bevisat sig i praktiken.

WP Hide & Säkerhetsförstärkare

Hide WP Admin Plugin WP Hide Security Enhancer
Ett annat alternativ är den något mer skrymmande Plugin WP Dölj säkerhetsförstärkare.

Detta kostnadsfria insticksprogram döljer det faktum att din webbplats körs på WordPress. Huruvida detta är meningsfullt i princip återstår att se (med ett verktyg som BuiltWith kan det snabbt komma fram i ljuset igen), men samtidigt ändras URL:erna /wp-admin och /wp-login.php till vilken annan URL som helst. Över 80 000 webmasters använder för närvarande insticksprogrammet och det genomsnittliga betyget är 4,3 stjärnor.

Var inte rädd för den dåliga koden: Säkra med .htaccess

Om du vill dölja att din webbplats är en WordPress-installation kan du göra det via plugins som WPS Hide Login. Eller så kan du ta itu med .htaccess-filen direkt. Det är en av de viktigaste filerna för WordPress-installationer som körs på Apache-servrar. I .htaccess definieras bland annat vilka filer och kataloger på din webbplats som är synliga och vem som har tillgång till vad.

.htaccess och Raidboxes

Raidboxes Webbplatser körs inte på Apache-servrar, så .htaccess har inget inflytande på webbservern. Om du har din WordPress-hosting på Raidboxes kan du använda vårt inloggningsskydd.

Med små ändringar i den här filen kan du ge din webbplats ett extra säkerhetslager. Du lägger särskilt till enskilda kodstycken som begränsar åtkomsten till wp-config.php eller blockerar vissa IP:er. Jag rekommenderar att du alltid gör en säkerhetskopia av den här filen innan du gör några ändringar - om något går fel kan du sedan snabbt och enkelt återgå till det ursprungliga tillståndet. Och med .htaccess kan även ett litet fel i koden vara tillräckligt för att lamslå din webbplats.

Variant 1: Tillåt endast vissa IPs

I princip kan vilken katalog som helst skyddas med en .htaccess - i det här fallet vill du särskilt skydda administrationsområdet. Därför laddar du upp en ny .htaccess i katalogen wp-admin. Om du i stället i WordPress huvudkatalog anger att endast vissa IP:er har åtkomst, utesluter du alla andra från hela webbplatsen i stället för endast från administrationsområdet.

I .htaccess-filen i administratörskatalogen kan du nu blockera vissa IP-adresser från att komma åt katalogen. Om du själv använder en statisk IP-adress rekommenderas det att du utesluter alla IP-adresser utom din egen. På så sätt är det bara du som har tillgång till administratörsområdet.

Du kan göra samma sak för att utesluta IP:er från webbplatsen wp-login.php. Obehöriga IP-adresser kan till exempel omdirigeras till en 404-sida (eller en annan sida som du väljer) och inte längre nå inloggningsskärmen. Detta kan göras genom att infoga lämplig kod.

  • I WordPress Codex beskrivs hur du kan skydda enskilda kataloger i din WordPress-installation.
  • Kollegorna från WP-Beginner visar i detalj hur man skyddar WP-administratören via .htaccess.
  • Producenten av insticksprogrammet wpmudev visar i en omfattande guide hur du kan använda .htaccess för att skydda dina webbplatser.

Variant 2: Konfigurera lösenordsskydd (eller tvåfaktorsautentisering)

Ett annat och mycket ofta använt alternativ för att skydda administrationsområdet med .htaccess är att skapa ytterligare en HTTP-autentisering. Servern kräver då motsvarande åtkomstdata för att ens komma till din WordPress-inloggningssida.

Det innebär att du måste anstränga dig lite mer när du loggar in, men många angripare kastar in handduken vid det här laget. Brute force-attacker blockeras innan de ens har börjat. Men även detta skydd är inte helt idiotsäkert, eftersom många attacker körs via XMLrpc-gränssnittet. Hackare kan köra DDoS- och brute force-attacker via detta gränssnitt, som är implementerat som standard. Attackerna liknar dem på wp-admin-webbplatsen, men hundratals kombinationer av inloggningar och lösenord kan begäras samtidigt. Därför måste man redan nu säga att det vettigare skyddet inte är en extra inloggning, utan en tvåfaktorsautentisering.

För att bygga in ytterligare lösenordsskydd behöver du dock en annan fil utöver .htaccess, nämligen den så kallade .htpasswd-filen. Den innehåller de åtkomstuppgifter som du behöver för autentisering. För att skapa den kan du använda lämpliga onlineverktyg. De krypterar ditt önskade lösenord (till exempel Günterdergroße86) enligt MD5-formatet (Günterdergroße86 ser då ut så här: $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 är ett av de fem lösenordsformat som Apache-servern kan arbeta med. I slutändan behöver du bara komma ihåg det okrypterade lösenordet - servern tar hand om resten automatiskt.

Den .htpasswd som skapas på detta sätt placeras på samma nivå som .htaccess, vanligtvis den översta katalognivån i WordPress-katalogen.

I .htaccess definierar du nu att HTTP-autentisering ska ske när du går in i wp-login.php och skapar en länk till .htpasswd via ett kodutdrag. På så sätt kan servern få tillgång till de tidigare definierade åtkomstuppgifterna i den andra filen. Hur detta fungerar förklaras till exempel här.

.htaccess bestämmer sedan att auktorisering krävs för att komma åt /wp-login.php och där servern hittar lämpliga autentiseringsuppgifter (nämligen i .htpasswd). Dessutom förhindrar du åtkomst till .htaccess, .htpasswd och wp-config.php för att säkerställa att ingen annan än du kan konfigurera om installationen.

Verkar allt detta inte ganska besvärligt? Det är det också. Dessutom kan det hända att det extra lösenordsskyddet försämrar kompatibiliteten hos insticksprogrammen. Därför rekommenderar jag alltid tvåfaktorsautentisering. Detta är snabbt inställt via en plug-in och ger dessutom ett ännu bättre skydd mot obehörigt intrång. Detta beror på att autentiseringskoderna överförs via ett externt system.

"*" visar obligatoriska fält

Jag vill prenumerera på nyhetsbrevet för att få information om nya bloggartiklar, e-böcker, funktioner och nyheter om WordPress. Jag kan återkalla mitt samtycke när som helst. Observera vår integritetspolicy.
Det här fältet är avsett för validering och bör inte ändras.

Slutsats: Att dölja WP-administratorn kan vara mycket arbete - och ger snarare kosmetiska fördelar.

Helst bör du skydda ditt WP adminområde på det mest strömlinjeformade sättet som möjligt. Du bör bara installera ett stort säkerhetsplugin om du också konfigurerar och använder dess andra funktioner på ett förnuftigt sätt. Om du bara är intresserad av att dölja WP-admin rekommenderar vi ett plugin som är så enkelt som möjligt, till exempel WPS Hide Login. Allt annat skulle vara overkill.

Som en säkerhetsåtgärd i sig är det ändå försumbart att dölja WP Admin. I princip gäller också följande: Inget plugin ersätter ett starkt lösenord och kunskap om de viktigaste säkerhetsbristerna i WordPress. Och varje ny Plugin innebär en risk för att säkerhetsproblem uppstår i koden. Det är därför viktigt att exakt avväga vilka och hur många du installerar.

Det finns inget hundraprocentigt skydd för någon webbplats. Vi anser att det inte ökar säkerheten om man döljer wp-admin-området. Men det kan bidra enormt till den upplevda säkerheten. Särskilt om du arbetar på uppdrag av en kund bör du inte underskatta kraften i kundens uppfattning. Den är dock inte alls tillräcklig som enda eller central säkerhetsåtgärd. Om den modifierade webbadressen utformas som ett av många lager i ditt säkerhetssystem kan den dock vara ett användbart tillägg till ditt säkerhetskoncept.

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Tobias Schüring

Som systemadministratör övervakar Tobias vår infrastruktur och hittar varje justeringsskruv för att optimera prestandan hos våra servrar. På grund av sina outtröttliga ansträngningar är han ofta också Slack som ska hittas.

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.