Помнится, не так давно в интернете я натыкался на информацию о волне брут-форс атак на WordPress сайты.
В подтверждение этого сегодня мой электронный почтовый ящик буквально завалило сообщениями о заблокированных попытках авторизации на моем сайте, в связи с чем я решил в срочном порядке принять меры по усилению его защиты и нашел для этого действенный механизм.
Так что если вы являетесь администратором WordPress сайта, то я настоятельно рекомендую вам прочитать данную статью и применить на практике описанный в статье способ защиты.
Брут-форс атаки, о которых я сказал выше, представляют собой множественные последовательные попытки авторизоваться на чужом сайте с подбором пароля.
В качестве страницы входа в административную панель WordPress и логина при таких атаках чаще всего используются значения по умолчанию: имя_сайта/wp-admin или имя_сайта/wp-login в качестве страницы входа и admin в качестве логина.
Злоумышленники рассчитывают на то, что администратор сайта непредусмотрительно оставил два вышеуказанных параметра по умолчанию и подобрать остается только пароль.
Вы не поверите, но расчет злоумышленников чаще всего оправдан — у большинства сайтов на WordPress логином администратора является admin, а страница входа в админку находится по адресу имя_сайта/wp-admin или имя_сайта/wp-login.
О последнем мы и поговорим в данной статье.
В реализации поставленной задачи нам поможет плагин защиты WordPress под названием iThemes Security.
Как поменять адрес админки в WordPress
Для того, чтобы wp login изменить на другое значение, мы произведем с плагином iThemes Security настройки.
Если у вас плагин iThemes Security не установлен, то для начала необходимо установить его. Сделать это можно прямо из репозитария Вордпресс и труда, я думаю, не составит:
Переходим в настройки плагина iThemes Security в административной панели WordPress, а точнее в расширенные настройки (Advanced):
В расширенных настройках плагина находим раздел Спрятать страницу входа на сайт и переходим в него:
Далее ставим галочку в чекбокс Скрыть страницу входа в систему, указываем новый путь для страницы входа на сайт в соответствующем поле и сохраняем изменения:
Вот так без особого труда вы сможете изменить wp admin (wp login) на свой уникальный URL.
После этого страница входа на сайт станет доступна по новому адресу, а при попытке перехода по стандартным вордпрессовским адресам появится сообщение о том, что страница не найдена.
Теперь задача потенциального взломщика выглядит гораздо сложнее, ведь ему нужно будет кроме прочего подобрать адрес, по которому доступна форма для авторизации на вашем сайте.
На сегодня все!
Добрый день, Владимир! А не лучше ли сгенерировать новый префикс таблиц Базы Данных? Например, vdv_admin вместо wp_admin. К тому же и каталоги с префиксом «wp» будут защищены. Если в БД лезть неохота, можно воспользоваться плагинами. Кстати, этот плагин так же, легко с этим справляется, если я правильно прочитал заголовок верхней справа функции.
Добрый день, Михаил! Лучше или не лучше не скажу, но как вариант ваш способ защиты тоже хороший. А вообще лучше все в комплексе применить.
Да да в комплексе начудить и забыть что делал. Вот хохма будет.))) А если серьезно, то кому надо все равно взломают.
Согласен, но это будет чуть сложнее)