Как защитить админку WordPress: на 100% проверенные способы
Админ-часть является наиболее уязвимой из всех разделов сайта. Так, попав сюда, злоумышленник получает полный доступ ко всему сайту и может делать все, что ему заблагорассудится (от простого сообщения, что сайт взломан, и до частичного нарушения работы или полного удаления контента).
Зачем защищать админку?
Часто владельцы сайтов не придают особого значения защите админки, о чем потом жалеют, когда становятся жертвами взлома. WordPress, в силу своих открытости и популярности во всем мире, находится под пристальным вниманием хакеров. Конечно, разработчики движка довольно оперативно исправляют найденные ошибки безопасности, но также быстро и находятся новые, от которых можно пострадать, пока они не будут исправлены.
Способы защиты
Существует ряд мер, приняв которые, Вы сможете на достойном уровне обезопасить Ваш сайт от недобросовестного влияния.
Выбираем правильные логин/пароль администратора
Самый первый шаг к защите – это правильные логин и пароль администратора.
Крайне не рекомендуется использовать в качестве имени пользователя типа admin или administrator. Если у Вас уже создан админ-пользователь с “нежелательным” именем, то достаточно будет просто сменить логин пользователя. Не забудьте потом удалить пользователя admin или administrator.
Изменяем адрес админ-панели
По умолчанию, в WordPress для входа в административную панель используются адреса:
http://site.ru/wp-admin/ http://site.ru/wp-login.php
В силу популярности движка, эти адреса довольно сильно подвержены атакам. Для обеспечения безопасности всего сайта их следует изменить на те, которые будете знать только Вы. Для этого существует довольно простой в управлении плагин Rename wp-login.php. Благодаря ему, Вы можете сами задать, по какому адресу будете получать доступ в админ-панель.
Устанавливаем дополнительную форму авторизации через .htaccess
Файл .htaccess отвечает за настройку веб-сервера Apache и дает возможность конфигурировать работу сервера в директориях Вашего сайта (например, менять название индексных файлов, устанавливать права доступа к файлам/каталогам, выполнять редиректы).
В данном случае файл установит дополнительную форму ввода логина и пароля перед тем, как попасть на авторизацию в админку.
С примерами, установкой и настройкой файла .htaccess Вы можете ознакомится по ссылке.
Мы также разработали онлайн-генератор паролей .htpasswd для вашего удобства. Пользуйтесь!
Защита админ-панели от перебора паролей
Еще одна важная деталь защиты админки – ограничение количества ввода пароля. Так, если злоумышленник все-таки дошел до формы входа на сайт и пытается подобрать пароль, то логично будет после нескольких неудачных попыток его заблокировать. Для этого можно воспользоваться специальными плагинами. Одним из таких является плагин Limit Login Attempts. Для активации защиты плагин достаточно установить и активировать.
Итоги
Приняв вышеуказанный ряд мер, Вы сможете защитить свою админку от большинства возможных уязвимостей: теперь злоумышленнику ее сложнее будет обнаружить и подобрать к ней логин/пароль.
Конечно, это не гарантирует Вам 100% защиты, так как всегда находятся новые уязвимости, нарушающие работу сайта. Но если не делать никаких шагов в сторону безопасности, то вероятность сбоя во много раз возрастает.
Нажмите, пожалуйста, на одну из кнопок, чтобы узнать понравилась статья или нет.
Двухэтапная аутентификация — служба поддержки WordPress.com
Ваш сайт WordPress.com — это ваш дом в Интернете, и вы хотите, чтобы этот дом был в безопасности. Надеюсь, вы уже выбрали уникальный и сложный для взлома пароль для своей учетной записи. Чтобы добавить еще один уровень домашней безопасности, вы можете включить двухэтапную аутентификацию.
Содержание
Что такое двухэтапная аутентификация?
Двухэтапная аутентификация — это метод защиты учетных записей, требующий от вас не только знаете что-то (пароль) для входа в систему, но также и то, что у вас есть что-то (ваше мобильное устройство или физический ключ).
Преимущество такого подхода к безопасности заключается в том, что даже если кто-то угадает ваш пароль, он также должен украсть ваше имущество, чтобы взломать ваш аккаунт.
На WordPress.com мы предлагаем двухэтапную аутентификацию с помощью мобильного устройства и физического ключа безопасности. Сначала мы верифицируем ваше мобильное устройство, отправив код одним из нескольких способов. После того как вы подтвердили свое мобильное устройство, вы также можете добавить аутентификацию, которая использует вместо этого физический ключ.
После того, как вы настроили двухэтапную аутентификацию, каждый раз, когда вы входите в систему со своим паролем, мы отправляем новый код на ваше устройство, которое вы должны ввести, или вы должны подключить свой физический ключ перед входом в систему. Он добавляет небольшой дополнительный шаг к процессу входа в систему, но делает вашу учетную запись намного более безопасной.
Настройка с помощью приложения для проверки подлинности
Чтобы настроить двухэтапную проверку подлинности с помощью приложения для проверки подлинности, такого как Google Authenticator, Authy или Duo, на вашем устройстве, вам необходимо запустить его в настольном браузере.
Сначала перейдите на страницу настроек двухэтапной аутентификации на сайте WordPress.com.
Или вы можете перейти в настройки, щелкнув изображение своего профиля на главной странице WordPress.com:
Затем нажмите ссылку «Безопасность» в навигации в левой части экрана:
Затем нажмите на Двухэтапная аутентификация , а затем Начало работы .
Здесь вам будет предложено выбрать страну и указать номер своего мобильного телефона (без кода страны, пробелов и тире). После этого нажмите Подтвердить через приложение .
Затем отсканируйте QR-код, предоставленный вашим приложением для аутентификации. В приложении для аутентификации появится шестизначное число. Введите его в соответствующее поле и нажмите Включить .
Наконец, вам будет предложено распечатать резервные коды. Не пропускайте этот шаг , так как это будет ваш единственный способ снова войти в свою учетную запись без помощи персонала, если ваше устройство пропало!
Обратите внимание: Если ваш веб-браузер настроен на блокировку всплывающих окон, вам может потребоваться временно отключить эту функцию, поскольку она не позволит открыть окно с вашими резервными кодами.
Нажмите Все готово.
На этом этапе для вашего сайта включена двухэтапная аутентификация. Последующий шаг позволяет вам подтвердить, что ваши резервные коды работают, введя один из распечатанных кодов.
Настройка с помощью SMS-кодов
Если вы не можете настроить двухэтапную аутентификацию с помощью приложения для аутентификации, вы также можете настроить ее для работы с помощью SMS-сообщений. Для этого настройте свой номер телефона, как описано выше, но затем нажмите Подтвердить через SMS 9.0008 .
Через несколько секунд вы должны получить текстовое сообщение, содержащее 7-значный номер. Введите этот номер в соответствующее поле и нажмите Включить .
Приложения для смартфонов, которые блокируют автоматические вызовы, также могут блокировать наши сообщения.
Аутентификация с помощью ключа безопасности
WordPress.com поддерживает проверку входа с помощью физических ключей безопасности с использованием стандарта WebAuthn.
Вместо того, чтобы вводить код, который вы получаете через SMS или приложение, такое как Google Authenticator, после ввода пароля, вы вставляете физический ключ. Затем вы нажимаете кнопку на этом ключе, чтобы завершить проверку и войти в систему. Без этого физического ключа никто не сможет войти в вашу учетную запись, даже если он знает пароль.
Требования
- Наличие компьютера с портом USB и последней версии совместимого браузера, например Chrome, Firefox, Opera или Edge.
(Примечание: в настоящее время Chrome и Firefox имеют наилучшую общую поддержку для этого, поэтому мы рекомендуем использовать эти браузеры для наиболее стабильной работы.) - Подготовьте ключ, который подключается к USB-порту и работает с FIDO2, например YubiKey от Yubico или Titan Key от Google.
Пожалуйста, ознакомьтесь с документацией по поддержке вашего конкретного ключа для получения дополнительной информации о типах устройств и браузеров, которые поддерживает ваш ключ.
Пожалуйста, ознакомьтесь с документацией по поддержке вашего конкретного ключа для получения дополнительной информации о типах устройств и браузеров, которые поддерживает ваш ключ.Добавить ключ
Примечание. вам необходимо выполнить описанные выше шаги, чтобы включить двухэтапную аутентификацию с помощью SMS или приложения для аутентификации, прежде чем вы сможете добавить ключ безопасности.
После настройки двухэтапной аутентификации с помощью приложения или SMS вы увидите возможность добавить ключ безопасности. Нажмите на Зарегистрировать ключ.
Мы позволяем вам зарегистрировать несколько ключей, чтобы вы могли назвать свой ключ, чтобы отличать его от других, которые вы можете добавить в будущем. Введите уникальное имя и нажмите Зарегистрировать ключ .
На этом этапе подключите ключ к USB-порту компьютера и, в зависимости от типа ключа, либо нажмите кнопку, либо коснитесь золотого диска на ключе.
В случае успеха вы увидите сообщение на экране, а ключ будет указан в разделе «Ключ безопасности».
После настройки вы не сможете получить доступ к своей учетной записи без ключа, поэтому обращайтесь с ним так же, как с ключами от дома или машины — берегите его!
Также рассмотрите возможность добавления второго ключа в качестве резервного варианта и сохраните его где-нибудь, чтобы вы могли найти его, если что-то случится с вашим первичным ключом. Чтобы добавить дополнительные ключи, просто нажмите Повторно зарегистрируйте ключ .
Удаление ключа
Если вы хотите удалить ранее добавленный ключ безопасности (например, если ключ был утерян или больше не работает), вы можете отключить этот ключ от своей учетной записи.
Перейдите на страницу двухэтапной аутентификации в настройках своего профиля, нажмите значок корзины рядом с ключом и нажмите Удалить ключ в появившемся подтверждающем сообщении.
Вход в систему
Процесс входа в систему немного отличается от обычного, если у вас включена двухэтапная аутентификация.
Независимо от того, использовали ли вы метод Google Authenticator или метод SMS для включения двухэтапной аутентификации, вы начнете с входа в систему, как обычно, со своим именем пользователя и паролем.
Далее вам будет предложено ввести код подтверждения, отправленный на ваше устройство.
Если вы настроили двухэтапную аутентификацию с помощью приложения для проверки подлинности, откройте приложение на своем устройстве и введите шестизначный номер, указанный для учетной записи. Если вы используете SMS для двухэтапной аутентификации, мы отправим вам текстовое сообщение с шестизначным номером. После того, как вы введете код, вы войдете в систему и будете готовы вести блог.
Если у вас настроен ключ безопасности, вы увидите запрос с вопросом, хотите ли вы подтвердить подлинность с помощью своего ключа или приложения для аутентификации/SMS. Чтобы подтвердить с помощью ключа, нажмите Продолжить с ключом безопасности .
Далее вы увидите запрос на подключение вашего ключа.
Примечание: Если проверка занимает слишком много времени, запрос на проверку будет отменен и появится сообщение об ошибке. Просто нажмите Продолжить с ключом безопасности еще раз, чтобы перезапустить проверку.
Резервные коды
Мы не хотим, чтобы вы теряли доступ к своей учетной записи WordPress.com — вам все равно нужно будет иметь возможность войти в систему, если она потеряна, украдена, вы заблокированы по какой-либо причине, или ваше устройство должно быть полностью очищено (что приведет к удалению Google Authenticator).
Чтобы ваша учетная запись никогда не была заблокирована, вы можете создать набор из десяти одноразовых резервных кодов. Мы рекомендуем вам распечатать резервные коды и хранить их в надежном месте, например, в кошельке или сейфе для документов.
Генерация резервных кодов необходима и должна быть выполнена. Если вам когда-нибудь понадобится использовать резервный код, просто войдите в систему, как обычно, и когда вас спросят о коде входа, вместо этого введите резервный код.
В конце процесса установки двухэтапной авторизации вам будет предоставлена возможность сгенерировать резервные коды:
Распечатайте коды — не просто сохраните их — и подтвердите, что вы я сделал это. Затем нажмите Все готово! , чтобы закрыть этот экран.
Если вы потеряете свой список резервных копий или он будет скомпрометирован, вы можете сгенерировать новый набор кодов. Для дополнительной безопасности это отключит все ранее сгенерированные коды.
Вы можете создавать резервные коды только из настольного браузера. Например, Safari на iOS не будет отображать резервные коды.
Кроме того, если ваш веб-браузер настроен на блокировку всплывающих окон, вам нужно будет временно отключить эту функцию, поскольку она не позволит открыть окно с вашими резервными кодами.Пароли приложений
Некоторые приложения, которые подключаются к вашей учетной записи WordPress.com, еще не полностью поддерживают двухэтапную аутентификацию. Наиболее распространены приложения Jabber, используемые для подписки на блоги WordPress.com. Для этих приложений вы можете создавать уникальные пароли для каждого приложения (например, вы можете использовать разные пароли на телефоне и планшете). Затем вы можете отключить индивидуальные пароли и заблокировать доступ приложений к вашей учетной записи, чтобы другие пользователи не могли получить доступ к вашим сайтам.
Чтобы сгенерировать пароли для приложений, вернитесь к двухэтапной аутентификации, а затем перейдите к разделу «Пароли приложений»:
Дайте приложению имя — вы единственный, кто увидит это имя, так что называйте его как хотите хотите — и нажмите «Создать пароль».
WordPress.com создаст уникальный 16-значный пароль, который вы сможете скопировать и вставить при следующем входе в свою учетную запись на этом устройстве. Приложение запомнит этот пароль, поэтому вам не нужно.
На странице «Безопасность» будет храниться список всех приложений, для которых вы создали пароли. Если какое-либо из ваших устройств потеряно или украдено, или вы просто хотите отозвать доступ к определенному приложению, вы можете посетить эту страницу в любое время и нажать «X», чтобы отключить пароль и запретить приложению доступ к вашей учетной записи:
Отключить двухэтапную аутентификацию
Мы не рекомендуем отключать двухэтапную аутентификацию, поскольку она гораздо менее безопасна, даже если вы считаете, что ваш пароль очень надежный. Но если вы настаиваете, вы можете отключить эту функцию, перейдя на страницу двухэтапной аутентификации.
На странице будет показано, что эта функция включена, и вы можете нажать кнопку Отключить двухэтапную аутентификацию .
Нажмите Отключить после ввода кода, и ваша учетная запись больше не будет защищена двухэтапной аутентификацией.
Примечание: Ключ безопасности не может использоваться для отключения двухэтапной аутентификации — это можно сделать только с помощью кода, полученного через SMS, вашего приложения для аутентификации или резервного кода.
Переход на новое устройство
Если вы планируете перейти на новое устройство и включили двухэтапную аутентификацию, вам следует предпринять следующие шаги, чтобы избежать случайной блокировки вашей учетной записи пользователя.
Если вы используете приложение для проверки подлинности для создания кодов подтверждения:
- Распечатайте набор резервных кодов для своей учетной записи пользователя, выполнив действия, описанные здесь. НЕ ПРОПУСКАЙ ЭТОТ ШАГ.
- На новом устройстве установите приложение для проверки подлинности.
- Отключите ссылку двухэтапной аутентификации на старом устройстве, выполнив действия, описанные здесь.
- Настройте учетную запись пользователя для подключения к новому устройству, следуя приведенным здесь инструкциям.
- Если вам будет предложено ввести код подтверждения, используйте код из списка резервных кодов. Резервные коды используются только один раз.
- Теперь вы можете удалить приложение аутентификатора со своего старого устройства.
Если вы используете мобильное приложение WordPress.com для управления сайтом и публикации на нем:
- Создайте новый пароль для конкретного приложения, следуя инструкциям здесь.
- Введите новый пароль приложения при использовании этого приложения на новом устройстве.
Если вы используете SMS для получения кодов аутентификации, вам не нужно будет обновлять свои настройки, если только вы не перейдете на новый номер телефона. В этом случае вы захотите настроить новый номер восстановления перед отключением старого номера SMS, выполнив шаги, описанные здесь.
Если вы потеряете свое устройство
Если вы потеряете свое устройство или ключ безопасности, случайно удалите приложение для проверки подлинности или иным образом заблокируете свою учетную запись, единственный способ вернуться в свою учетную запись — использовать резервный код .
Чтобы использовать резервный код, введите данные для входа, как обычно. Когда вас спросят о коде входа, вместо этого введите резервный код. Помните: резервные коды действительны только один раз, поэтому будьте осторожны при их использовании.
Различные планы и цены
Аварийный выключательНадежно отключить ваш сайт в случае атаки | Включено в Pro | |
Мастер-парольЗапретить этому клиенту ломать свой сайт, «ничего не делая» | Включено в ядро | Включено в Pro |
Настройка разрешений ACL: детализированные разрешения, определяющие, к каким функциям инструментов администратора может получить доступ каждый пользователь. | Включено в ядро | Включено в Pro |
Защита паролем администрирования WPЗащитите доступ к вашему каталогу wp-admin с помощью имени пользователя и пароля. | Включено в ядро | Включено в Pro |
Изменить права доступа к файлам и папкамЛегко меняйте разрешения для всех файлов и папок на вашем сервере. Разрешения полностью настраиваемые. | Включено в ядро | Включено в Pro |
Перезапись ссылки «на лету»Автоматически переписывать ссылки, чтобы они указывали на ваш новый сайт. При желании конвертируйте HTTP-ссылки в HTTPS. | Включено в ядро | Включено в Pro |
Обновление солей WordPressОбновите соли WordPress в wp-config.php для максимальной безопасности при создании копий сайтов. | Включено в ядро | Включено в Pro |
Срок действия пароля Заставлять пользователей менять свои пароли через заданный вами регулярный интервал. | Включено в ядро | Включено в Pro |
Оптимизация после автосохраненияВыберите, как часто WordPress будет автоматически сохранять сообщения по мере их редактирования и сколько версий каждого сообщения будет сохранено. | Не входит в ядро | Включено в Pro |
Интервал корзины WordPressВыберите, когда WordPress будет безвозвратно удалять записи, страницы, вложения и комментарии из корзины. Или вообще пропустить мусорное ведро. | Не входит в ядро | Включено в Pro |
Управление скрытыми функциями WordPress Простое управление функциями WordPress, которые обычно доступны только путем редактирования файла wp-config.php, например: отключение редактирования файлов, режим отладки WordPress и журнал отладки, конкатенация JavaScript, ограничение памяти и кэширование страниц WordPress. | Не входит в ядро | Включено в Pro |
Исправление и оптимизация таблицВосстановите и оптимизируйте все таблицы вашего сайта. | Включено в ядро | Включено в Pro |
URL-адрес перенаправленияПеренаправьте старые URL-адреса или создайте собственный сокращатель URL-адресов с функциями, далеко превосходящими Joomla! | Не входит в ядро | Включено в Pro |
Обнаружение вредоносных программСледите за своим сайтом на предмет измененных или добавленных файлов PHP и оценивайте их потенциальное вредоносное поведение | Не входит в ядро | Включено в Pro |
Импорт/экспорт настроекЛегко дублируйте настройки инструментов администратора между вашими сайтами WordPress. | Не входит в ядро | Включено в Pro |
Создатель .htaccess и web. config | ||
Отключить списки каталогов | Не входит в ядро | Включено в Pro |
Защита от распространенных атак путем внедрения файлов | Не входит в ядро | Включено в Pro |
Отключить пасхальные яйца PHP | Не входит в ядро | Включено в Pro |
Заблокировать доступ к файлам, важным для безопасностиБлокировать веб-доступ к таким файлам, как htaccess.txt, php.ini, wp-config-sample.php или readme.html в корневом каталоге вашего сайта | Не входит в ядро | Включено в Pro |
Защита от кликджекинга | Не входит в ядро | Включено в Pro |
Снижение рисков безопасности типа MIME | Не входит в ядро | Включено в Pro |
Защита от отраженного XSS | Не входит в ядро | Включено в Pro |
Удалить подпись версии Apache и PHP | Не входит в ядро | Включено в Pro |
Предотвратить преобразование содержимого | Не входит в ядро | Включено в Pro |
Блокировать определенные пользовательские агенты | Не входит в ядро | Включено в Pro |
Блокировать прямой доступ к файлам PHP Защита от прямого доступа к файлам PHP. | Не входит в ядро | Включено в Pro |
Принудительно выполнять синтаксический анализ index.php перед index.html | Не входит в ядро | Включено в Pro |
Оптимизировать время истечения срока действия(хорошо для SEO) | Не входит в ядро | Включено в Pro |
Сжать статические ресурсыАвтоматически сжимать статические ресурсы, такие как изображения, CSS, JS | Не входит в ядро | Включено в Pro |
Перенаправить index.php в корень сайта | Не входит в ядро | Включено в Pro |
Перенаправление с www/без wwwПеренаправление с www на сайт без www или без www на сайт с www, например. с http://example.com на http://www.example.com | Не входит в ядро | Включено в Pro |
Перенаправить старое доменное имя на новое доменное имя | Не входит в ядро | Включено в Pro |
Принудительно использовать HTTPS для определенных URL-адресовПринудительно использовать HTTPS, даже если WordPress не позволяет вам использовать | Не входит в ядро | Включено в Pro |
Принудительный заголовок HSTS Повысьте безопасность HTTPS, запретив браузерам доступ к незащищенной HTTP-версии вашего сайта. | Не входит в ядро | Включено в Pro |
Отключить методы HTTP TRACE и TRACKЗащитите свой сайт от XST-атак | Не входит в ядро | Включено в Pro |
Управление политикой общего доступа к ресурсам между источниками (CORS) вашего сайта | Не входит в ядро | Включено в Pro |
Контролировать, будут ли отправлены и какие ETagsОптимизируйте кэширование содержимого вашего сайта на стороне клиента, особенно если оно находится за балансировщиком нагрузки. | Не входит в ядро | Включено в Pro |
Брандмауэр веб-приложений | ||
Индивидуальные исключенияВниз до уровня компонента, представления или строки запроса | Включено в ядро | Включено в Pro |
Полное протоколирование заблокированных запросов | Включено в ядро | Включено в Pro |
Уведомление по электронной почте при исключении безопасностиОтправлять электронное письмо при возникновении исключения безопасности | Включено в ядро | Включено в Pro |
Список запрещенных IP-адресовЗапретить доступ к вашему сайту с определенных IP-адресов или блоков IP-адресов | Не входит в ядро | Включено в Pro |
Список разрешенных IP-адресов администратораРазрешить доступ к разделу администратора вашего сайта только по определенным блокам IP-адресов | Не входит в ядро | Включено в Pro |
Изменить URL-адрес входа администратора (например, используйте http://www. | Не входит в ядро | Включено в Pro |
График отсутствияПредотвратить вход в wp-admin в течение заданного периода каждый день, например. когда ты точно спишь. | Включено в ядро | Включено в Pro |
Защита SQLiShieldОбнаружение и предотвращение большинства атак путем внедрения кода SQL | Включено в ядро | Включено в Pro |
Блок удаленного включения файлов(RFIShield) | Включено в ядро | Включено в Pro |
Блок удаленного протокола PHP(PHPShield) | Включено в ядро | Включено в Pro |
Сканер загрузок(UploadShield) | Включено в ядро | Включено в Pro |
Фильтрация спамаНа основе списка нежелательных слов | Не входит в ядро | Включено в Pro |
Пользовательское сообщение об ошибке входа в системуНе сообщайте плохим парням, существует ли определенное имя пользователя на вашем сайте или нет | Не входит в ядро | Включено в Pro |
Удалить RSS-ссылки | Не входит в ядро | Включено в Pro |
Удалить ссылки клиента блога | Не входит в ядро | Включено в Pro |
Изменить продолжительность сеанса входа в систему | Не входит в ядро | Включено в Pro |
Отключить редактирование свойств пользователей Запретить редактирование учетных записей администратора/суперадминистратора. | ||
Вы можете выбрать, к каким ролям применяется эта политика.
Он может даже заблокировать доступ к загруженным хакерским сценариям, смягчив атаку.
example.com/mylogin вместо http://www.example.com/wp-login)