Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Админка WordPress — это административная часть сайта, в которой находятся все настройки сайта. По умолчанию вход в админку Вордпресс находится по адресу .../wp-login.php
. Сама админка находится по адресу .../wp-admin/
.
Вход в админку должен быть хорошо защищен.
Если хакер получит доступ к админке, он может делать с сайтом все, что захочет. Скорее всего, он изменит пароль администратора или создаст нового администратора и удалит старого.
Существует несколько способов попасть в админку Вордпресс:
В этой статье вы узнаете все основные способы защиты админки Вордпресс от взлома и несколько способов зайти в админку, если восстановление пароля не работает, или если хакер захватил контроль над сайтом.
Содержание:
Часть 1. Как защитить вход в админку Вордпресс
Часть 2. Как зайти в админку Вордпресс в случае сбоя или взлома
У каждого зарегистрированного пользователя есть доступ к админке. Каждому пользователю при регистрации назначается роль, которая определяет, что пользователь может и не может делать. По умолчанию в Вордпрессе существует 5 ролей:
Некоторые плагины добавляют новые роли, например, Yoast SEO создает роли SEO редактора и SEO менеджера, WooCommerce создает роли Клиента и Менеджера магазина. Вы можете добавить новые роли вручную или с помощью плагинов, и дать им нужные права.
У администратора есть полный доступ ко всем настройкам в меню админки. У других пользователей меньше прав на управление админкой. Подписчики имеют самые ограниченные права, у них есть доступ только к своему профилю на сайте.
Проверьте, что для роли пользователя по умолчанию установлено значение «Подписчик» в Настройках — Общие — Роль нового пользователя.
Несмотря на то, что у подписчика минимальные права в админке, используйте сложные логины и пароли для подписчиков и всех остальных пользователей на сайте.
При установке Вордпресс администратору сайта дается имя admin по умолчанию.
Логин admin — первый, который пробуется хакерами при попытке подобрать логин и пароль к сайту. Хакеры используют ботов, которые автоматически обходят тысячи сайтов и используют списки популярных логинов и паролей, которые находятся в свободном доступе.
Не используйте имена admin, administrator, test, demo, домен сайта и другие. Не используйте простые / распространенные пароли qwerty, password, 12345, 1q2w3e, и так далее.
И не используйте такой же логин, как и имя пользователя, которое можно найти на Страницах или Постах в мета-тегах Автора.
Если ваш логин такой же, как имя пользователя, то хакеры уже знают половину информации для входа на сайт.
Зайдите в Пользователи — Ваш профиль. Выберите другое имя в выпадающем списке Отображать как и нажмите Обновить информацию.
Вместо Very-strong-username используйте свой логин.
В Вордпрессе есть встроенный генератор паролей. Перейдите Пользователи — Ваш профиль — Управление учетной записью.
Вы можете хранить пароли в хранителе паролей, например lastpass.com или браузере, или придумайте собственный сложный пароль, например, У меня есть собака породы пудель, который родился в 2023: UmespP,krv2023.
По умолчанию при неудачной попытке авторизации Вордпресс показывает ошибку, в которой говорится, что именно введено неправильно, — логин или пароль.
Когда хакер найдет верный логин, ему останется только подобрать пароль. Чтобы не давать хакеру подсказку, измените сообщение на нейтральное, например, «Введенный вами логин или пароль неверен
«.
Чтобы усложнить задачу по подбору логина и пароля, перенесите страницу авторизации со стандартной .../wp-login.php
на другую страницу, например .../entry-page
.
Перед тем, как они начнут перебор паролей, им придется найти страницу, где можно это делать.
По умолчанию Вордпресс не ограничивает количество неудачных попыток авторизации, и хакер может пробовать подобрать логин и пароль неограниченное количество раз.
Это опасно, потому что есть вероятность, что хакер найдет правильный логин и пароль и зайдет на сайт. Во-вторых, многократные попытки зайти на сайт расходуют ресурсы сервера, особенно если это делают боты.
Чтобы уменьшить вероятность подобрать пароль и снизить нагрузку на сервер, настройте ограничение неудачных попыток авторизации.
Это можно сделать с помощью специальных плагинов, например, Limit Login Attempts Reloaded или Login LockDown, или с помощью больших плагинов безопасности, в которых эта функция одна из, например, Wordfence или All In One WP Security & Firewall.
Двух-факторная авторизацация — это идентификация через логин и пароль, плюс дополнительная идентификация через смартфон или е-мейл. Для включения двойной авторизации есть бесплатные плагины, например, Google Two-Factor Authentication, Google Authenticator или Duo Two-Factor Authentication.
Или в некоторых больших плагинах, например, Wordfence.
Другая версия этой идеи — дополнительные вопросы на странице авторизации. Установите плагин WP Security Questions:
Еще одна вещь, которую вы можете сделать для усиления безопасности страницы авторизации, — установить на нее пароль.
Хотя изменение адреса страницы авторизации можно сравнить с установкой пароля, вы можете установить пароль на новую страницу авторизации (или на страницу по умолчанию).
Для этого нужно создать файл с паролями и добавить код в .htaccess.
Реклама
Простой способ выгодно купить полис
Xmlrpc.php — еще один вход в админку, но для роботов. Это API-интерфейс, который используется для доступа к сайту через мобильное приложение WordPress, для трекбэков и пингбэков и используется плагином Jetpack. Также XML-RPC используется ботами для атак с перебором логинов и паролей.
Вместо того, чтобы пытаться подобрать логин и пароль на обычной странице авторизации, где у вас может быть установлено ограничение на количество попыток входа, бот может попробовать неограниченное количество попыток через интерфейс xml-rpc.
Если вы не пользуетесь мобильным приложением, трекбеками и пингбеками или плагином Jetpack, вы можете отключить этот интерфейс. Это снизит вероятность взлома и сохранит ресурсы сервера, потому что боты делают большое количество попыток.
Если вы пользуетесь чем-то из этого, то оставьте эту функцию включенной или частично включенной, и используйте сложный логин и пароль.
Хакер может прийти на страницу восстановления пароля и запросить сброс пароля через е-мейл.
Если злоумышленник знает, на какой е-мейл адрес зарегистрирован аккаунт администратора, и вы используете слабый пароль для этого почтового ящика, то хакер может подобрать к нему пароль.
Хакер запросит сброс пароля, зайдет на ваш почтовый ящик, изменит пароль аккаунта администратора на сайте, зайдет на сайт, создаст нового администратора и удалит старого администратора.
Чтобы этого не произошло, используйте сложный пароль к вашему почтовому ящику.
На хостинге есть доступ к файлам сайта через менеджер файлов. С помощью добавления скриптов в файлы хакер может зайти на сайт. Это называется бэкдор.
Кроме доступа к файлам на хостинге есть доступ к базе данных. В базе данных хакер может изменить пароль администратора и зайти на сайт.
Используйте сложные пароли для хостинга и FTP.
В базе данных находятся аккаунты всех пользователей сайта. Если хакер попадет в базу данных, он может изменить запись администратора, или добавить новую.
В базу данных можно попасть из панели хостинга или через FTP. Для подключения к базе данных нужны данные из файла wp-config.php:
Запись define(‘DB_HOST’, ‘localhost’);
означает, что подключиться к базе данных можно только с локального сервера.
Перенесите wp-config.php на один уровень вверх и дайте ему права доступа 400 или 440, в зависимости от настроек сервера.
Используйте сложные логин и пароль для подключения к базе данных.
Вы можете изменить стандартную картинку на странице входа в админку на свою с помощью скрипта в файле functions.php.
Добавьте этот код:
Укажите путь к картинке в строке 5, начиная с корневой папки активной темы.
Замените размеры на свои в строках 6-11, или добавьте свой css.
Или используйте плагин Custom Login Page Customizer:
Если вы не можете зайти в админку, попробуйте восстановить пароль через е-мейл.
Если письмо не приходит на почтовый ящик, проверьте в папке Спам. Проблема может быть в том, что ваш почтовый сервис не пропускает письмо с подозрительного адреса.
Или в том, что сайт взломан.
Если восстановление пароля через е-мейл не работает, то попробуйте эти способы по порядку:
Для восстановления доступа вам нужно как минимум иметь доступ к сайту по FTP или через хостинг.
Зайдите на хостинг, откройте базу данных и найдите таблицу пользователей wp_users (или другой префикс). Откройте таблицу пользователей и зайдите в запись администратора.
В записи администратора измените пароль и попробуйте зайти на сайт с новым паролем:
Если этот способ не сработал, попробуйте изменить е-мейл администратора в базе данных.
В этом способе вы измените е-мейл администратора и запросите восстановление пароля на новый е-мейл на странице восстановления пароля.
Зайдите на хостинг, откройте базу данных, откройте запись администратора и измените е-мейл на новый:
Вернитесь на сайт и запросите восстановление пароля:
На новый е-мейл должно прийти сообщение со ссылкой на изменение пароля. Если сообщение не приходит, проверьте в папке Спам.
Если у вас нет доступа к базе данных, но есть доступ к файлам сайта через FTP или хостинг, вы можете попробовать добавить скрипт, который изменит пароль администратора в базе данных.
Добавьте скрипт в папку /wp-content/mu-plugins/. Скрипт сбросит текущий пароль администратора и заменит его на новый.
Еще один способ попасть в админку Вордпресс — создать нового администратора.
Если у вас нет доступа к базе данных и ни один из предыдущих способов вам не помог, попробуйте добавить скрипт в файл functions.php.
Этот скрипт создаст еще один аккаунт администратора. Вы зайдете на сайт в аккаунт нового администратора, и удалите другой аккаунт администратора.
Второй способ создать администратора без доступа к админке и базе данных — добавить скрипт в папку /wp-content/mu-plugins/
.
Зайдите на сайт и удалите старый аккаунт/ы администратора.
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Добрый день. Не могу зайти на сайт вот скрин. Помогите пожалуйста разобраться.
Здравствуйте, у меня получилось зайти на ваш сайт.
Да, по ссылке он открывается, а вот зайти на консоль, чтоб что то исправить не могу. Пишет: «Страница недоступна
Сайт proinvestic.ru выполнил переадресацию слишком много раз.»
Похоже на какое-то правило, может быть, какие-то настройки безопасности?
Попробуйте зайти на хостинг (или через FTP) в папки сайта,
и переименуйте / добавьте к имени папки вашего плагина безопасности любой символ, например 1.
Это отключит ваш плагин безопасности, и возможно вы сможете войти в админку.
Здравствуйте! Не получается войти в админка на сайте WordPress. Нужно сменить почту, но войти не получается, что делать?
Сменить пароль тоже не выйдет- к почте доступа нет, которая в профиле указана.
Здравствуйте,
Если есть доступ к хостингу, то замените почту администратора в базе данных.
Здравствуйте. Я когда — то создал сайт, но им совсем не пользуюсь. Он мне не нужен, а оплата автоматически взымается. Как мне её отключить и избавиться от этого сайта?
Спасибо.
Здравствуйте,
Вам нужно отключить автоматическую оплату. Обычно это галочка в настройках хостинга.
Либо написать хостеру в техподдержку, что хотите закрыть аккаунт, они скажут, что делать дальше.
была включена двухэтапная и все работало на ура.. в случае чего приходили СМС с подтверждением, но поменял мобильного оператора (с сохранением номера) и все.. СМС от WP.com больше не приходят.. в какой то момент почистил куки и все . .больше не могу войти на WP.com ..что делать непонятно. .все пути и даже сброс пароля ведут к подтверждению по смс, а они не приходят
Добрый день Дмитрий,
Прошу подсказать:
если изменён адрес входа /wp-login.php, надо ли для дополнительной защиты устанавливать и двухэтапную аутентификацию?
Чем больше уровней защиты вы примените, тем лучше защита.
Сложно сказать Надо ли.
С одной стороны, готовы ли вы испытывать дополнительные неудобства, делать какие-то дополнительные действия для достижения какого-то результата.
С другой стороны, квалификация взломщика тоже требует времени и усилий. Если у вас на сайте много личной информации или сайт представляет еще какой-то особенный интерес для взломщика, то стоит испытывать эти неудобства, чтобы усилить защиту.
Если сайт представляет средний интерес для хакера-хулигана, взламывающего из спортивного интереса, думаю переноса страницы и других однократных мер защиты должно быть достаточно.
Но окончательное решение, конечно, за вами.
Краткий ответ такой: лишним не будет.
Дмитрий,
согласен с Вами: Кашу маслом не испортишь!