Еще пара уловок для защиты блога на wordpress. Wordpress wp login php
Защита файлов wp-login.php и wp-config.php от взлома
В нарушение всех планов на написание постов хочу дополнить предыдущий пост о защите блога на wordpress, а точнее о защите файлов и папок средствами .htaccess. В корне наших блогов лежат файлы wp-login.php и wp-config.php, которые особенно интересны злоумышленнику, ну и нам их без внимания оставлять не следует.
Злоумышленники в нашем случае — это «школота», которая в летний период, вместо того, чтобы отдыхать и гулять, сливают в сети готовые разного рода программы и уже считают себя «хакерами». Смех да и только, но хлопот, те самые, запускаемые «школотой» программы доставляют не мало.
Прежде чем приступим к защите wp-login.php и wp-config.php, напомню несколько прошлых постов о защите сайтов на wordpress, которые актуальны и сейчас:
Отлично, идем дальше и закрываем от всех лишних глаз файл wp-login.php.
Шаг 1. Оригинальный wp-login.php переименуем в любое другое название, хоть в «s4gr3gerh6hb.php».
Шаг 2. Затем заменим все слова wp-login.php на новое имя, в нашем случае на s4gr3gerh6hb.php, в файле s4gr3gerh6hb.php (старый wp-login.php) и в файле wp-includes/general-template.php.
Шаг 3. Заключительным шагом станет полное ограничение доступа к файлу wp-login.php в .htaccess:
<Files wp-login.php>Order Deny,AllowDeny from all</Files>
Поясню зачем ограничивать доступ к файлу wp-login.php, если по сути его уже нет, а есть новый, неизвестный злоумышленнику «s4gr3gerh6hb.php». Как я говорил выше, попытками взлома наших блогов занимаются далеко не серьезные люди, а «школота», которая скачивает программу-заготовку и запускает ее по инструкции, совершенно не соображая, что действия, производимые программой, бессмысленны.
Но нас на самом деле это не очень успокаивает, потому что в ответ на многочисленные запросы сервер возвращает нашу 404 страницу, а это очень большая нагрузка, которую мы можем избежать, воспользовавшись шагом 3. Теперь, когда в .htaccess к несуществующему файлу ограничен доступ, в ответ подлецу 🙂 будет отдаваться 403 ошибка, а серверу это какой либо заоблачной нагрузкой не грозит.
С защитой файла wp-config.php все намного проще. Нам он требуется крайне редко, если вообще после установки блога требуется, потому к нему достаточно закрыть доступ для всех. Пишем в .htaccess
<Files wp-config.php>Order Deny,AllowDeny from all</Files>
и мы в шоколаде.
Удачи Вам, друзья, успехов. Предохраняйтесь, не давайте им шанса 😉
Читаем дальше:
59 на запись "Еще пара уловок для защиты блога на wordpress"
pervushin.com
Переименовываем wp-login.php - Агентство "Romapad.ru"
Тема статьи: как забота хостера может вызвать беспокойство у клиента? Хостер ставит защиту на сайт клиента (минуя меня, то есть разработчика), а клиент в итоге не может войти на сайт. Вот с такой проблемой столкнулись некоторые из моих клиентов, а значит и я. Решение читайте ниже.
Подробнее:
Периодически мой любимый хостер — reg.ru (ссылка рефферальная;)) — начинает активно беспокоиться о безопасности моих (и чужих) сайтов и рассылать емейлы с темой «Обнаружена попытка взлома ваших сайтов». В письме приведено несколько рекомендаций, но особенно привлекает внимание следующее предложение:
«В связи с обнаружением Brute-force атаки, на страницы доступа к административным панелям всех Ваших сайтов использующих CMS Joomla и WordPress была установлена дополнительная базовая HTTP-аутентификация средствами .htaccess.»
Спасибо большое! Безопасность прежде всего. Дополнительная HTTP-аутентификация ставится на все сайты, в которых определено присутствие популярной CMS. То есть, даже если ваш сайт закрыт от индексирования, то есть возможность его открытия кем-то, а значит и взлома, очень мала, все равно, на нем поставят дополнительную защиту.
И даже, если ваш сайт на wordpress уже защищен максимально, как только можно (что я обычно делаю для всех клиентских сайтов), все равно добрый хостер поставит защиту. За что ему искреннее спасибо, потому что всегда лучше перебдеть!
Но в случае установки защиты клиент не сможет попасть в админ-панель сайта тем способом, как он привык делать. Он набирает известный ему адрес админки (который может отличаться от стандартного) и видит дополнительное всплывающее окно для ввода пароля:
Это и есть так называемая HTTP-аутентификация. Прописывается она в файле .htaccess. Файл этот по умолчанию располагается в папке с файлами wordpress.
Для клиентов это очень неудобно. Защита, конечно, убирается быстро, достаточно зайти по ftp и почистить .htaccess, но ведь она может появиться опять! Кроме того, если .htaccess расположен в корневой директории хостинга, а сайты располагаются во вложенных папках (так бывает), то окно будет выскакивать на всех сайтах, даже если вы почистите вложенные файлы .htaccess.
В чем, собственно, состоит защита? Все очень просто — делается проверка на попытку получения доступа к файлу wp-login.php — который как раз отвечает за авторизацию в системе (причем, не только в админке, так что, если вы ведете проект с возможностью авторизации пользователей, то для вас проблема еще актуальнее).
Решение, которое напрашивается само собой — переименовать файл wp-login.php. Чтобы попытка прямого обращения отдавала 404 ошибку, но можно было легко зайти по измененному адресу, а так же, чтоб это никак не сказалось на самом движке.
Как ни странно, во всех известных мне плагинах, обеспечивающих безопасность в wordpress — better wp security, wordfence, bulletproof security — есть опция для изменения пути доступа в админку (папка wp-admin), но нет опции изменения самого файла wp-login.php. Хотя напрямую при использовании этих плагинов вы его открыть все равно не сможете — получите 404.
Возможно, у вас будут какие-то еще причины переименовать этот файл. Тогда вам тоже пригодится данное решение.
Решение:
Поиск в google помог найти лишь жалкую горстку статей на эту тему, хотя и одно действительно рабочее решение — плагин «Rename wp-login.php» После его установки и активации вам сразу открывается страница настроек ЧПУ, где добавляется новое поле, в котором можно задать новое название для нужного нам файла.
Теперь при попытке перейти по адресу http://ВАШ_САЙТ/wp-login.php вы получите 404 ошибку, зато по измененному адресу можно спокойно попасть в админку (естесственно, после логина и пароля), даже если на сам файл повешена HTTP-аутентификация, или еще какие правила в .htaccess (deny for all, например). Обратите внимание, что плагин заявлен как «неподдерживаемый». Я не увидел никаких проблем с его использованием, но все равно советую вам провести тестирование, если вы используете различные способы авторизации на сайте — напрямую, через соц.сети, через сторонние плагины.
romapad.ru
Защита файла wp-login.php на 100% ! — ТОП
Привет ! Мы продолжаем разбирать самые интересные и самые полезные плагины для сайта WordPress ! Сегодня вы узнаете о супер плагине, который позволит вам на 100% защитить страницу входа в админ-панель wordpress. Страница wp-login.php подвержена постоянным атакам, почему ? Потому что на тысячах сайтов в сети, данная страница имеет по умолчанию одинаковый адрес — wp-login.php. Поэтому спамерам очень просто атаковать одновременно несколько тысяч сайтов.
Конечно можно защитить сайт с помощью каптчи, придумать сложный пароль и всё будет в порядке ! Но, если вы заметили что к странице входа в админ-панель wordpress посылается большое количество запросов, то это может повлиять на производительность вашего сайта. Попасть к вам на сайт никто не сможет, а вот создать дополнительную нагрузку на базу данных, запросто ! Не забывайте, что многое ещё зависит от хостинга, важно, чтобы он был качественным !
Плагин Rename wp-login.php — это 100% защита для страницы входа на ваш сайт. С помощью данного плагина, вы сможете просто и быстро изменить адрес страницы входа. Например, вместо wp-login.php, вы можете сделать — bobin.php, в таком случае о вашей странице входа абсолютно никто не узнает ! Ваш URL адрес входа будет уникальным и узнает о нём только те, кому вы о нём расскажите.
Далее, после установки и активации плагина, перейдите на страницу: Настройки — Постоянные ссылки. В настройках «Постоянные ссылки», внизу страницы, будет отображаться поле «Login url». В данном поле вам нужно указать новый адрес страницы входа и сохранить изменения.
Для примера, давайте укажем новый адрес bobin и сохраним изменения. Обязательно сохраните новый URL адрес, чтобы не забыть его. Лучше всего сразу же перейти по новому адресу и сделать на него закладку.
Теперь при входе в админ-панель wordpress, в верхнем поле браузера будет отображаться новый URL адрес.
Всё очень просто !
Остались вопросы ? Напиши комментарий ! Удачи !
info-effect.ru
Защищаем свой WordPress блог от атак на wp-login.php | | Provisov.net
Уровни мощности хостинга
На всех тарифных планах нашего хостинга используется технология Cloudlinux, которая обеспечивает гарантированную производительность и изолированность клиентов на серверах.
Чем выше тариф хостинга, тем больше ему выделяется гарантированных ресурсов сервера!
Если Вы не знаете сколько потребуется ресурсов для Вашего сайта - не беспокойтесь! Во-первых, мы гарантируем что в нашем самом начальном тарифе (Мини) выделяется в несколько раз больше оперативной памяти (ram) и процессорной мощности (cpu), чем у других хостинг-провайдеров. Во-вторых, при необходимости Вы всегда сможете изменить тариф без потери данных сайта.
Сводную таблицу с ограничениями для каждого тарифного плана можно посмотреть здесь
|
Параметры |
Мощность 1 |
Мощность 2 |
Мощность 3 |
|
Количество ядер процессора |
1 |
2 |
2 |
|
Оперативная память, Мб |
2048 |
4096 |
6144 |
|
Одновременных процессов |
80 |
160 |
250 |
|
Нагрузка дискового ввода/вывода, Кб/сек |
2048 |
4096 |
8192 |
|
Лимит на процессор (CPU) |
150% |
200% |
300% |
Частые вопросы:
Что произойдет если я превышу лимиты мощности хостинга?
Ничего! Вы получите автоматическое уведомление от нашей системы о превышении лимитов. Обычно превышения ресурсов имеют временный характер - запуск ресурсоемкого скрипта, временная ddos-атака и т.д. В таких случаях превышения не страшны и они не скажутся на работе вашего сайта. Если превышения будут иметь постоянный характер, тогда рекомендуется сменить тариф с увеличенными лимитами мощности.
Подойдет ли тариф "Мини" для моего WordPress сайта?
Конечно! Несмотря на то, что данный тариф в нашей линейке считается самым дешевым, в нем заложены достаточно высокие лимиты мощности. Этих лимитов достаточно для стабильной работы любых сайтов, даже с очень высокой посещаемостью!
www.provisov.net
