Домены

Шпаргалки для блогера ► Шаг 21-й. Плагин wSecure Authentication. Как скрыть вход в админку блога?

Вчера мы с вами устанавливали плагин Limit Login Attempts, защитив тем самым блог от перебора паролей, метода, который используется во время брутфорс-атак. Сегодня мы еще немножко усложним жизнь хакера, мы вообще спрячем вход в административную панель нашего блога.

Пока гром не грянет...

Когда я советую блогерам убрать с сайдбара виджет «Мета», слышу один и тот же ответ — мне так удобно.

meta02Ну кто бы спорил, действительно, удобно — щелкнул по ссылке «Вход» и уже в админке. Только не учитывают почему-то такие блогеры, что этот виджет добавляет абсолютно на  каждую страницу блога пять ссылок, в том числе и открытую для индексации.

Но это не самое неприятное. Хуже, что он указывает точный URL входа в административную панель. А это уже серьезная брешь в безопасности блога.

Да ладно бы еще была какая-то необходимость выставлять этот урл на всеобщее обозрение. Допустим, гостям тоже разрешалось публиковать посты или редактировать их, а для этого они, конечно же, должны зарегистрироваться.

Нет, ссылка на админку стоит в сайдбаре только для самого админа. Он  в лучшем случае лишние уберет, но URL админки все равно оставит, так что заходите все, кому не лень.

Неужели нет других вариантов? Конечно, есть.

  • Можно сохранить такую ссылку на панели в браузере, она всегда будет у вас под носом.
  • Можно записать в блокнот или любую другую программу, которой вы постоянно пользуетесь.
  • Можно просто запомнить этот адрес, главное, понять, по какому принципу он пишется.

В Вордпрессе вход в административную панель может выглядеть так:

  • http://ВАШ ДОМЕН/wp-admin/index.php
  • http://ВАШ ДОМЕН/wp-admin/
  • http://ВАШ ДОМЕН/wp-login.php/index.php
  • http://ВАШ ДОМЕН/wp-login.php/

То есть вначале идет ваш домен+ (через слэш) wp-admin или wp-login. Даже расширение .php можно не подставлять, браузеры стали настолько умные, что сами сообразят, что вам нужно.

Но увы, тут, видно, пока гром не грянет, блогер не почешется.

Доверяй, но проверяй

Беспечность — плохо, а излишняя доверчивость еще хуже. Например, автор покупает платный шаблон, при этом, прочитав, что «для своей работы тема не требует никаких плагинов. Весь функционал встроен в тему», уверен, что и URL админки надежно спрятан от злобных хакеров и назойливых ботов.

Когда такой блогер хочет зайти в свою админку, он вводит адрес http://ДОМЕН/wp-admin/  и видит, что привычного входа в админку нет, а вместо него появляется такое сообщение:

olgushka-19712

Но ему даже не нужно переходить по ссылке, например, в браузере Yandex уже через секунду открывается обычное окно доступа в админку. Вам открылось, почему другому не откроется?

Только кто из блогеров обращает внимание на эти мелочи? Ему же написали, что «Хостингом используется достаточно надежная защита от взлома», вот он и спит спокойно, даже не догадываясь, что вход в его блог доступен еще по одному адресу - http://ДОМЕН/wp-login.php/, который хостер не посчитал нужным спрятать.

olgushka_1971

Можно ли такую защиту назвать надежной? Да, бот не сообразит, что нужно щелкнуть по ссылке, но хакеру-то это несложно, как нетрудно набрать и другой урл админки.

На хостера надейся, а сам не плошай!

Если ваш хостер не побеспокоился о вашей безопасности или, как тот же Спринтхост, сделал это только наполовину, есть смысл вспомнить классическое — «спасение утопающих — дело рук самих утопающих» и поставить плагин wSecure Authentication, который скроет вход в административную панель.

Находим его как обычно через поиск:

wSecure1

Плагин доступен во вкладке «Параметры»:

wSecure2

Теперь нужно внести изменения в настройки:

wSecure4

В строке «Разрешить» — выбираем вариант «Да». В строке «Ключ» можете вписать, какое угодно слово или сочетание букв, естественно, на латинице.

Символы и цифры использовать не рекомендуется, необходимости усложнять урл, как пароль, тоже нет. Смысл-то весь в том, что у страницы входа будет просто другой адрес и, если хакер его не знает, как он догадается, где вход?

Поэтому можно написать то, что вам проще будет запомнить. Допустим, если я переключу раскладку клавиатуры на латиницу и наберу фразу «теперь фиг зайдешь» (естественно, без пробелов), то у меня в итоге URL админки станет таким: http://ДОМЕН/wp-admin/?ntgthmabupfqltim. Мне-то такую фразу запомнить несложно, а вот хакеру придется попотеть.

И последнее изменение, которое нужно сделать, — указать, куда мы пошлем нашего взломщика. Да, согласна, что лучше всего на три веселых буквы, но в данном случае нам предлагают выбрать либо главную страницу, либо указать какую-то другую.

Например, в этом блоге я указала ссылку на «Шпаргалки для блогера» http://school.olejnikova.ru/shkola-blogera, а в тестовом вставила урл страницы, на которой у меня размещен кроссворд.

wSecure08

И теперь любой, кто в виджете «Мета» щелкнет по ссылке «Войти», будет попадать вот на эту страницу:

wSecure9

Нет, чуть позже виджет я, конечно же, уберу. Но это мы будем делать, когда займемся сайдбаром, меню, навигацией. Пока у нас задачи другие.

Допускаю, что у вас может возникнуть ситуация, что после установки плагина вы вообще не сможете зайти в админку. В тестовом-то блоге я проверила, тут все нормально, можете не беспокоиться. Но если вы начнете устанавливать плагин wSecure Authentication на свой основной хостинг, тут всякое может быть.

Дело в том, что некоторые хостеры теперь сами меняют урлы админок, и есть ли необходимость в таком случае ставить плагин? Думайте, экспериментируйте, но если все же закрыли доступ в админку сами себе, не паникуйте.

Просто зайдите через FTP на хостинг и удалите плагин wSecure Authentication, который будет находиться в директории /wp-content/plugins.

И это все?

Так может спросить дотошный блогер. Нет, есть еще один способ защитить админку. Но он подходит лишь тем, у кого статичный IP-адрес.

В этом случае можно внести изменения в файл .htaccess, разрешив вход в админпанель только себе, любимому/любимой.

Только это тоже палка о двух концах. Например, дома я все время работала на компьютере и пользовалась DSL. Когда поехала в отпуск, взяла с собой ноутбук и пользовалась интернетом сотовых операторов. Однако при первой же попытке зайти в админку собственного блога потерпела неудачу.

Но это тоже не смертельно, поскольку опять же через FTP можно зайти на хостинг и подкорректировать файл .htaccess, удалив свой IP-адрес.

Надеюсь, мне сегодня все же удалось убедить упёртых блогеров, что нужно убрать из сайдбара виджет «Мета»?

Всем остальным, прежде чем устанавливать плагин на основной блог, предлагаю сначала поэкспериментировать с ним на тестовом. Зря что ли мы его создаем?

Будут вопросы — обращайтесь.

Всем удачи и хорошего трафика!
Елена Олейникова

 

 

Словарь блогера

Анализ сайта — комплекс мероприятий, позволяющий выявить проблемные места с точки зрения поисковой оптимизации.

Блог (англ. blog, от web log) — интернет-дневник или онлайн-дневник. Основное содержимое такого веб-сайта — регулярно добавляемые записи, содержащие текст, изображения или мультимедиа.

Блогер (блоггер) — автор блога (интернет-дневника, онлайн-дневника).

WordPress — система управления содержимым сайта (CMS или движок) с открытым исходным кодом.

Школа блогера: подписаться на рассылку

Домен и хостинг для блога

Домены
 
Поделись ссылкой, добавь в закладки:

Мои комментаторы 14 комментариев

Мои комментаторы

Они уже здесь общаются, присоединяйтесь и вы! И друзей своих зовите!
  • Игорь Зорин:

    Елена, спасибо.

    Как молодой, жаждущий знаний и опыта блогер, тут же установил плагин. Но, оказалось, что хостер за меня уже подумал. Плагин не сработал, пришлось удалить.

    Хостеры лишили меня возможности самому побеспокоится о своей безопасности (((

    [Ответить]

    Елена Олейникова Ответ:

    Игорь, какими судьбами? Я-то думала, что вы про мой блог уже давно забыли 🙂

    Такой хостинг, как ваш Джино, живет по принципу «сам не гам и другому не дам», ваша админка как на ладони:

    Хостинг Джино

    Переходите лучше на Макхост, там уже побеспокоились о безопасности. А еще лучше на hosting.reg.ru, как это сделал Максим Довженко, вот к нему в админку workformation.ru точно фиг попадешь.

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Плагин Limit Login Attempts. Защищаем админку от перебора паролей. Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

  • Игорь Зорин:

    ))) Елена, то праздники, то работа... захлестнуло, вот и затихарился)))

    А Джино в моей жизни доживает последние дни. Один сайт перенес Спринтхост месяца три назад. А Свой Рубикон ... думаю, куда убрать. Спасибо за подсказки, пойду знакомиться с вашими рекомендациями

    [Ответить]

    Елена Олейникова Ответ:

    Что-то не пойму, то ли праздников у вас много, то ли работы? Год уже прошел, как последний раз виделись 🙁

    Со Спринтхостом вы явно поспешили. Зайдите к Евгению Попову, у него есть интересный проект «Хостинг-ниндзя» hosting-ninja.ru, где он сам тестирует разные хостинги. Там и выбирайте. Кстати, Макхост у него стоит на первом месте.

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Меняем стандартную учетную запись админа. Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

  • Сергей Гвоздев Дед:

    Когда я устанавливал свой блог salg36.ru на mchost.ru, то они сами автоматом предложили изменить адрес входа в админку. Я, правда вместо нескольких минут, которые они обещали затратить на такое изменение, потратил на это дело пару дней. Там у них такой замудрёный видеоурок регистрации на хостинге, что я еле миновал психушку разбираясь с их вариантами. Сегодня последний день моей жизни на mchoste.ru отмечаю как праздник. А в праздники новых плагинов не ставят. Грех, однако. Отдыхать надо.

    [Ответить]

    Елена Олейникова Ответ:

    Я что-то не понимаю ваших последних изменений на блоге. Вроде изначальная задумка другая была, что это вас в Ораниенбаум и Техас потянуло? 🙂

    Кстати, посмотрите свою карту сайта, вы там сделали разбивку постраничную, но когда проходишь на следующую, то вываливается ошибка.

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Шаблон для блога: платный или бесплатный? Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

    Сергей Гвоздев Дед Ответ:

    На блоге nature-pict- .... я публикую видео ролики и слайд-шоу из своего (и не только)видео и фото материалов. Мой сын несколько лет мотался по командировкам с фотоаппаратом и снимал достопримечательности. И когда у меня заканчиваются свежие фото и видео, я достаю из его коллекции снимки и использую их. У меня на блоге много роликов, посвященным разным городам. Это из коллекции моего сына. Сейчас мне нечего снимать. Зимы нет, красот тоже. Вот и использую «чужие» фото. С картой сайта у меня давно непорядки. На некоторые обращения приходит "неприятная новость... ". Разбираюсь, но пока безуспешно.

    [Ответить]

  • Сергей Гвоздев Дед:

    Вспотели мои мозги над расшифровкой конца этой фразы:

    "И последнее изменение, которое нужно сделать, — указать, куда мы пошлем нашего взломщика. Да, согласна, что лучше всего на три веселых буквы, но в данном случае нам предлагают выбрать либо главную страницу, либо указать свою. "

    Вот и думаю, зачем шифроваться от взломщика, если он всё равно попадёт «либо на главную страницу, либо указать свою».

    Праздник у нас кажется превращается в гражданскую войну.

    [Ответить]

    Елена Олейникова Ответ:

    Сергей, это хорошо, что вы такие вопросы задаете, я внесла изменения, надеюсь, так понятнее стало? Просто в плагине только два варианта — по умолчанию стоит главная страница, но если вас это не устраивает, вы можете вставить урл любой другой. Можете вообще сделать для таких непрошенных гостей отдельную страницу, на которой скажете все, что про них думаете, и вставить в форму урл именно этой страницы.

    Нет, все-таки хорошо уроки вести прям в блоге, а не записывать их на видеоролики или диски шлепать. Тут есть обратная связь и сразу видно, где накосячила, где не так доходчиво объяснила. Так что если есть непонятки, спрашивайте, объясню, расскажу, покажу 🙂

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Структура шаблона блога на CMS WordPress. Пошаговая инструкция создания бесплатного блога. 

    [Ответить]

  • Сергей Гвоздев Дед:

    Изменений я не нашёл. Но это моя вина. Самое главное, что я так и не понял зачем делать переадресацию для взломщика на свои страницы. Записка на двери: «Ключ под ковриком, деньги на столе».

    Но и это моя вина. Мартышка к старости слаба умишком стала.

    [Ответить]

    Елена Олейникова Ответ:

    Да нет же, Сергей, вы не понимаете смысла этой переадресации. Зашел к вам какой-то на букву «м» на страницу _http://ВАШ ДОМЕН/wp-admin/, вводит какие-то логины-пароли, он надеется попасть к вам в админку, а его все время перебрасывает на главную страницу блога с вашими публикациями или на ту страницу, где вы можете написать «Пошел на фиг, ходи мимо», понимаете? Так что тут ни коврика, ни ключа, ни денег — один облом.

    А вы в свою админку заходите по совсем другому адресу, например, _http://ВАШ ДОМЕН/wp-admin/cthuqudjpltd, который только вы и знаете. Именно такой адрес и позволяет сформировать плагин.

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    WordPress: как из блога сделать сайт? Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

  • Сергей Гвоздев Дед:

    Спасибо! Теперь, возможно, и понял.

    [Ответить]

  • Сергей Гвоздев Дед:

    Поставил я этот плагин. Только по стандартному входу вхожу в админку свободно, а по своему «секретному» — мой блог/wp-admin/мой ключ/ попадаю на главную страницу (как заказал), но там нахожу сообщение, что адрес не найден. У меня всегда всё не так, как надо.

    [Ответить]

    Елена Олейникова Ответ:

    Сергей, мы же создаем тестовый блог? Тестовый. Вот и давайте тестировать. Раз возникла проблема, ее нужно решать. Только я что-то не поняла. «Адрес не найден» — это, по-видимому, страница с ошибкой 404. Так вы куда попадаете — на главную или на эту страницу?

    Если вы все делали правильно, то проблема скорее всего в кэше браузера. Давайте для начала его очистим, а там посмотрим.

    Как чистить кэш, почитайте здесь help.yandex.ru/common/browsers-settings/browsers-cache.xml

    А вы скриншоты делать умеете? Мне было бы интересно посмотреть, что там у вас происходит 🙂

    ✔ Как блогер блогеру рекомендую вам еще один пост:

    Контент в блоге: записи и страницы. Пошаговая инструкция создания бесплатного блога на CMS WordPress. 

    [Ответить]

Есть вопросы? Задавайте!

ДОБРО ПОЖАЛОВАТЬ!

Елена Олейникова - автор Школы блогера

RSS-подписка
RSS-лента Школы блогера

Введите ваш адрес электронной почты:

ВСЁ для БЛОГЕРА

Анализ блога

Проверка Траста

Домен для блога

Регистрируй домен и зарабатывай
Наш адрес не дом и не улица...
Домен на 50 процентов дешевле
Бегет: как изменить домен?
Домен для блога

Регистратор доменов

Хостинг для блога

Фото для блога

Depositphotos

Книжная полка

CMS WordPress
ВЕК ЖИВИ — ВЕК УЧИ:
СОФТ для БЛОГЕРА

Купить The Bat

Фотошоп-онлайн
Транслитераторы
Клавиатурные тренажеры
 
софт в Allsoft.ru
поиск программ
 
СТАТИСТИКА