Dölj WP admin: Populär, utarbeta och inte särskilt effektiv

Tobias Schüring Senast uppdaterad den 20 oktober 2020
9 Min.
wp admin dölja
Senast uppdaterad den 20 oktober 2020

Nästan alla vet hur man använder inloggningsbarriären till admin-området för WordPress kan nås som standard. Det mer än 34 procent av alla webbplatser Med WordPress det är lätt för hackare att hitta och attackera inloggningsområdena på dessa webbplatser. Det är just därför lämpliga hackar, såsom Brute Force attacker, till de vanligaste attackerna på WordPress sidor över huvud taget. En enkel skyddsåtgärd verkar vara att dölja WP admin området. Idag kommer jag att visa dig hur användbar denna teknik är och hur du kan genomföra den.

Brute Force Attacker är förmodligen den vanligaste typen av angrepp på WordPress sidor över huvud taget. Endast säkerhetsleverantören Wordfence Under 2017, om några månader i år, räknade nästan 1 miljard sådana attacker – än så länge inte den orapporterade siffran. För att minska säkerhetsrisken för Brute Force För att stävja attacker är det i princip meningsfullt att begränsa inloggningsförsök efter alltför många misslyckade försök. Dessutom har många WordPress webmaster en annan metod: de flyttar WP admin område , så att det inte längre kan hittas under suffixet wp-admin.

Många säkerhetsinsticksprogram erbjuder därför en motsvarande funktion. Vem kan också våga sig till HTACCESS-filen. Men dölja WP admin området är inte en riktigt bra säkerhetsåtgärd i sig. Det kan dock vara ett användbart tillägg.

Dölj WP Admin: Vad är poängen?

Bakom tanken på att dölja WP admin området är principen om säkerhet genom dunkel ("Säkerhet genom dunkel /tvetydighet") - tanken att säkerheten i ett system är starkare så länge dess funktion förblir hemlig. Eller för att uttrycka det på ett annat sätt, om angriparen inte vet var din ytterdörr är, kan han smyga runt ditt hus, men inte bryta sig in.

Säkerhet genom dunkel – i praktiken en tandlös tiger

Detta tillvägagångssätt är kontroversiellt bland experter – och inte utan anledning. I detta fall innebär det faktum att informationen är säker inte att det inte längre är möjligt att få tillgång till den alls. Den är där, men den är gömd. Med rätt verktyg kan hackare fortfarande hitta din inloggningssida när de lägger den på den.

Och här kommer det verkliga problemet med säkerhet genom dunkel i spelet: Ofta tillvägagångssättet används för att täcka upp problem som bör elimineras helt och hållet istället. Är ditt administratörsnamn Admin och ditt lösenord Lösenord123!, hackaren är i din backend på nolltid när han hittar din dolda inloggningssida.

Kort sagt, ett dolt admin-område hindrar inte angripare från att attackera, men förlänger bara den tid det behöver spenderas för att utföra attacken. Tyvärr är det dock omöjligt att helt dölja det faktum att din WordPress -projekt för att WordPress Sidor. Så dölja WP admin bör inte vara din enda säkerhetsåtgärd. Om du siktar på det, tar det dig inte till flykten.

Konceptet säkerhet genom dunkel är därför helst ett av många lager i ditt säkerhetskoncept. Limit Login Attempts (LLA), ett starkt lösenord med tvåfaktorsautentisering och, om du får en, en snyggt konfigurerad säkerhet Plugin är en meningsfull blandning. Dölja admin området är bara grädde på moset.

I vissa fall är det fortfarande meningsfullt att dölja WP-administratören

Men nu finns det faktiskt vissa situationer där det kan vara meningsfullt att dölja WP admin:

  • Dölja WP admin har ett starkt inflytande på den upplevda säkerheten för en WordPress Sida. Speciellt när du arbetar på uppdrag av din kund, en dold WP admin vettigt att maximera din kunds känsla av säkerhet.
  • Om hackare Brute Force Attackera på din webbplats, kan din webbserver vara "överhettad" av det stora antalet förfrågningar ensam. Om du flyttar admin-området tar du minst primitiva Brute Force Attacker från början av vinden ur seglen.
  • Vissa kunder kan bli positivt överraskade genom att dölja admin-området, till exempel om du flyttar den under /Name-of-Company. Således kan du skapa en liten men fin branding effekt.

Ni kan redan nu se att dessa åtgärder är ganska kosmetiska till sin natur. Men även en högre känsla av trygghet kan ibland hjälpa. Det är därför jag ska visa dig hur du använder din WP admin med och utan Plugins kan säkras.

Plugins bara för att använda admin dölja, gör det vettigt?

Stor säkerhet Plugins Förutom många andra funktioner, erbjuder de också möjligheten att dölja admin området och den exakta karaktären av din webbplats. Som jag sade är jag kritisk till detta: En skrymmande Plugin bara för att ändra en webbadress kommer inte att lösa alla dina problem i ett svep. Först efter en grundlig diskussion om ämnet kan du bestämma vilka säkerhetsåtgärder som är meningsfulla för ditt projekt alls.

När det gäller Plugins men du har två alternativ i princip:

  • Smal Plugins , som endast är utformade för att dölja inloggningsområdet
  • Plugins , som ger döljande av inloggningsområdet, men kan göra mycket mer

Omfattande säkerhet Plugins är mer skrymmande på grund av deras utökade funktionalitet. Därför är de bara förnuftiga i princip om du vet vad du vill uppnå med dem: till exempel låsa ute vissa IPs, använd brandväggen för webbprogram (WAF) eller från rapporteringen av Plugins Fördel. Frågan om hur användbar säkerhet Plugins är verkliga, svarar vi också i den här artikeln.

En stor Plugin att bara installera för att dölja admin området, å andra sidan, är overkill. Din laddningshastighet lider och du har lite mervärde. Och det är inte ett substitut för att hantera säkerhetsfunktioner.

Admin-området med en Plugin är därför endast tillrådligt om du kan använda den utan större prestanda eller funktionsförlust – som om du trevligt att haExtra för detta, en stor Plugin såsom iThemes Security eller Wordfence Jag skulle inte rekommendera att installera.

Här är några smalare alternativ för att dölja ditt admin-område:

WPS Dölj inloggning

wps dölja inloggning
Wp-administratören kan till exempel användas med WPS Hide Login Plugin Dölja.

Detta gratis Plugin gör exakt Med en Sak: Det ändrar de två webbadresserna / wp-admin och / wp-login.php till adresser du anger. Detta lägger till ett hinder för hackare och gör din webbplats lite säkrare. Med över 400 000 aktiva installationer och ett genomsnittsbetyg på 4,9 stjärnor (med över 1 100 recensioner!), Plugin bevisas i praktiken.

Skydda din administratör

skydda din administratör
Alternativt fungerar detta även med Plugin Skydda din administratör.

Det är Plugin trots vissa andra funktioner, är en av de smalare på marknaden och låter dig ange en anpassad webbadress för / wp-admin och / wp-login.php. Om du försöker komma åt de två sidorna hamnar du på din hemsida istället. 40 000 användare har detta Plugin för närvarande installerat, är den genomsnittliga rankningen 3,8 stjärnor. En betald uppgradering låser upp några ytterligare funktioner, till exempel en inloggningsförsöksräknare.

Cerber Säkerhet, Antispam & Malware Scan

cerber säkerhet antispam malware scan
Auch das Cerber Säkerhet Plugin skyddar WP admin.

Detta Plugin döljer , wp-login.php och visar en 404 felmeddelande istället. Men det kan göra mycket mer - så det är värt en detaljerad diskussion om verktyget. Betyget är för närvarande 4,9 stjärnor och det finns cirka 100.000 aktiva användare. Det är Plugin är gratis.

WP Hide & Security Enhancer

wp dölja säkerhetsförstärkare
Ett annat alternativ är den något mer skrymmande Plugin WP Dölj säkerhetsförstärkare.
 

Detta gratis Plugin döljer det faktum att din webbplats är WordPress Körs. Huruvida detta är förnuftigt i princip återstår att se (med ett verktyg som Builtwith Detta kan snabbt bringas i ljuset, men ändrar webbadresserna / wp-admin och / wp-login.php till någon annan webbadress i samma tur. Mer än 50 000 webbansvariga Plugin för närvarande är genomsnittsbetyget 4,3 stjärnor.

Var inte rädd för den felaktiga koden: Säker med .htaccess

Om du vill dölja att webbplatsen är en WordPress installationen, då kan du göra detta via några av de just listade Plugins Göra. Eller så kan du komma direkt till HTACCESS-filen. Det är en av de viktigaste filerna i WordPress installationer som körs på Apache-servrar (Obs: RAIDBOXESsidor körs inte på Apache-servrar, så .htaccess har ingen effekt på webbservern). .htaccess definierar till exempel vilka filer och kataloger som är synliga på sidan och vem som har åtkomst till vad.

Med små ändringar i den här filen kan du ge din webbplats ett extra lager av säkerhet. Specifikt infogar du enskilda kodavsnitt som begränsar åtkomsten till wp-config.php eller blockerar vissa IPs. Jag rekommenderar starkt att du gör en Backup göra den här filen - om något går fel, kan du sedan snabbt och enkelt återgå till sitt ursprungliga tillstånd. Och med .htaccess, även ett litet fel i koden kan vara tillräckligt för att förlama din sida.

Variant 1: Tillåt endast vissa IPs

Med en .htaccess kan du skydda alla kataloger i princip - i det här fallet vill du säkra admin-området på ett målat sätt. Därför laddar du upp en ny .htaccess i wp-admin-katalogen. Om du i stället använder huvudkatalogen för WordPress Om du upptäcker att endast vissa IPs har åtkomst utesluter du alla andra från hela sidan i stället för bara från administrationsområdet.

I .htaccess för administratörskatalogen har du nu möjlighet att blockera specifika IPs från att komma åt samma katalog. Om du själv använder en statisk IP-adress rekommenderas att alla IP-adresser utesluts utom dina egna. På så sätt är det bara du som har tillgång till administrationsområdet själv.

Förresten kan du göra samma sak för att utesluta IPs från wp-login.php sidan. Obehöriga IPs kan omdirigeras till en 404-sida (eller en annan sida som du väljer) till exempel och kan inte längre komma åt inloggningsmasken. Detta kan göras genom att infoga motsvarande kod.

  • I WordPress Codex beskrivs som du kan skapa enskilda kataloger över din WordPress -kan skydda installationen
  • Kollegorna i WP-Beginner visa en detalj hur man skyddar WP admin via .htaccess
  • Plugin-tillverkaren wpmudev visar i en omfattande guideså här använder du .htaccess för att skydda dina sidor

Variant 2: Konfigurera lösenordsskydd (eller tvåfaktorsautentisering)

Ett annat och mycket vanligt sätt att skydda administratörsområdet med HTACCESS är att skapa ytterligare HTTP-autentisering. Servern kräver sedan lämpliga åtkomstdata för att kunna WordPress inloggningssida.

Detta innebär lite mer ansträngning för dig när du loggar in, men många angripare kasta pistolen i säden på denna punkt. Brute Force Attacker blockeras innan de ens har börjat. Men även detta skydd är inte helt idiotsäkert, eftersom många attacker över XMLrpc-gränssnitt Köra. Detta standard implementerade gränssnitt gör det möjligt för hackare att använda DDoS och Brute Force Attacker Köra. Attackerna liknar dem på wp-admin-sidan, men hundratals kombinationer av inloggningar och lösenord kan begäras samtidigt. Därför måste det sägas på denna punkt att det mer förnuftiga skyddet inte är en ytterligare inloggning, men en tvåfaktorsautentisering

Men för att installera ytterligare lösenordsskydd behöver du en annan fil förutom .htaccess, nämligen den så kallade .htpasswd. Den innehåller de autentiseringsuppgifter du behöver för att autentisera. Om du vill skapa dem kan du motsvarande online-verktyg Använda. Du krypterar önskat lösenord (till exempel Günterdergroße86) enligt MD5-formatet (Günterdergroße86 ser ut så här: $apr1"R71r9bVr-6S99bG1Z9R9yYHXcOCG6m/). MD5 är ett av de fem lösenordsformat som Apache-servern kan arbeta med. I slutändan behöver du dock bara komma ihåg det okrypterade lösenordet – servern tar över resten automatiskt.

.htpasswd som genereras på detta sätt placeras på samma nivå som .htaccess, vanligtvis den översta katalognivån för WordPress Katalog.

I .htaccess definierar du nu att HTTP-autentisering ska ske när du öppnar wp-login.php och använder ett kodavsnitt för att länka till .htpasswd. Detta gör det möjligt för servern att komma åt de förutbestämda autentiseringsuppgifterna i den andra filen. Hur detta kan göras, till exempel här .

.htaccess avgör sedan att auktorisering krävs för att komma åt /wp-login.php, och där servern hittar lämpliga autentiseringsuppgifter (nämligen i .htpasswd). Dessutom kommer du att förhindra tillgång till .htaccess, .htpasswd och wp-config.php för att säkerställa att ingen annan än du kan konfigurera om din installation.

Verkar allt ganska pinsamt? Är det så. Dessutom kan detta ytterligare lösenordsskydd påverka Förenlighet mellan Plugins Påverkas. Därför skulle jag alltid rekommendera tvåfaktorsautentisering. Detta kan snabbt Plugin och ger också ännu mer skydd mot obehörigt intrång. Detta beror på att autentiseringskoderna överförs via ett externt system.

Slutsats: Dölja WP admin kan vara en hel del arbete - och ger mer kosmetiska fördelar

Helst skyddar du ditt WP admin-område på det mest eleganta sättet som möjligt. Du bör bara installera ett stort säkerhetsplugg-program om du konfigurerar och använder dess andra funktioner på ett meningsfullt sätt. Så om du bara sysslar med att dölja WP admin, rekommenderar vi att du smal som möjligt Plugin . Allt annat skulle vara overkill.

Som en separat säkerhetsåtgärd, dölja WP admin är i alla fall försumbar lynotally effektiv. I princip gäller även följande: Nej Plugin ersätter ett starkt lösenord och kunskap om de viktigaste WordPress Sårbarheter. Och varje ny Plugin risken för att säkerhetsbrister tillförs koden. Det är därför viktigt att väga exakt vilken och hur många du installerar.

Det finns ingen webbplats för 100% skydd. Enligt vår mening döljer wp-admin området inte ger någon verklig säkerhet. Men det kan bidra enormt till den upplevda säkerheten. Speciellt om du arbetar på uppdrag av kunden, bör du inte underskatta kraften i kundernas uppfattning. Det är dock inte tillräckligt som en enda eller central säkerhetsåtgärd. Men om den ändrade webbadressen är utformad som ett av många lager i ditt säkerhetssystem kan den komplettera ditt säkerhetskoncept på ett meningsfullt sätt.

Som systemadministratör övervakar Tobias vår infrastruktur och hittar varje justeringsskruv för att optimera prestandan hos våra servrar. På grund av sina outtröttliga ansträngningar är han ofta också Slack som ska hittas.

Liknande artiklar

Kommentarer om den här artikeln

Skriv en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är * Markerade.