W ciągu ostatnich kilku dni ponownie widziałem ataki na obszar administracyjny WordPress „wp-admin” na niektórych blogach klientów. Używam wtyczki na większości blogów Blokada logowania, która nie tylko rejestruje nieudane próby logowania, ale także blokuje logowanie do adresu IP po określonej liczbie błędnych logowań. Możesz samodzielnie ustawić liczbę logowań i czas trwania blokady, zmieniając ustawienia wtyczki w obszarze administracyjnym. W ten sposób możesz również zobaczyć, czy haker chce uzyskać dostęp do administratora Wordpressa za pomocą [ataku siłowego->ataku siłowego]. Nawiasem mówiąc, ta technika jest również używana do atakowania interfejsu XML-RPC WordPressa – ale więcej na ten temat w kolejny post.
Szukałem teraz sposobu na ochronę logowania do Wordpressa - w szczególności danych wp-login.php w folderze /wp-admin/. Najprostszym sposobem jest po prostu zmiana nazwy tego pliku. Ponieważ skrypty hakerów zwykle celują bezpośrednio w plik o nazwie wp-login.php, przyszłe ataki zakończą się niepowodzeniem po zmianie nazwy pliku. Aby włączyć procedurę zmiany nazwy również dla zwykłych użytkowników Wordpress, dostępna jest wtyczka Wordpress o nazwie „zmień nazwę wp-login".
Rozdziały w tym poście:
Jak działa zmiana nazwy-wp-login
Jednak technicznie rzecz biorąc, ta wtyczka nie zmienia nazwy pliku, ale przechwytuje wywołania adresu URL do pliku, a następnie odpowiednio je przekierowuje lub wyświetla komunikat o błędzie, jeśli chcesz wywołać „wp-login.php”, którego już nie ma istnieje. Trudno to zrozumieć, ale za pomocą wtyczki przypisujesz nową nazwę pliku, która jest następnie używana tylko wirtualnie. Nie jest to jednak widoczne dla hakerów i innych użytkowników, ale z zewnątrz wygląda na to, że faktycznie zmieniono nazwę danych. Fajną rzeczą w tej wtyczce jest to, że jeśli ją wyłączysz, wszystko wróci do normy i nie będziesz musiał zmieniać nic z powrotem - więc jest to bardzo przyjazny dla użytkownika sposób na zrobienie tego.
Wordpress 4 Bezpieczeństwo: Szkolenie jako warsztat wideo
Dla tych, którzy chcą wejść trochę głębiej w Wordpressa, mogę zaoferować szkolenie wideo z Galileo polecić. Istnieje również pełny rozdział poświęcony bezpieczeństwu WordPress, a także wiele innych wskazówek, sztuczek i wyjaśnień na wideo, dzięki czemu możesz śledzić poszczególne kroki bezpośrednio w WP Admin.
Related Stories
Wyłącz WP-Cron – jak to zrobić!- Co to jest sygnalizator sieci Web lub piksel śledzący?
- Jak zostać blogerem i zarabiać na tym?
- Co to jest backdoor?
- zabronić chatGPT dostępu do treści własnej strony internetowej
- Indeksator linków zwrotnych — jakie jest najlepsze narzędzie?
- Keyword Shitter Test - Znajdź słowa kluczowe z długim ogonem za darmo
- Dzięki tym narzędziom znalezienie odpowiedniego koloru dla strony internetowej nie stanowi problemu
Jens prowadzi bloga od 2012 roku. Pełni rolę Sir Apfelot dla swoich czytelników i pomaga im w problemach natury technicznej. W wolnych chwilach jeździ na elektrycznych monocyklach, robi zdjęcia (najlepiej iPhonem oczywiście), wspina się po górach Hesji lub wędruje z rodziną. Jego artykuły dotyczą produktów Apple, nowości ze świata dronów czy rozwiązań aktualnych błędów.
Strona zawiera linki partnerskie / obrazy: Amazon.de
Cześć. To są 2 ładne wtyczki, które tutaj prezentujesz. Od kilku dni zajmuję się bezpieczeństwem Wordpressa bo też muszę raz po raz ustalać dostęp do mojego wp-login.php. Szczególnie „zmień nazwę wp-login” brzmi interesująco, wypróbuję to. Dzięki za wskazówki i fajny blog tutaj. Witaj Manuelu.
....jak następnie zalogować się jako administrator na stronie wordpress?
Witaj Rolf! Następnie możesz zalogować się do administratora za pomocą nowego (przypisanego samodzielnie) adresu URL. Dane dostępowe pozostają takie same, ale zmienia się adres obszaru administracyjnego. mam nadzieję, że wejdziesz :-)
Świetna wskazówka, na którą się natknąłem... i którą również wykorzystam bezpośrednio na moich blogach.
Cześć Karola! Cieszę się, jeśli ci pomaga. Oto kolejna wskazówka odmiany „szybko zrobione z długotrwałym efektem”: https://www.sir-apfelot.de/wordpress-ladezeit-in-20-sekunden-optimieren-leverage-browser-caching-683/
Teraz importuję go również do każdego WP, który założyłem od podstaw. :)
Witam,
super rzecz wtyczka Zmień nazwę wp-login.php. Nadal mam .htpasswd w .htaccess, czy muszę tutaj zmienić nazwę?
Dziękuję i pozdrawiam
Joachim
Witaj Joachimie! Jednak plik .htpasswd nie jest standardowym plikiem Wordpress. Zakładam, że jest to dodatkowa ochrona logowania, która jest wykonywana przed faktycznym logowaniem administratora WP. W takim przypadku naprawdę nie musisz niczego zmieniać. Ale jak powiedziałem: nie znam szczegółowo .htpasswd i mogę tylko założyć, że nic więcej nie jest potrzebne. Czy wiesz, skąd pochodzi .htpasswd? Z wyrazami szacunku!
Jens
Witaj Jens,
absolutnie poprawny nie jest to standardowy plik, ale dodatkowe zabezpieczenie. Instrukcje znajdziesz tutaj w punkcie 7.
http://playground.ebiene.de/adminbereich-in-wordpress-schuetzen/
Powitanie
Joachim
O tak, instrukcje od Sergeja. Tak, całkiem nieźle, ale z mojego punktu widzenia to coś dla paranoików. Połowa zwykle wystarcza, aby Twój administrator był wolny od hakerów. Niestety największą bramą są również niezaktualizowane wtyczki, które mają pewne luki w zabezpieczeniach, z których korzystają hakerzy.
Sprawdziłem ponownie. Po włączeniu wtyczki Zmień nazwę wp-login.php polecenie działa
AuthName „Strefa administracyjna”
AuthType Basic
AuthUserFile /ścieżka-do-twojego-pliku-htpasswd/.htpasswd
wymagać prawidłowego użytkownika
nie.
Mówi również na górze.
Moje pytanie brzmi:
Jak poprawnie nazwać linię, jeśli przełączę się do folderu we wtyczce „Zmień nazwę wp-login.php”?
Dziękuję bardzo
Joachim
Cześć Joachimie! Dlaczego chcesz zmienić dodatkowy login z .htaccess i .htpasswd? Właściwie powinno nadal działać, jeśli nie przeniosłeś .htpasswd. Linia w pliku .htaccess mówi tylko serwerowi, gdzie znajduje się plik i niekoniecznie musi znajdować się w folderze „Zmień nazwę wp-login.php”, ale może również pozostać tam, gdzie do tej pory wykonywał swoją pracę . Jeśli nadal pojawia się błąd, gdzieś musi być błąd... Chętnie zajrzę, jeśli chcesz. Jednak musiałbym wtedy zerknąć na serwer... Pozdrawiam! Jensa
Dziękuję za tę świetną wskazówkę, działa wspaniale i mam nadzieję, że może przynajmniej ograniczyć próby ataków. Kciuki w górę za Twój blog, bardzo mi się podoba.
Dziękuję za pochwałę! Cieszę się! :)
Witam Panie Apfelot,
Chciałbym ustawić szczególnie wysoki poziom bezpieczeństwa na stronie klienta z ochroną htaccess ORAZ adresem URL logowania o zmienionej nazwie (wtyczka „Zmień nazwę WP-Login.php”).
Mam oba skonfigurowane, ale kiedy przechodzę do adresu URL o zmienionej nazwie, strażnik htaccess nie pojawia się. Co muszę wpisać w htaccess, aby nazwa użytkownika i hasło htaccess również musiały zostać wprowadzone dla nowego adresu URL?
Cześć Michaela! Ochrona .htaccess zwykle dotyczy całego folderu wp-admin. Jednak po zalogowaniu się do ochrony htaccess przez jakiś czas nie będziesz proszony o ponowne zalogowanie. Może dlatego ochrona już nie działa. Jeśli chcesz to przetestować, po prostu otwórz nowe „prywatne okno” w swojej przeglądarce. Nie ma w tym żadnych plików cookie ani tym podobnych, a będziesz traktowany jak nieznany użytkownik. Zapytanie powinno przyjść odpowiednio.
W twoim przypadku najlepszym rozwiązaniem może być wtyczka „iThemes Security”. Możesz więc zrealizować obie funkcje za pomocą jednej wtyczki, jeśli się nie mylę. Ma również wiele innych zalet, takich jak blokowanie ataków siłowych i blokowanie interfejsu XMLRPC.
Mam nadzieję, że mogę ci pomóc!
Witam Panie Apfelot,
Właśnie zainstalowałem Zmień nazwę wp-login.php i zmieniłem adres URL. Kiedy dzwonię teraz, pojawia się następujący komunikat o błędzie: Nie znaleziono
Podany w zapytaniu URL nie został odnaleziony na tym serwerze.
Co znowu zrobiłem źle?
Pozdrawiam
Sabine
Witaj Sabine! Chyba zmieniłeś nazwę pliku wp-login.php na coś innego. Oczywiście, aby się zalogować, musisz teraz wprowadzić nową nazwę pliku. LG, Jens