WP admin gizle: Popüler, ayrıntılı ve çok etkili değil

9 Dk.
wp admin gizlemek
Son güncelleme

Hemen hemen herkes için yönetici alanına giriş engelini nasıl kullanılacağını bilir WordPress varsayılan olarak ulaşılabilir. Orada tüm web sitelerinin yüzde 34'ünden fazlası Ile WordPress bilgisayar korsanlarının bu sitelerin giriş alanlarını bulup saldırması kolaydır. Bu tam olarak neden uygun kesmek, gibi Brute Force saldırılar, en yaygın saldırılar WordPress sayfaları hiç. Basit bir koruma önlemi WP yönetici alanı gizlemek gibi görünüyor. Bugün size bu tekniğin ne kadar yararlı olduğunu ve nasıl uygulayabileceğinizi göstereceğim.

Brute Force Saldırı saldırı muhtemelen en yaygın türüdür WordPress sayfaları hiç. Yalnızca güvenlik sağlayıcısı Wordfence 2017 yılında, bu yılın birkaç ayında, yaklaşık 1 milyar bu tür saldırılar - henüz bildirilmemiş rakam sayma değil. Güvenlik riskini azaltmak için Brute Force Saldırıları engellemek için, çok fazla başarısız denemeden sonra oturum açma girişimlerini kısıtlamak prensipte mantıklıdır. Buna ek olarak, birçok WordPress webmaster başka bir yöntem: onlar taşımak WP yönetici alanı , böylece artık wp-admin soneki altında bulunamaz.

Bu nedenle birçok güvenlik eklentisi karşılık gelen bir işlev sunar. .htaccess dosyasına kimler de erişebilir. Ama WP yönetici alanı gizleme başlı başına gerçekten iyi bir güvenlik önlemi değildir. Ancak, yararlı bir ek olabilir.

WP Admin gizle: Ne anlamı var?

WP yönetici alanı gizleme fikrinin arkasında ilkesidir belirsizlik yoluyla güvenlik ("Belirsizlik/belirsizlik yoluyla güvenlik") – bir sistemin işleyişi gizli kaldığı sürece güvenliğin daha güçlü olduğu fikri. Ya da başka bir deyişle, eğer saldırgan ön kapınızın nerede olduğunu bilmiyorsa, evinize gizlice sızabilir, ama içeri giremez.

FREE DEV Program RAIDBOXES

Belirsizlik yoluyla Güvenlik - pratikte bir dişsiz kaplan

Bu yaklaşım uzmanlar arasında tartışmalıdır - ve sebepsiz değil. Bu durumda, bilgilerin güvenli olması, bilgilere artık erişemeyeceğini göstermez. Orada ama gizli. Doğru araçlarla, bilgisayar korsanları giriş sayfanızı üzerine koyduklarında da bulabilirler.

Ve burada gerçek bir sorun geliyor belirsizlik yoluyla güvenlik oyuna: Genellikle yaklaşım yerine tamamen ortadan kaldırılması gereken sorunları örtbas etmek için kullanılır. Yönetici adınız Yönetici ve şifreniz Şifre123!, hacker o gizli giriş sayfası bulduğunda hiçbir zaman arka uçta.

Kısacası, gizli bir yönetici alanı saldırganların saldırmasını durdurmaz, ancak saldırıyı gerçekleştirmek için harcanması gereken süreyi uzatır. Ne yazık ki, ancak, tamamen gerçeği gizlemek mümkün değildir sizin WordPress -projeler için WordPress Sayfa. Bu yüzden WP yöneticisi gizleme tek güvenlik önlemolmamalıdır. Eğer bunu hedefliyorsan, bu seni kaçmaya götürmez.

Kavram belirsizlik yoluyla güvenlik bu nedenle ideal güvenlik kavramının birçok katmanlarından biridir. İki faktörlü kimlik doğrulamaya sahip güçlü bir parola olan Giriş Denemelerini (LLA) sınırlandırın ve sonunda bir parola kullanırsanız, düzgün bir şekilde yapılandırılmış bir güvenlik Plugin anlamlı bir karışımdır. Yönetici alanını gizlemek sadece pastanın üzerindeki kremadır.

Bazı durumlarda, WP yönetici gizleme hala mantıklı

Ama şimdi wp yönetici gizlemek için mantıklı olabilir aslında bazı durumlar vardır:

  • WP yöneticisinin gizlenmesi, bir yöneticinin algılanan güvenliği üzerinde güçlü bir etkiye sahiptir WordPress Sayfası. Özellikle müşteriniz adına çalışıyorsanız, gizli bir WP yöneticisi, müşterilerinizin güvenlik duygusunu en üst düzeye çıkarmak için mantıklıdır.
  • Eğer hackerlar Brute Force Sitenize saldırın, web sunucunuz tek başına yüksek sayıda istek tarafından "aşırı ısınmış" olabilir. Yönetici alanını hareket ettiriseniz, en azından ilkel Brute Force Rüzgarın en başından itibaren yelkenlerden saldırılar.
  • Bazı müşteriler, yönetici alanını gizleyerek hoş bir sürpriz olabilir, örneğin /Name-of-Company altında taşırsanız. Böylece, küçük ama ince bir marka efekti oluşturabilirsiniz.

Zaten bu önlemlerin doğada oldukça kozmetik olduğunu görebilirsiniz. Ama daha yüksek bir güvenlik hissi bile bazen yardımcı olabilir. Bu yüzden size WP yöneticinizi nasıl kullanacağınız göstereceğim. Plugins güvenli olabilir.

Plugins sadece yönetici gizleme kullanmak için, bu mantıklı mı?

Büyük güvenlik Plugins Çok sayıda diğer işlevleri ek olarak, onlar da yönetici alanı ve sitenizin tam doğasını gizlemek için imkanı sunuyoruz. Dediğim gibi, bu eleştirel bir bakış açısıyla.: Hantal bir Plugin sadece bir URL değiştirmek için bir hamlede tüm sorunlarınızı çözmez. Ancak konu nun ayrıntılı bir şekilde tartışılmasından sonra, hangi güvenlik önlemlerinin projeniz için anlamlı olduğuna karar verebilirsiniz.

Açısından Plugins ama prensipte iki seçeneğiniz var:

  • Ince Plugins , yalnızca giriş alanını gizlemek için tasarlanmıştır
  • Plugins , oturum açma alanının saklanmasını sağlayan, ancak çok daha fazlasını yapabilirsiniz

Kapsamlı güvenlik Plugins genişletilmiş işlevsellikleri nedeniyle daha hantaldır. Bu nedenle, onlarla ne elde etmek istediğinizi biliyorsanız, prensipte yalnızca mantıklıdırlar: örneğin, belirli IP'leri kilitleyin, Web Uygulama Güvenlik Duvarını (WAF) kullanın veya Plugins Yarar. Güvenlik ne kadar yararlı sorusu Plugins gerçek, biz de cevap Bu makalede.

Büyük bir Plugin sadece yönetici alanı gizlemek için yüklemek için, diğer taraftan, overkill olduğunu. Şarj hızınız zarar görür ve çok az katma değere sahipsiniz. Ve bu güvenlik özellikleri ile ilgili bir yedek değil.

Bir ile yönetici alanı Plugin bu nedenle sadece büyük performans veya fonksiyonel kaybı olmadan kullanabilirsiniz tavsiye edilir - sanki olması güzelBunun için ekstra, büyük bir Plugin iThemes Security veya Wordfence Ben yüklemenizi tavsiye etmem.

Yönetici alanınızı gizlemek için birkaç ince alternatif aşağıda vereb

WPS Gizleme Girişi

wps gizlemek giriş
Örneğin, WP yöneticisi WPS Gizle Girişi ile kullanılabilir Plugin Gizle.

Bu ücretsiz Plugin tam olarak yapar A Şey: Belirttiğiniz adreslere iki URL /wp-admin ve /wp-login.php'yi değiştirir. Bu, bilgisayar korsanları için bir engel ekler ve sitenizi biraz daha güvenli hale getirir. 400.000'den fazla aktif kurulum ve ortalama 4,9 yıldız (1.100'den fazla yorum ile!), Plugin uygulamada kanıtlanmıştır.

Yöneticinizi Koruyun

yöneticinizi koruyun
İsteğe bağlı olarak, bu da çalışır Plugin Yöneticinizi koruyun.

Bu, Plugin diğer bazı özelliklere rağmen, piyasadaki yalın olanlardan biridir ve / wp-admin ve / wp-login.php için özel bir URL belirtmenizi sağlar. İki sayfaya erişmeye çalışırsanız, bunun yerine ana sayfanızda sonunuzu alabilirsiniz. 40.000 kullanıcı bu var Plugin şu anda yüklü, ortalama sıralaması 3.8 yıldız. Ücretli yükseltme, Oturum Açma Girişimi Sayacı gibi bazı ek özelliklerin kilidini açar.

Cerber Güvenlik, Antispam & Malware Tarayabilir

cerber güvenlik antispam malware tarayabilir
Auch das Cerber Güvenlik Plugin WP yöneticisini korur.

Bu Plugin ,wp-login.php'yi gizler ve bunun yerine 404 hata iletisi görüntüler. Ama çok daha fazlasını yapabilirsiniz - bu yüzden aracın ayrıntılı bir tartışma değer. Şu anda 4,9 yıldız ve yaklaşık 100.000 aktif kullanıcı vardır. Bu, Plugin ücretsizdir.

WP Gizle & Güvenlik Arttırıcı

wp gizle güvenlik arttırıcı
Başka bir alternatif biraz daha hantal olduğunu Plugin WP Gizle Güvenlik Arttırıcı.
 

Bu ücretsiz Plugin web sitenizin olduğu gerçeğini gizler WordPress Çalışır. Bu prensipte mantıklı olup olmadığını (gibi bir araç ile görülecek bırakılmalıdır Yapı lı bu hızla gün ışığına çıkarılabilir, ancak URL'leri /wp-admin ve /wp-login.php'yi aynı dönüşte başka bir URL ile değiştirir. 50.000'den fazla web yöneticisi Plugin şu anda, ortalama derecelendirme 4.3 yıldız.

Kötü koddan korkmayın: .htaccess ile güvenli

Sitenizin bir olduğunu gizlemek istiyorsanız WordPress yükleme, daha sonra bazı sadece listelenen üzerinden yapabilirsiniz Plugins Yap, yap. Ya da .htaccess dosyasından hemen ulaşabilirsiniz. Bu en önemli dosyalarından biridir WordPress Apache sunucularında çalışan yüklemeler (Not: RAIDBOXESsayfalar Apache sunucularında çalışmaz, bu nedenle .htaccess'in web sunucusu üzerinde hiçbir etkisi yoktur). Örneğin, .htaccess, sayfanızda hangi dosyaların ve dizinlerin görülebildiğini ve kimin neye erişimi olduğunu tanımlar.

Bu dosyadaki küçük değişikliklerle, web sitenize fazladan bir güvenlik katmanı verebilirsiniz. Özellikle, wp-config.php erişimi kısıtlayan veya belirli IP'leri engelleyen tek tek kod parçacıkları eklersiniz. Ben şiddetle bir yapmanızı öneririz Yedekleme bu dosyayı oluşturma – bir şeyler yanlış giderse, daha sonra hızlı ve kolay bir şekilde orijinal durumuna dönebilirsiniz. Ve .htaccess ile, koddaki küçük bir hata bile sayfanızı felç etmeye yetebilir.

ootb yazarlar blog istedi

Varyant 1: Yalnızca belirli IP'lere izin

.htaccess ile herhangi bir dizini prensipte koruyabilirsiniz – bu durumda yönetici alanını hedeflenmiş bir şekilde güvence altına almak istersiniz. Bu nedenle, wp-admin dizinine yeni bir .htaccess yüklersiniz. Bunun yerine ana dizinini kullanırsanız WordPress yalnızca belirli IP'lerin erişimi olduğunu fark ederseniz, diğer tüm ipleri yalnızca yönetici alanından değil, tüm sayfanızdan hariç tutarsınız.

Yönetici dizininin .htaccess'inde, artık belirli IP'lerin aynı dizine erişmelerini engelleme seçeneğiniz var. Statik bir IP'yi kendiniz kullanıyorsanız, kendi IP'leriniz hariç tüm IP'leri hariç tutmanız önerilir. Bu şekilde, yalnızca yönetici alanına kendiniz erişebilirsiniz.

Bu arada, wp-login.php sayfasından IP'leri hariç tutmak için aynı şeyi yapabilirsiniz. Yetkisiz IP'ler örneğin 404 sayfaya (veya seçtiğiniz başka bir sayfaya) yönlendirilebilir ve artık giriş maskesine erişemez. Bu, ilgili kodu ekleyerek yapılabilir.

  • Inç WordPress Kodeksi tek tek dizinler oluşturabileceğiniz için açıklanmıştır WordPress -kurulumu koruyabilir
  • WP-Beginner meslektaşları en ayrıntısını göster üzerinden WP yöneticisi nasıl korunur.
  • Eklenti üreticisi wpmudev gösterir kapsamlı bir kılavuzdasayfalarınızı korumak için .htaccess nasıl kullanılır

Varyant 2: Parola korumayı (veya iki faktörlü kimlik doğrulamayı) yapılandırma

.htaccess ile yönetici alanını korumanın başka ve çok yaygın bir yolu da ek HTTP kimlik doğrulaması oluşturmaktır. Sunucu daha sonra uygun erişim verilerini WordPress giriş sayfası.

Bu oturum açarken sizin için biraz daha fazla çaba anlamına gelir, ancak birçok saldırganlar bu noktada tahıl içinde silah atmak. Brute Force Saldırılar daha başlamadan engellenir. Ancak, bu koruma bile tamamen kusursuz değildir, üzerinde birçok saldırı olarak XMLrpc Arayüzü Çalıştırmak. Standart olarak uygulanan bu arayüz, bilgisayar korsanlarının DDoS ve Brute Force Saldırı Çalıştırmak. Saldırılar wp-admin sayfasındakilere benzer, ancak aynı anda yüzlerce giriş ve parola kombinasyonu istenebilir. Bu nedenle, bu noktada daha mantıklı koruma ek bir giriş değil, iki faktörlü kimlik doğrulama söylenmelidir

Ancak, ek parola koruması yüklemek için .htaccess'in yanı sıra .htpasswd olarak adlandırılan başka bir dosyaya ihtiyacınız vardır. Kimlik doğrulaması için gereken kimlik bilgilerini içerir. Bunları oluşturmak için, ilgili çevrimiçi araçlar Kullanın. İstediğiniz şifreyi (örneğin, Günterdergroße86) MD5 formatına göre şifrelersiniz (Günterdergroße86 şuna benzer: $apr1"R71r9bVr-6S99bG1Z9R9yYHXcOCG6m/). MD5, Apache sunucusunun çalışabileceği beş parola biçiminden biridir. Ancak sonunda, yalnızca şifrelenmemiş parolayı hatırlamanız yeterlidir – sunucu geri kalanını otomatik olarak devralır.

Bu şekilde oluşturulan .htpasswd ,genellikle üst dizin düzeyi .htaccess ile aynı düzeyde yerleştirilir WordPress Dizin.

İklim pozitif WordPress Barındırma

.htaccess'te, wp-login.php'ye erişirken HTTP kimlik doğrulamasının gerçekleşmesi gerektiğini tanımlarsınız ve .htpasswd'ye bağlanmak için bir kod snippet'i kullanırsınız. Bu, sunucunun diğer dosyadaki önceden belirlenmiş kimlik bilgilerine erişmesine olanak tanır. Bu nasıl yapılabilir, örneğin, Burada Açıklıyor.

.htaccess daha sonra /wp-login.php'ye erişmek için yetkilendirme nin gerekli olduğunu ve sunucunun uygun kimlik bilgilerini bulduğu yeri (yani .htpasswd'de) belirler. Buna ek olarak, .htaccess, .htpasswd ve wp-config.php'ye erişimi engelleyecek ve yüklemenizi yeniden yapılandıramadığınızdan emin olabilirsiniz.

Her şey biraz garip mi görünüyor? Öyle mi? Buna ek olarak, bu ek parola koruması Uyumluluk Plugins Etkilenen. Bu nedenle, her zaman iki faktörlü kimlik doğrulama öneririz. Bu hızlı bir şekilde olabilir Plugin ve aynı zamanda izinsiz izinsiz girişe karşı daha fazla koruma sağlar. Bunun nedeni, kimlik doğrulama kodlarının harici bir sistem üzerinden iletilmesidir.

Sonuç: WP admin gizleme iş bir sürü olabilir - ve daha kozmetik faydalar getiriyor

İdeal olarak, WP yönetici alanınızı mümkün olan en şık şekilde korursunuz. Yalnızca diğer işlevlerini anlamlı bir şekilde yapılandırıp kullanıyorsanız büyük bir güvenlik eklentisi yüklemeniz gerekir. Bu nedenle, yalnızca WP yöneticisini gizleme yle ilgileniyorsanız, mümkün olduğunca ince Plugin . Başka bir şey aşırıya kalırdı.

Ayrı bir güvenlik önlemi olarak, WP yöneticisinin gizlenmesi her halükarda önemsiz derecede etkilidir. Prensip olarak, aşağıdaki ler de geçerlidir: Hayır Plugin güçlü bir şifre ve en önemli bilgi yerini alır WordPress Güvenlik açıkları. Ve her yeni Plugin koda güvenlik açıkları getirme riski oluşturur. Bu nedenle tam olarak hangi ve kaç yüklemek kadar tartmak önemlidir.

%100 koruma için bir web sitesi yoktur. Bizim görüşümüze göre, wp-admin alanı gizleme herhangi bir gerçek güvenlik getirmez. Ama algılanan güvenliğe büyük ölçüde katkıda bulunabilir. Özellikle müşteri adına çalışıyorsanız, müşteri algısının gücünü hafife almamalısınız. Ancak, tek veya merkezi güvenlik önlemi olarak yeterli değildir. Ancak, değiştirilen URL güvenlik sisteminizin birçok katmanından biri olarak tasarlandıysa, güvenlik kavramınızı anlamlı bir şekilde tamamlayabilir.

Benzer makaleler

Bu makaledeki yorumlar

Yorum yaz

E-posta adresiniz yayınlanmayacaktır. Gerekli alanlar * Işaretlenmiş.