Вы наверняка уже знаете как можно попасть в админку WordPress?
Сделать это можно как минимум четырьмя способами, добавив к адресу вашего сайта следующее:
- /admin, т.е. так: http://вашсайт/admin
- /wp-admin
- /login
- /wp-login.php
В общем-то, все три первых варианта редиректом (перенаправлением) приведут вас всё равно на страницу: http://ваш_сайт/wp-login.php
Получается, что любой желающий сможет добавить к адресу Вашего сайта любую из четырёх выше описанных приставок и увидит вход админку:
Конечно же, это совсем не значит что этот любой желающий сможет также легко попасть в админку, ведь ему нужно еще знать Имя пользователя или Ваш e-mail и Ваш пароль.
Если Ваш пользователь-администратор имеет логин: admin, manager, root, administrator, user — то это совсем не осмотрительно с Вашей стороны и злоумышленнику останется только угадать или подобрать Ваш пароль.
Кроме того, вы увидели надпись: Имя пользователя или e-mail ? Да, да, именно e-mail WordPress может использовать как Имя пользователя. А Вы ведь могли где-нибудь на сайте указать E-mail адрес, который совпадает с E-mail пользователя-администратора. Получается первое, что может попробовать злоумышленник — это ввести Ваш E-mail и тут WordPress ему снова поможет, ведь если E-mail не подходит он увидит такое сообщение:
а если E-mail правильный, WordPress-напишет что пароль для него не верный:
В итоге, мы имеем ситуацию при которой потенциальному злоумышленнику для взлома Вашего сайта (доступа в админку) нужно будет только угадать или подобрать Ваш пароль.
Как же защитить вход в админку от потенциальной угрозы? Ответ прост — постараться увеличить количество неизвестных, необходимых для входа.
А теперь давайте подробнее:
- По возможности, сделайте так чтобы E-mail пользователя-администратора на сайте нигде не упоминался — публичный E-mail должен быть каким-нибудь другим.
- Ваш пароль должен быть не простым, при установке WordPress сам генерирует для вас сложный пароль, если не хотите его использовать придумайте какой-нибудь более менее сложный пароль, включающий в себя маленькие и большие символы, цифры и какие-нибудь символы типа -, ?, _ и т.д.
- Имя Вашего пользователя тоже не должно быть простым, никаких: admin, manager, root, administrator, user и прочих простейших слов!
- И наконец, нужно ввести третью самую главную неизвестную — поменять URL-адрес входа в админку, для этого установите простой плагин: WPS Hide Login
WPS Hide Login
Простой, бесплатный и довольно популярный плагин, позволяющий изменить URL-адрес входа в админку.
После установки и активации плагина, вам нужно перейти в раздел админки: Настройки / Общие, далее прокрутить страницу до самого низа и увидеть всего один параметр добавляемый этим плагином:
По умолчанию плагин предлагает использовать вход http://вашсайт/login — но это отнюдь не самый лучший вариант! Придумайте что-нибудь своё, например: yyy12_go )))
После изменения этого параметра не забудьте нажать на кнопку Сохранить изменения — иначе при активном плагине у вас будет вход через http://вашсайт/login
Обязательно попробуйте выйти и снова зайти в админку, но уже по новому адресу входа, который вы сами придумали и главное не забудьте его!
После изменения точки входа в админку, при попытке зайти по стандартным URL-адресам пользователь будет получать 404 страницу ошибки.
Внимание! Если вдруг Вы забудете новый адрес входа в админку, вам нужно будет отключить данный плагин. Сделать это можно не попадая в админку при наличии доступа к папкам и файлам сайта. Нужно просто переименовать или удалить папку плагина wps-hide-login, которая будет в папке plugins ( папка plugins находится в папке wp-content ).
В итоге: после применения всех выше перечисленных мер мы должны получить защиту входа в админку с тремя неизвестными: E-mail / Имя пользователя, сложный пароль и свой уникальный URL-адрес входа — а это может значительно усложнить потуги юных хакеров )
