Защита панели администратора в WordPress

[Всего голосов: 2    Средний: 5/5]


Для входа в административную панель при первичной установке WordPress создается логин и пароль. Достаточно ли этой пары для надежной защиты от несанкционированного входа? Как показывает практика и горький опыт — иногда не достаточно. Даже если Вы создадите надёжный, по вашему мнению, пароль, найдутся умные ребята — хакеры, которые могут методом подбора пароля взломать ваш сайт. Конечно, теоретически, это может произойти с любым сайтом, но, мне кажется, что скорее всего это может случиться, когда сайт более-менее солидный и представляет определенный интерес для этой группы людей.

Защита панели администратора

Для такого рода деятельности могут применяться так называемые ботнеты, о которых можно прочесть в Википедии.

Поэтому, в первую очередь, в качестве превентивной меры для предотвращения взлома методом перебора возможных паролей, рекомендуется сменить собственные пароли на максимально надёжные. Это действие не сможет дать стопроцентную гарантию полной защиты, но может существенно увеличить время, необходимое для взлома сайта.

Смена логина и пароля

Есть несколько вариантов выполнения этой задачи.

В админ-панели можно сменить только пароль. Для смены пароля входа в админку попробуйте зайти в раздел Пользователи → Ваш профиль и под заголовком Управление учетной записью ввести новый пароль и обновить профиль:

Ввести новый пароль

Для того, чтобы сменить логин и пароль одновременно, понадобится вход в phpMyAdmin.

  • Войдите в контрольную панель своего хостинга и базы данных;
  • В списке таблиц вашего блога найдите строку wp_users;
  • Откройте её кликом мышки и замените значения user_login и user_pass. Значения можно отредактировать используя ссылку Изменить. При смене пароля обязательно выберите функцию MD5 из выпадающего списка для поля user_pass, а затем введите новый пароль в поле. Обязательно сохраните пароль, так как вернувшись в phpMyAdmin, Вы не увидите его в открытом виде в таблице wp_users, поскольку он уже будет в зашифрованном виде.

После сохранения изменений Вы сможете выполнить вход в админ-панель WordPress используя новый логин и пароль.

Если Вы забыли или потеряли пароль входа в админку, его можно восстановить. Внизу, под полями ввода логина и пароля есть ссылка Забыли пароль? Кликните мышкой по этой ссылке и действуйте согласно подсказкам системы:Восстановление пароля

Таким образом мы рассмотрели варианты смены логина и пароля, а так же восстановления пароля входа в админку WordPress. Может быть, есть смысл их регулярно менять, хотя бы раз в месяц. А лучше воспользоваться дополнительными мерами защиты, которые рассмотрим далее.

Плагины для защиты админ-панели WordPres

Бесспорно, есть и другие методы защиты админки кроме плагинов (например, внесение изменений в файл .htaccess), но, я предлагаю пойти по более легкому пути. Установка плагинов не сложна, так же как и их настройки, поэтому использование этих программ-дополнений оправдано и доступно даже для самых непосвященных в создании сайтов. Итак, рассмотрим несколько вариантов.

Lockdown WP Admin

Этот плагин — прекрасный способ борьбы с ботнетами. Он меняет адрес административной панели сайта и страницы логина. То есть, при запросе адреса /wp-login.php или /wp-admin/ бот получит сообщение об ошибке 404 (страница не найдена) и покинет ваш ресурс.

В настройках плагина поставьте галочку в чекбоксе Yes, please hide WP Admin from the user when they aren’t logged in и введите символы пароля в поле Change the WordPress Login URL. Чуть ниже скопируйте сгенерированный адрес входа в админ-панель. Не забудьте сохранить настройки с помощью кнопки Save Options.

Limit Login Attempts

Этот плагин может ограничивать количество неудачных попыток входа в админку с одного и того же IP. Благодаря этому затрудняется подбор пароля. В настройках плагина можно задавать количество неправильных комбинаций входа и дальнейшие попытки входа с этого IP будут ограничены на время, указанное в настройках.

Login LockDown

Это защита системы WordPress от взлома путем подбора пароля для входа в админ- панель. Локдаун записывает IP-адрес и временную метку каждой неудачной попытки входа в систему. Если он в течение короткого периода времени обнаруживает большое числа попыток входа с одного IP, то блокирует все запросы этого диапазона.

Better WP Security

Многофункциональный плагин для обеспечения безопасности WordPress. На первый взгляд, плагин кажется объёмным и сложным, но на самом деле все происходит в фоновом режиме. При установке просто следуйте подсказкам системы. Настройки, практически, остаются по умолчанию.

Данный плагин обладает расширенным спектром возможностей, но, нужно понимать, что и он не является панацеей в системе безопасности WordPress. В любом случае, нужно применять комплекс защитных мер, если Вы желаете добиться положения, приближенного к абсолютной безопасности своего ресурса.

В заключение хочу сказать, что это самый малый перечень плагинов такого направления. Есть ещё множество подобных им, например, Hide loginCaptcha, Protected wp-loginLimit Login AttemptsStealth Login PageClearfy.

На этом все. Спасибо за внимание. Пока. Л.М.

 

Поделиться в соц. сетях

Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Яндекс

Комментарии 1

  • Everything is very open with a very clear clarification of the issues.

    It was really informative. Your site is useful.
    Thank you for sharing!

Добавить комментарий

Ваш e-mail не будет опубликован.