Dölj WP-administratör: Populär, utarbetad och inte särskilt effektiv

Tobias Schüring Senast uppdaterad den 20 oktober 2020
9 Min.
wp admin dölj
Senast uppdaterad den 20 oktober 2020

Nästan alla vet hur man använder inloggningsbarriären till adminområdet för WordPress kan nås som standard. Eftersom mer än 34 procent av alla webbplatser med WordPress Det är lätt för hackare att hitta och attackera inloggningsområdena på dessa webbplatser. Det är just därför lämpliga hack, till exempel Brute Force attacker, till de vanligaste attackerna på WordPress sidor alls. En enkel skyddsåtgärd verkar vara att dölja WP-administrationsområdet. Idag ska jag visa dig hur användbar denna teknik är och hur du kan implementera den.

Brute Force Attacker är förmodligen den vanligaste typen av attack på WordPress sidor alls. Endast säkerhetsleverantören Wordfence Under 2017, under några månader i år, nästan 1 miljard sådana attacker – ännu inte räknat med den orapporterade siffran.För att minska säkerhetsrisken för Brute Force För att stävja attacker är det principiellt meningsfullt att begränsa inloggningsförsök efter alltför många misslyckade försök. Dessutom har många WordPress webbansvarig en annan metod: de flyttar WP admin-områdetså att det inte längre kan hittas under suffixet wp-admin.

Många säkerhetsplugin erbjuder därför en motsvarande funktion. Vem kan också våga sig till HTACCESS-filen. Men att dölja WP-adminområdet är inte en riktigt bra säkerhetsåtgärd i sig. Det kan dock vara ett användbart tillägg.

Dölj WP Admin: Vad är poängen?

Bakom idén att dölja WP-adminområdet ligger principen om säkerhet genom dunkel – tanken att säkerheten i ett system är starkare så länge det fungerar förblir hemligt. Eller för att uttrycka det på ett annat sätt, om angriparen inte vet var din ytterdörr är, kan han smyga runt i ditt hus, men inte bryta sig in.

Trygghet genom dunkel – i praktiken en tandlös tiger

Detta tillvägagångssätt är kontroversiellt bland experter – och inte utan anledning. I det här fallet betyder det faktum att informationen är säker inte att det inte längre är möjligt att komma åt den alls. Den är där, men den är gömd. Med rätt verktyg kan hackare fortfarande hitta din inloggningssida när de lägger den på den.

Och det är här det verkliga problemet med säkerhet genom dunkel spelar in: ofta används tillvägagångssättet för att dölja problem som i stället bör elimineras helt och hållet. Om ditt administratörsnamn är admin och ditt lösenord är lösenord123! , hackaren är i din backend på nolltid när han hittar din dolda inloggningssida.

Kort sagt, ett dolt administratörsområde hindrar inte angripare från att attackera, utan förlänger bara den tid det behöver spenderas för att utföra attacken. Tyvärr är det dock omöjligt att helt dölja det faktum att din WordPress -projekt för att WordPress Sidor. Så att dölja WP-administratören bör inte vara din enda säkerhetsåtgärd. Om du siktar på det, tar det dig inte till löpningen.

Begreppet säkerhet genom dunkelhet är därför idealiskt ett av många lager av ditt säkerhetskoncept. Begränsa inloggningsförsök (LLA), ett starkt lösenord med tvåfaktorsautentisering och, om du slutar använda ett, en snyggt konfigurerad säkerhet Plugin är en meningsfull blandning. Att dölja administrationsområdet är bara glasyren på kakan.

I vissa fall är det fortfarande meningsfullt att dölja WP-administratören

Men nu finns det faktiskt några situationer där det kan vara meningsfullt att dölja WP-administratören:

  • Att dölja WP-administratören har ett starkt inflytande på den upplevda säkerheten för en WordPress Sida. Särskilt när du arbetar för din kunds räkning är en dold WP-administratör vettig för att maximera din kunds känsla av säkerhet.
  • Om hackare Brute Force Attackera på din webbplats, din webbserver kan vara "överhettad" av det stora antalet förfrågningar ensam. Om du flyttar administrationsområdet tar du minst primitiva Brute Force Attacker från början av vinden ur seglen.
  • Vissa kunder kan bli positivt överraskade genom att dölja adminområdet, t.ex. om du flyttar det under /Name-of-Company. Således kan du skapa en liten men fin varumärkeseffekt.

Du kan redan se att dessa åtgärder är ganska kosmetiska till sin natur. Men även en högre känsla av säkerhet kan ibland hjälpa. Det är därför jag ska visa dig hur du använder din WP-administratör med och utan Plugins kan säkras.

Plugins bara för att använda administratörs gömställe, är det vettigt?

Stor säkerhet Plugins Förutom många andra funktioner erbjuder de också möjligheten att dölja administrationsområdet och den exakta karaktären på din webbplats. Som jag redan har sagt är jag kritisktill detta: en skrymmande Plugin bara för att ändra en URL kommer inte att lösa alla dina problem i ett svep. Först efter en grundlig diskussion om ämnet kan du bestämma vilka säkerhetsåtgärder som är meningsfulla för ditt projekt alls.

När det gäller Plugins men du har i princip två alternativ:

  • Smal Plugins , som endast är utformade för att dölja inloggningsområdet
  • Plugins , som ger gömstället för inloggningsområdet, men kan göra mycket mer

Omfattande säkerhet Plugins är mer skrymmande på grund av deras utökade funktionalitet. Därför är de bara förnuftiga i princip om du vet vad du vill uppnå med dem: till exempel låsa ut vissa IPs, använda Web Application Firewall (WAF) eller från rapporteringen av Plugins Fördel. Frågan om hur användbar säkerhet är Plugins vi svarar också i den här artikeln.

En stor Plugin att bara installera för att dölja adminområdet, å andra sidan, är overkill. Din laddningshastighet lider och du har lite mervärde. Och det är inte en ersättning för att hantera säkerhetsfunktioner.

Administrationsområdet med en Plugin är därför bara tillrådligt om du kan använda den utan större prestanda eller funktionella förluster - lika trevligt att ha. Extra för detta, en stor Plugin som iThemes Security eller Wordfence Jag skulle inte rekommendera att installera.

Här är några smalare alternativ för att dölja ditt adminområde:

WPS Dölj inloggning

wps dölj inloggning
WP-administratören kan till exempel användas med WPS Hide Login Plugin Dölja.

Detta gratis Plugin gör exakt en Sak: Det ändrar de två webbadresserna / wp-admin och / wp-login.php till adresser du anger. Detta lägger till ett hinder för hackare och gör din webbplats lite säkrare. Med över 400 000 aktiva installationer och ett genomsnittligt betyg på 4,9 stjärnor (med över 1 100 recensioner!), Plugin bevisas i praktiken.

Skydda administratören

skydda administratören
Alternativt fungerar detta också med Plugin Skydda administratören.

Den Plugin trots några andra funktioner, är en av de smalare på marknaden och låter dig ange en anpassad URL för / wp-admin och / wp-login.php. Om du försöker komma åt de två sidorna hamnar du på startsidan i stället. 40 000 användare har detta Plugin för närvarande installerat är den genomsnittliga rankningen 3,8 stjärnor. En betald uppgradering låser upp några ytterligare funktioner, till exempel en inloggningsförsöksräknare.

Cerber Security, Antispam & Malware Scan

cerber säkerhet antispam malware scan
Auch das Cerber Säkerhet Plugin skyddar WP-administratören.

Detta Plugin döljer /wp-login.php och visar ett 404-felmeddelande i stället. Men det kan göra mycket mer - så det är värt en detaljerad diskussion om verktyget. Betyget är för närvarande 4,9 stjärnor och det finns cirka 100 000 aktiva användare. Den Plugin är gratis.

WP Hide & Säkerhetsförstärkare

wp dölja säkerhetsförstärkare
Ett annat alternativ är den något mer skrymmande Plugin WP Dölj säkerhetsförstärkare.
 

Detta gratis Plugin döljer det faktum att din webbplats är WordPress Körs. Huruvida detta är förnuftigt i princip ska lämnas åt sidan (med ett verktyg som BuiltWith kan detta snabbt komma fram igen), men ändrar i samma tur webbadresserna / wp-admin och / wp-login.php till någon annan URL. Mer än 50 000 webbansvariga ställer in Plugin för närvarande är det genomsnittliga betyget 4,3 stjärnor.

Var inte rädd för den dåliga koden: Säkra med .htaccess

Om du vill dölja att din webbplats är en WordPress installation kan du göra detta via några av de just listade Plugins Göra. Eller så kan du komma rätt i HTACCESS-filen. Det är en av de viktigaste filerna i WordPress installationer som körs på Apache-servrar (Obs: RAIDBOXES sidor körs inte på Apache-servrar, så .htaccess har ingen effekt på webbservern). HTACCESS definierar till exempel vilka filer och kataloger som är synliga på sidan och vem som har tillgång till vad.

Med små ändringar i den här filen kan du ge din webbplats ett extra lager av säkerhet. Mer specifikt infogar du enskilda kodfragment som begränsar åtkomsten till wp-config.php eller blockerar vissa IPs. Jag rekommenderar starkt att du gör en säkerhetskopia av den här filen innan du gör några ändringar – Om något går fel kan du snabbt och enkelt återgå till dess ursprungliga tillstånd. Och med .htaccess kan även ett litet fel i koden vara tillräckligt för att förlama din sida.

Variant 1: Tillåt endast vissa IPs

Med en .htaccess kan du skydda alla kataloger i princip - i det här fallet vill du säkra administrationsområdet på ett riktat sätt. Därför laddar du upp en ny .htaccess i wp-admin-katalogen. Om du i stället använder huvudkatalogen för WordPress Om du upptäcker att endast vissa IPs har åtkomst utesluter du alla andra från hela sidan i stället för bara från administrationsområdet.

I HT-åtkomsten för administratörskatalogen har du nu möjlighet att blockera specifika IPs från att komma åt samma katalog. Om du använder en statisk IP själv rekommenderas att utesluta alla IP-adresser utom dina egna. På så sätt är det bara du som har tillgång till administrationsområdet själv.

Förresten kan du göra detsamma för att utesluta IPs från wp-login.php sidan. Obehöriga IPs kan omdirigeras till en 404-sida (eller en annan sida du väljer) till exempel och kan inte längre komma åt inloggningsmasken. Detta kan göras genom att infoga motsvarande kod.

  • I WordPress Codex beskrivs som att du kan skapa enskilda kataloger för din WordPress -kan skydda installationen
  • Kollegorna i WP-Beginner visar en detalj hur man skyddar WP-administratören via .htaccess
  • Plugin-tillverkaren wpmudev visar i en omfattande guidehur du kan använda .htaccess för att skydda dina sidor

Variant 2: Konfigurera lösenordsskydd (eller tvåfaktorsautentisering)

Ett annat och mycket vanligt sätt att skydda administrationsområdet med .htaccess är att skapa ytterligare HTTP-autentisering. Servern kräver sedan lämpliga åtkomstdata för att kunna WordPress inloggningssida.

Detta innebär lite mer ansträngning för dig när du loggar in, men många angripare kastar pistolen i kornet vid denna tidpunkt. Brute Force Attacker blockeras innan de ens har börjat. Men även detta skydd är inte helt idiotsäkert, eftersom många attacker körs genom XMLrpc-gränssnittet. Detta standard implementerade gränssnitt gör det möjligt för hackare att använda DDoS och Brute Force Kör attacker. Attackerna liknar dem på wp-admin-sidan, men hundratals kombinationer av inloggningar och lösenord kan begäras samtidigt. Därför måste det sägas vid denna tidpunkt att det mer förnuftiga skyddet inte är en ytterligare inloggning, utan en tvåfaktorsautentisering

Men för att installera ytterligare lösenordsskydd behöver du en annan fil förutom .htaccess, nämligen den så kallade .htpasswd. Den innehåller de autentiseringsuppgifter du behöver autentisera. För att skapa dem kan du använda lämpliga onlineverktyg. Du krypterar ditt önskade lösenord (till exempel Günterdergroße86) enligt MD5-formatet (Günterdergroße86 ser ut så här: $apr 1 $R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 är ett av de fem lösenordsformat som Apache-servern kan arbeta med. I slutändan behöver du dock bara komma ihåg det okrypterade lösenordet - servern tar över resten automatiskt.

.htpasswd som genereras på detta sätt placeras på samma nivå som .htaccess, vanligtvis den översta katalognivån för WordPress Katalog.

I .htaccess definierar du nu att HTTP-autentisering ska ske när du öppnar wp-login.php och länkar till .htpasswd med hjälp av ett kodfragment. Detta gör att servern kan komma åt de förutbestämda autentiseringsuppgifterna i den andra filen. Hur detta kan göras förklaras till exempel här.

.htaccess bestämmer sedan att auktorisering krävs för att komma åt /wp-login.php och där servern hittar lämpliga autentiseringsuppgifter (nämligen i .htpasswd). Dessutom förhindrar du åtkomst till .htaccess, .htpasswd och wp-config.php för att säkerställa att ingen annan än du kan konfigurera om installationen.

Verkar allt ganska pinsamt? Är det så? Dessutom kan detta ytterligare lösenordsskydd påverka Kompatibilitet med Plugins nedsatt . Därför rekommenderar jag alltid tvåfaktorsautentisering. Detta kan vara snabbt Plugin och ger också ännu mer skydd mot obehörigt intrång. Detta beror på att autentiseringskoderna överförs via ett externt system.

Slutsats: Att dölja WP-administratören kan vara mycket arbete - och ger mer kosmetiska fördelar

Helst skyddar du ditt WP-administratörsområde på det mest eleganta sättet som möjligt. Du bör bara installera ett stort säkerhets plugin-program om du konfigurerar och använder dess andra funktioner på ett meningsfullt sätt. Så om du bara är intresserad av att dölja WP-administratören rekommenderar vi att du slimmar som möjligt Plugin . Allt annat vore överdrivet.

Som en separat säkerhetsåtgärd är det i alla fall försumbart lynotally effektivt att dölja WP-administratören.I princip gäller även följande: Nej Plugin ersätter ett starkt lösenord och kunskap om de viktigaste WordPress Sårbarheter. Och varje ny Plugin utgör en risk för att koden medför säkerhetsproblem. Det är därför viktigt att väga exakt vilket och hur många du installerar.

Det finns ingen webbplats för 100% skydd. Enligt vår mening ger det inte någon verklig säkerhet att dölja wp-admin-området. Men det kan bidra enormt till den upplevda säkerheten. Särskilt om du arbetar för kundens räkning bör du inte underskatta kraften i kundernas uppfattning. Det är dock inte tillräckligt som en enda eller central säkerhetsåtgärd. Men om den ändrade WEBBADRESSen är utformad som ett av många lager i säkerhetssystemet kan den komplettera ditt säkerhetskoncept på ett meningsfullt sätt.

Som systemadministratör övervakar Tobias vår infrastruktur och hittar varje justeringsskruv för att optimera prestandan hos våra servrar. På grund av sina outtröttliga ansträngningar är han ofta också Slack som ska hittas.

Liknande artiklar

Kommentarer om den här artikeln

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.