Вход в админку WordPress

Вход в админку WordPressАдминка WordPress — это административная часть сайта, в которой находятся все настройки сайта. По умолчанию вход в админку Вордпресс находится по адресу .../wp-login.php. Сама админка находится по адресу .../wp-admin/.

Вход в админку должен быть хорошо защищен.

Если хакер получит доступ к админке, он может делать с сайтом все, что захочет. Скорее всего, он изменит пароль администратора или создаст нового администратора и удалит старого.

Существует несколько способов попасть в админку Вордпресс:

  1. Через wp-login.php
  2. Через xmlrpc.php
  3. Через почту администратора
  4. Через хостинг
  5. Через базу данных

В этой статье вы узнаете все основные способы защиты админки Вордпресс от взлома и несколько способов зайти в админку, если восстановление пароля не работает, или если хакер захватил контроль над сайтом.

Содержание:

Часть 1. Как защитить вход в админку Вордпресс

  1. Вход в админку через wp-login.php
  2. Вход в админку через xmlrpc.php
  3. Доступ к админке через почту администратора
  4. Доступ к админке через хостинг или FTP
  5. Доступ к админке через базу данных
  6. Бонус. Как изменить картинку на странице авторизации

Часть 2. Как зайти в админку Вордпресс в случае сбоя или взлома

  1. Измените пароль администратора в базе данных
  2. Измените е-мейл администратора в базе данных
  3. Как изменить пароль администратора Вордпресс без доступа к базе данных
  4. Как создать нового администратора Вордпресс без доступа к админке и базе данных

Вход в админку через wp-login.php

У каждого зарегистрированного пользователя есть доступ к админке. Каждому пользователю при регистрации назначается роль, которая определяет, что пользователь может и не может делать. По умолчанию в Вордпрессе существует 5 ролей:

  1. Администратор
  2. Редактор
  3. Автор
  4. Участник
  5. Подписчик

Некоторые плагины добавляют новые роли, например, Yoast SEO создает роли SEO редактора и SEO менеджера, WooCommerce создает роли Клиента и Менеджера магазина. Вы можете добавить новые роли вручную или с помощью плагинов, и дать им нужные права.

У администратора есть полный доступ ко всем настройкам в меню админки. У других пользователей меньше прав на управление админкой. Подписчики имеют самые ограниченные права, у них есть доступ только к своему профилю на сайте.

Проверьте, что для роли пользователя по умолчанию установлено значение «Подписчик» в НастройкахОбщиеРоль нового пользователя.

Несмотря на то, что у подписчика минимальные права в админке, используйте сложные логины и пароли для подписчиков и всех остальных пользователей на сайте.

Используйте сложный логин и пароль

При установке Вордпресс администратору сайта дается имя admin по умолчанию.

Логин admin — первый, который пробуется хакерами при попытке подобрать логин и пароль к сайту. Хакеры используют ботов, которые автоматически обходят тысячи сайтов и используют списки популярных логинов и паролей, которые находятся в свободном доступе.

Не используйте имена admin, administrator, test, demo, домен сайта и другие. Не используйте простые / распространенные пароли qwerty, password, 12345, 1q2w3e, и так далее.

И не используйте такой же логин, как и имя пользователя, которое можно найти на Страницах или Постах в мета-тегах Автора.

Имя пользователя Вордпресс
Имя пользователя Вордпресс

Если ваш логин такой же, как имя пользователя, то хакеры уже знают половину информации для входа на сайт.

Зайдите в Пользователи — Ваш профиль. Выберите другое имя в выпадающем списке Отображать как и нажмите Обновить информацию.

Вместо Very-strong-username используйте свой логин.

В Вордпрессе есть встроенный генератор паролей. Перейдите ПользователиВаш профильУправление учетной записью.

Генератор паролей Вордпресс
Генератор паролей Вордпресс

Вы можете хранить пароли в хранителе паролей, например lastpass.com или браузере, или придумайте собственный сложный пароль, например, У меня есть собака породы пудель, который родился в 2023: UmespP,krv2023.

Отключите ошибки

По умолчанию при неудачной попытке авторизации Вордпресс показывает ошибку, в которой говорится, что именно введено неправильно, — логин или пароль.

Сообщение с ошибкой "Неверный пароль"
Логин верный, пароль неверный

Когда хакер найдет верный логин, ему останется только подобрать пароль. Чтобы не давать хакеру подсказку, измените сообщение на нейтральное, например, «Введенный вами логин или пароль неверен«.

Измените адрес страницы входа в админку Вордпресс

Чтобы усложнить задачу по подбору логина и пароля, перенесите страницу авторизации со стандартной .../wp-login.php на другую страницу, например .../entry-page.

Перед тем, как они начнут перебор паролей, им придется найти страницу, где можно это делать.

Ограничьте количество неудачных попыток авторизации

По умолчанию Вордпресс не ограничивает количество неудачных попыток авторизации, и хакер может пробовать подобрать логин и пароль неограниченное количество раз.

Это опасно, потому что есть вероятность, что хакер найдет правильный логин и пароль и зайдет на сайт. Во-вторых, многократные попытки зайти на сайт расходуют ресурсы сервера, особенно если это делают боты.

Чтобы уменьшить вероятность подобрать пароль и снизить нагрузку на сервер, настройте ограничение неудачных попыток авторизации.

Это можно сделать с помощью специальных плагинов, например, Limit Login Attempts Reloaded или Login LockDown, или с помощью больших плагинов безопасности, в которых эта функция одна из, например, Wordfence или All In One WP Security & Firewall.

Добавьте двух-факторную авторизацию или дополнительные вопросы

Двух-факторная авторизацация — это идентификация через логин и пароль, плюс дополнительная идентификация через смартфон или е-мейл. Для включения двойной авторизации есть бесплатные плагины, например, Google Two-Factor AuthenticationGoogle Authenticator или Duo Two-Factor Authentication.

Или в некоторых больших плагинах, например, Wordfence.

Другая версия этой идеи — дополнительные вопросы на странице авторизации. Установите плагин WP Security Questions:

Плагин WP Security Questions
Дополнительные вопросы на странице авторизации

Установите пароль на страницу авторизации

Еще одна вещь, которую вы можете сделать для усиления безопасности страницы авторизации, — установить на нее пароль.

Авторизация для доступа к файлу wp-login.php
Пароль для доступа к странице

Хотя изменение адреса страницы авторизации можно сравнить с установкой пароля, вы можете установить пароль на новую страницу авторизации (или на страницу по умолчанию).

Для этого нужно создать файл с паролями и добавить код в .htaccess.

Реклама

Калькулятор ОСАГО

Простой способ выгодно купить полис

Вход в админку через xmlrpc.php

Xmlrpc.php — еще один вход в админку, но для роботов. Это API-интерфейс, который используется для доступа к сайту через мобильное приложение WordPress, для трекбэков и пингбэков и используется плагином Jetpack. Также XML-RPC используется ботами для атак с перебором логинов и паролей.

Вместо того, чтобы пытаться подобрать логин и пароль на обычной странице авторизации, где у вас может быть установлено ограничение на количество попыток входа, бот может попробовать неограниченное количество попыток через интерфейс xml-rpc.

Если вы не пользуетесь мобильным приложением, трекбеками и пингбеками или плагином Jetpack, вы можете отключить этот интерфейс. Это снизит вероятность взлома и сохранит ресурсы сервера, потому что боты делают большое количество попыток.

Если вы пользуетесь чем-то из этого, то оставьте эту функцию включенной или частично включенной, и используйте сложный логин и пароль.

Доступ к админке через почту администратора

Хакер может прийти на страницу восстановления пароля и запросить сброс пароля через е-мейл.

Если злоумышленник знает, на какой е-мейл адрес зарегистрирован аккаунт администратора, и вы используете слабый пароль для этого почтового ящика, то хакер может подобрать к нему пароль.

Хакер запросит сброс пароля, зайдет на ваш почтовый ящик, изменит пароль аккаунта администратора на сайте, зайдет на сайт, создаст нового администратора и удалит старого администратора.

Чтобы этого не произошло, используйте сложный пароль к вашему почтовому ящику.

Доступ к админке через хостинг или FTP

На хостинге есть доступ к файлам сайта через менеджер файлов. С помощью добавления скриптов в файлы хакер может зайти на сайт. Это называется бэкдор.

Кроме доступа к файлам на хостинге есть доступ к базе данных. В базе данных хакер может изменить пароль администратора и зайти на сайт.

Используйте сложные пароли для хостинга и FTP.

Доступ к админке через базу данных

В базе данных находятся аккаунты всех пользователей сайта. Если хакер попадет в базу данных, он может изменить запись администратора, или добавить новую.

В базу данных можно попасть из панели хостинга или через FTP. Для подключения к базе данных нужны данные из файла wp-config.php:

Запись define(‘DB_HOST’, ‘localhost’); означает, что подключиться к базе данных можно только с локального сервера.

Перенесите wp-config.php на один уровень вверх и дайте ему права доступа 400 или 440, в зависимости от настроек сервера.

Используйте сложные логин и пароль для подключения к базе данных.

Бонус. Как изменить картинку на странице авторизации

Вы можете изменить стандартную картинку на странице входа в админку на свою с помощью скрипта в файле functions.php.

Добавьте этот код:

Укажите путь к картинке в строке 5, начиная с корневой папки активной темы.
Замените размеры на свои в строках 6-11, или добавьте свой css.

Или используйте плагин Custom Login Page Customizer:

Часть 2. Как зайти в админку Вордпресс

Если вы не можете зайти в админку, попробуйте восстановить пароль через е-мейл.

Ссылка восстановления пароля Вордпресс
Восстановите пароль администратора через е-мейл
  • Зайдите на страницу авторизации (по умолчанию ваш-сайт.ru/wp-login.php)
  • Кликните ссылку Забыли пароль?
  • Введите е-мейл адрес администратора
  • Кликните Получить новый пароль

Если письмо не приходит на почтовый ящик, проверьте в папке Спам. Проблема может быть в том, что ваш почтовый сервис не пропускает письмо с подозрительного адреса.

Или в том, что сайт взломан.

Если восстановление пароля через е-мейл не работает, то попробуйте эти способы по порядку:

  1. Измените пароль администратора в базе данных
  2. Измените е-мейл администратора в базе данных
  3. Как изменить пароль администратора Вордпресс без доступа к базе данных
  4. Как создать нового администратора Вордпресс без доступа к админке и базе данных

Для восстановления доступа вам нужно как минимум иметь доступ к сайту по FTP или через хостинг.

Курсы английского языка SkyEng

Измените пароль администратора в базе данных

Зайдите на хостинг, откройте базу данных и найдите таблицу пользователей wp_users (или другой префикс). Откройте таблицу пользователей и зайдите в запись администратора.

Таблица wp_users

В записи администратора измените пароль и попробуйте зайти на сайт с новым паролем:

Измените е-мейл администратора в базе данных

Если этот способ не сработал, попробуйте изменить е-мейл администратора в базе данных.

В этом способе вы измените е-мейл администратора и запросите восстановление пароля на новый е-мейл на странице восстановления пароля.

Зайдите на хостинг, откройте базу данных, откройте запись администратора и измените е-мейл на новый:

Измените е-мейл администратора

Вернитесь на сайт и запросите восстановление пароля:

  • Зайдите на страницу авторизации (по умолчанию ваш-сайт.ru/wp-login.php)
  • Кликните ссылку Забыли пароль?
  • Введите новый е-мейл адрес администратора
  • Кликните Получить новый пароль

На новый е-мейл должно прийти сообщение со ссылкой на изменение пароля. Если сообщение не приходит, проверьте в папке Спам.

Как изменить пароль администратора Вордпресс без доступа к базе данных

Если у вас нет доступа к базе данных, но есть доступ к файлам сайта через FTP или хостинг, вы можете попробовать добавить скрипт, который изменит пароль администратора в базе данных.

Добавьте скрипт в папку /wp-content/mu-plugins/. Скрипт сбросит текущий пароль администратора и заменит его на новый.

Еще один способ попасть в админку Вордпресс — создать нового администратора.

Как создать нового администратора Вордпресс без доступа к админке и базе данных

Если у вас нет доступа к базе данных и ни один из предыдущих способов вам не помог, попробуйте добавить скрипт в файл functions.php.

Этот скрипт создаст еще один аккаунт администратора. Вы зайдете на сайт в аккаунт нового администратора, и удалите другой аккаунт администратора.

Второй способ создать администратора без доступа к админке и базе данных — добавить скрипт в папку /wp-content/mu-plugins/.

Зайдите на сайт и удалите старый аккаунт/ы администратора.

Читайте также:

  1. Безопасность Вордпресс. Подробное описание
  2. Лучшие плагины защиты Вордпресс
  3. Как проверить безопасность Вордпресс сайта
  4. Бэкап Вордпресс. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Похожие записи

комментариев 12

  1. Добрый день. Не могу зайти на сайт вот скрин. Помогите пожалуйста разобраться.

      • Да, по ссылке он открывается, а вот зайти на консоль, чтоб что то исправить не могу. Пишет: «Страница недоступна
        Сайт proinvestic.ru выполнил переадресацию слишком много раз.»

        • Похоже на какое-то правило, может быть, какие-то настройки безопасности?
          Попробуйте зайти на хостинг (или через FTP) в папки сайта,
          и переименуйте / добавьте к имени папки вашего плагина безопасности любой символ, например 1.

          Это отключит ваш плагин безопасности, и возможно вы сможете войти в админку.

  2. Здравствуйте! Не получается войти в админка на сайте WordPress. Нужно сменить почту, но войти не получается, что делать?

    Сменить пароль тоже не выйдет- к почте доступа нет, которая в профиле указана.

    • Здравствуйте,
      Если есть доступ к хостингу, то замените почту администратора в базе данных.

  3. Здравствуйте. Я когда — то создал сайт, но им совсем не пользуюсь. Он мне не нужен, а оплата автоматически взымается. Как мне её отключить и избавиться от этого сайта?
    Спасибо.

    • Здравствуйте,
      Вам нужно отключить автоматическую оплату. Обычно это галочка в настройках хостинга.
      Либо написать хостеру в техподдержку, что хотите закрыть аккаунт, они скажут, что делать дальше.

  4. была включена двухэтапная и все работало на ура.. в случае чего приходили СМС с подтверждением, но поменял мобильного оператора (с сохранением номера) и все.. СМС от WP.com больше не приходят.. в какой то момент почистил куки и все . .больше не могу войти на WP.com ..что делать непонятно. .все пути и даже сброс пароля ведут к подтверждению по смс, а они не приходят

  5. Добрый день Дмитрий,
    Прошу подсказать:
    если изменён адрес входа /wp-login.php, надо ли для дополнительной защиты устанавливать и двухэтапную аутентификацию?

    • Чем больше уровней защиты вы примените, тем лучше защита.

      Сложно сказать Надо ли.
      С одной стороны, готовы ли вы испытывать дополнительные неудобства, делать какие-то дополнительные действия для достижения какого-то результата.
      С другой стороны, квалификация взломщика тоже требует времени и усилий. Если у вас на сайте много личной информации или сайт представляет еще какой-то особенный интерес для взломщика, то стоит испытывать эти неудобства, чтобы усилить защиту.

      Если сайт представляет средний интерес для хакера-хулигана, взламывающего из спортивного интереса, думаю переноса страницы и других однократных мер защиты должно быть достаточно.
      Но окончательное решение, конечно, за вами.

      Краткий ответ такой: лишним не будет.

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Techbear

Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.

WordPress   WooCommerce   Membership   Elementor   ACF

Ссылки

Ресурсы Elementor
Карта сайта
Поблагодарить
Отзывы
Заказать работу

Использованы картинки

Freepik

Обновления блога

Subsription - Gray Footer
Techbear