Получи 1 из 3 лицензий WPForms бесплатно!

Giveaway от разработчика плагина. Срок проведения 01.11.2019 – 31.12.2019.

wpforms-logo-300
 »  Безопасность  »  Вход в админку WordPress

Вход в админку WordPress

Последнее обновление:

Вход в админку WordPressАдминка WordPress — это административная часть сайта, в которой находятся все настройки сайта. По умолчанию вход в админку Вордпресс находится по адресу .../wp-login.php. Сама админка находится по адресу .../wp-admin/.

Админка — самая важная часть сайта. Если хакер получит доступ к админке, он может делать с сайтом все, что захочет. Скорее всего, он изменит пароль администратора или создаст нового администратора и удалит старого. Поэтому вход в админку Вордпресс должен быть хорошо защищен.

Существует несколько способов попасть в админку Вордпресс:

  1. Через wp-login.php
  2. Через xmlrpc.php
  3. Через почту администратора
  4. Через хостинг
  5. Через базу данных

В этой статье вы узнаете все основные способы защиты админки Вордпресс от взлома и несколько способов зайти в админку, если восстановление пароля не работает, или если хакер захватил контроль над сайтом.

Содержание:

Часть 1. Как защитить вход в админку Вордпресс

  1. Вход в админку через wp-login.php
  2. Вход в админку через xmlrpc.php
  3. Доступ к админке через почту администратора
  4. Доступ к админке через хостинг или FTP
  5. Доступ к админке через базу данных

Часть 2. Как зайти в админку Вордпресс в случае сбоя или взлома

  1. Измените пароль администратора в базе данных
  2. Измените е-мейл администратора в базе данных
  3. Как изменить пароль администратора Вордпресс без доступа к базе данных
  4. Как создать нового администратора Вордпресс без доступа к админке и базе данных

Бонус. Как изменить картинку на странице авторизации

Вход в админку через wp-login.php

У каждого зарегистрированного пользователя есть доступ к админке. Каждому пользователю при регистрации назначается роль, которая определяет, что пользователь может или не может делать. По умолчанию в Вордпрессе существует 5 ролей:

  1. Администратор
  2. Редактор
  3. Автор
  4. Участник
  5. Подписчик

Некоторые плагины добавляют новые роли, например, WooCommerce создает роли Клиента и Менеджера магазина, плагин Yoast SEO создает роли SEO редактора и SEO менеджера. Вы можете добавить новые роли вручную или с помощью плагинов, и дать им нужные права.

У администратора есть полный доступ ко всем настройкам в меню админки. У других пользователей меньше прав на управление админкой. Подписчики имеют самые ограниченные права, у них есть доступ только к своему профилю на сайте.

Несмотря на то, что у подписчика минимальные права в админке, используйте сложные логины и пароли для подписчиков и всех остальных пользователей на сайте.

Используйте сложный логин и пароль

При установке Вордпресс администратору сайта дается имя admin по умолчанию.

Логин admin — первый, который пробуется хакерами при попытке подобрать логин и пароль к сайту. Хакеры используют ботов, которые автоматически обходят тысячи сайтов и используют списки популярных логинов и паролей, которые находятся в свободном доступе.

Не используйте имена admin, administrator, test, demo, домен сайта и аналогичные в качестве логина. Также не используйте простые / распространенные пароли qwerty, password, 12345, 1q2w3e, йцукен и так далее.

В Вордпрессе есть встроенный генератор паролей. Перейдите ПользователиВаш профильУправление учетной записью.

Генератор паролей Вордпресс
Генератор паролей Вордпресс

Вы можете хранить пароли в хранителе паролей, например lastpass.com или браузере, или придумайте собственный сложный пароль, например, У меня есть собака породы пудель, который родился в 2018: UmespP,krv2018.

Отключите ошибки

По умолчанию при неудачной попытке авторизации Вордпресс показывает ошибку, в которой говорится, что именно введено неправильно, — логин или пароль.

Сообщение с ошибкой "Неверный пароль"
Логин верный, пароль неверный

Когда хакер найдет верный логин, ему останется только подобрать пароль. Чтобы не давать хакеру подсказку, измените сообщение на нейтральное, например, Введенный вами логин или пароль неверен.

Измените адрес страницы входа в админку Вордпресс

Чтобы усложнить задачу хакерам по подбору логина и пароля, перенесите страницу авторизации со стандартной .../wp-login.php на что-нибудь уникальное, например .../entry-page.

Перед тем, как они начнут перебор паролей, им придется найти страницу, где можно это делать.

Ограничьте количество неудачных попыток авторизации

По умолчанию Вордпресс не ограничивает количество неудачных попыток авторизации, и хакер может пробовать столько комбинаций логина и пароля, сколько захочет.

Во-первых, это опасно, потому что есть некоторая вероятность, что хакер в итоге найдет правильную комбинацию и зайдет на сайт. Во-вторых, многократные попытки зайти на сайт расходуют ресурсы сервера, особенно если выполняются хакботами автоматически.

Чтобы ограничить опасность и снизить нагрузку на сервер, настройте лимит неудачных попыток авторизации. Это можно сделать с помощью специальных плагинов, например, Limit Login Attempts Reloaded или Login LockDown, или с помощью больших плагинов безопасности, в которых эта функция находится в числе других, например, Wordfence или All In One WP Security & Firewall.

Добавьте двух-факторную авторизацию или дополнительные вопросы

Двух-факторная авторизацация — это идентификация через логин и пароль, плюс дополнительная идентификация через смартфон или е-мейл. Для включения двойной авторизации есть бесплатные плагины, например, Google Two-Factor AuthenticationGoogle Authenticator или Duo Two-Factor Authentication.

Довольно интересный плагин двух-факторной авторизации UNLOQ Two Factor Authentication (2FA):

Для его работы нужно установить приложение на смартфон, после этого на него будут приходить push-уведомления, в которых вы можете разрешить или запретить доступ. Можно настроить вход только по push-уведомлениям или вместе с одноразовым кодом на смартфон или е-мейл.

Упрощенная версия этой идеи — дополнительные вопросы на странице авторизации. Установите плагин WP Security Questions:

Плагин WP Security Questions
Дополнительные вопросы на странице авторизации

Установите пароль на страницу авторизации

Еще одна вещь, которую вы можете сделать для усиления безопасности страницы авторизации — установить на нее пароль.

Авторизация для доступа к файлу wp-login.php
Пароль для доступа к странице

Хотя изменение адреса страницы авторизации можно сравнить с установкой пароля, вы можете установить пароль на новую страницу авторизации (или на страницу по умолчанию).

Для этого нужно создать файл с паролями и добавить код в .htaccess.

Вход в админку через xmlrpc.php

Xmlrpc.php — еще один вход в админку, но для роботов. Это API-интерфейс, который используется для доступа к сайту через мобильное приложение WordPress, для трекбэков и пингбэков и используется плагином Jetpack. Также XML-RPC используется хакботами для атак с перебором логинов и паролей.

Вместо того, чтобы пытаться подобрать логин и пароль на обычной странице авторизации, где у вас может быть установлено ограничение на количество попыток входа, бот может попробовать неограниченное количество комбинаций через интерфейс xml-rpc.

Если вы не пользуетесь мобильным приложением, трекбеками и пингбеками или плагином Jetpack, вы можете отключить этот интерфейс. Это снизит вероятность взлома и сохранит ресурсы сервера, потому что боты автоматически пробуют тысячи комбинаций логина и пароля.

Если вы пользуетесь чем-то из этого, то оставьте эту функцию включенной или частично включенной, и используйте сложный логин и пароль.

Доступ к админке через почту администратора

Злоумышленник может прийти на страницу восстановления пароля и запросить сброс пароля через е-мейл.

Если злоумышленник знает, на какой е-мейл адрес зарегистрирован аккаунт администратора, и вы используете слабый пароль для этого почтового ящика, то хакер может подобрать к нему пароль.

Хакер запросит сброс пароля, зайдет на ваш почтовый ящик, изменит пароль аккаунта администратора на сайте, зайдет на сайт, создаст нового администратора и удалит старого администратора.

Чтобы этого не произошло, используйте сложный пароль к вашему почтовому ящику.

Доступ к админке через хостинг или FTP

На хостинге есть доступ к файлам сайта через менеджер файлов. С помощью добавления скриптов в файлы хакер может зайти на сайт. Это называется бэкдор.

Кроме доступа к файлам на хостинге есть доступ к базе данных. В базе данных хакер может изменить пароль администратора и зайти на сайт.

Читайте в следующем разделе как отредактировать запись администратора, чтобы вернуть контроль над аккаунтом администратора.

Всегда используйте сложные пароли для хостинга и FTP.

Доступ к админке через базу данных

В базе данных находятся аккаунты всех пользователей сайта. Если хакер попадет в базу данных, он может изменить запись администратора, или добавить новую.

В базу данных можно попасть из панели хостинга или через FTP. Для подключения к базе данных нужны данные из файла wp-config.php:

Запись define(‘DB_HOST’, ‘localhost’); означает, что подключиться к базе данных можно только с локального сервера.

Перенесите wp-config.php на один уровень вверх и дайте ему права доступа 400 или 440, в зависимости от настроек сервера.

Используйте сложные логин и пароль для подключения базы данных.

Часть 2. Как зайти в админку Вордпресс

Если вы не можете зайти в админку, попробуйте восстановить пароль через е-мейл.

Ссылка восстановления пароля Вордпресс
Восстановите пароль администратора через е-мейл
  • Зайдите на страницу авторизации (по умолчанию ваш-сайт.ru/wp-login.php)
  • Кликните ссылку Забыли пароль?
  • Введите е-мейл адрес администратора
  • Кликните Получить новый пароль

Если письмо не приходит на почтовый ящик, проверьте в папке Спам. Проблема может быть в том, что ваш почтовый сервис не пропускает письмо с подозрительного адреса. Или в том, что ваш сайт взломан.

Следующий способ — попробуйте изменить пароль администратора в базе данных.

Измените пароль администратора в базе данных

Зайдите на хостинг, откройте базу данных и найдите таблицу пользователей wp_users (или другой префикс). Откройте таблицу пользователей и зайдите в запись администратора.

Таблица wp_users

В записи администратора измените пароль и попробуйте зайти на сайт с новым паролем:

Измените е-мейл администратора в базе данных

Если этот способ не сработал, попробуйте изменить е-мейл администратора в базе данных.

В этом способое вы измените е-мейл администратора и запросите восстановление пароля на новый е-мейл на странице восстановления пароля.

Зайдите на хостинг, откройте базу данных, откройте запись администратора и измените е-мейл на новый:

Измените е-мейл администратора

Вернитесь на сайт и запросите восстановление пароля:

  • Зайдите на страницу авторизации (по умолчанию ваш-сайт.ru/wp-login.php)
  • Кликните ссылку Забыли пароль?
  • Введите новый е-мейл адрес администратора
  • Кликните Получить новый пароль

На новый е-мейл должно прийти сообщение со ссылкой на изменение пароля. Если сообщение не приходит, проверьте в папке Спам.

Как изменить пароль администратора Вордпресс без доступа к базе данных

Если у вас нет доступа к базе данных, но есть доступ к файлам сайта через FTP или хостинг, вы можете попробовать добавить скрипт, который изменит пароль администратора в базе данных.

Добавьте скрипт в папку /wp-content/mu-plugins/. Скрипт сбросит текущий пароль администратора и заменит его на новый.

Еще один способ попасть в админку Вордпресс — создать нового администратора.

Как создать нового администратора Вордпресс без доступа к админке и базе данных

Если у вас нет доступа к базе данных и ни один из предыдущих способов вам не помог, попробуйте добавить скрипт в файл functions.php.

Этот скрипт создаст еще один аккаунт администратора. Вы зайдете на сайт в аккаунт нового администратора, и удалите другой аккаунт администратора.

Еще один способ создать администратора — добавить скрипт в папку /wp-content/mu-plugins/.

Зайдите на сайт и удалите старый аккаунт/ы администратора.

Бонус. Как изменить картинку на странице авторизации

Вы можете изменить стандартную картинку на странице входа в админку на свою с помощью скрипта в файле functions.php.

Добавьте этот код:

Укажите путь к картинке в строке 5. Замените размеры на свои в строках 6-11, или добавьте свой css.

Читайте также:

  1. Безопасность Вордпресс. Подробное описание
  2. Как проверить Вордпресс сайт на уязвимости
  3. Бэкап Вордпресс. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!