Страница логина WordPress является одной из самых уязвимых частей Вашего веб-сайта. Конечно же, злоумышленники прекрасно знают об этом. Поэтому важной задачей любого владельца сайта является максимальная защита страницы логина.
В сети существует множество способов для решения данной задачи – разных по сложности и времени исполнения. Однако в данной статье мы поговорим о защите страницы логина WordPress с помощью плагинов.
Для чего нужно защищать страницу входа WordPresss?
На страницу входа можно попасть двумя способами:
- Введите wp-login.php в адресную строку браузера;
- Перейдите по ссылке http://yoursite.dev/wp-admin/
В случае если мы не авторизованы, откроется форма авторизации.
Проблема в том, что эти адреса (ссылки) известны всем, включая хакеров, создающих специальных роботов, которые стараются обойти защиту сайта, определить движок сайта и подобрать подходящий логин на страницах wp-login. и wp-admin.
Для чего хакеры и боты атакуют вашу страницу входа?
После попадания на страницу авторизации, роботы пытаются подобрать подходящую пару логин-пароль: ставят галочку «Запомнить меня», кнопку «Войти» и начинают перебирать различные пароли.
А теперь представьте себе, какая нагрузка на сайт создается при каждом таком подборе пароля и нажатия кнопки «Войти»! Обычные пользователи могут испытывать трудности при работе с сайтом, а причиной того служат роботы, перебирающие пароли. Это называется «брутфорс атака» или «атака перебора паролей».
Самый простой способ защититься от брутфорс атак – это создать уникальный адрес вашей страницы входа, то есть не wp-login, и wp-admin, а какой-то свой. Причем важно, чтобы при открытии стандартных адресов авторизации выскакивала «страница 404». Тогда бот, при попадании на такую страницу, видит «Ошибку 404» и уходит с сайта. Очень хитрый и простой способ!
Как защитить страницу входа в WordPress с помощью плагина Clearfy
Для защиты страницы логина мы будем использовать один из наших бесплатных плагинов. Первый – это плагин Clearfy со встроенной функцией защиты страницы входа WordPress. Помимо этого, в плагине присутствует множество функций для защиты, оптимизации (в том числе и SEO) и ускорения.
Защита директории wp-admin
Скачайте бесплатный плагин Clearfy, установите и активируйте его. После установки, перейдите в “Настройки” => “Clearfy меню” => “Защита”. Прокрутите страницу вниз, и найдите фразу: «Защитите вашу страницу логина». При наведении курсором на данную фразу, Вы увидите дополнительную подсказку с описанием каждой опции.
Чтобы запретить доступ к директории wp-admin, достаточно включить опцию «Скрыть wp-admin» и сохранить настройки. Теперь, если попытаться войти на wp-admin, мы видим ошибку «404» – страница не существует.
Теперь каждый раз, когда вы открываете страницу wp-admin, вы получаете сообщение «404 error» – страница не существует.
Защита страницы wp-login.php
Прежде чем скрывать страницу логина, нужно придумать новый адрес страницы. Если Вы включите опцию “Скрыть страницу логина” и оставите данное поле “Новый адрес” пустым, то страница авторизации будет по-прежнему доступна по следующему адресу:
Только тогда, когда Вы зададите новый адрес входа, эта опция начнет полноценно работать и будет открывать страницу логина по новому адресу.
Давайте зададим новый адрес и посмотрим, как это выглядит. К примеру, мы ввели новый адрес и сохранили настройки. Мы видим, что адрес страницы логина теперь следующий:
IMPORTANT: Обязательно сохраните себе новый адрес страницы авторизации и ссылку для восстановления!
После изменения страницы логина на Ваш адрес электронной почты придет письмо от Clearfy со ссылкой на новую страницу логина и резервную ссылку для восстановления. Это письмо стоит сохранить на случай непредвиденных обстоятельств.
Теперь проверим, как все работает.
- Набираем в адресной строке http://yoursite.dev/wp-admin, пробуем авторизоваться и видим «Ошибку 404»;
- Теперь введите ваш новый адрес страницы входа и перейдите на нее;
- Страница входа открылась, все отлично!
Типы возвращаемых ошибок доступа
По умолчанию, если вы запрашиваете скрытую страницу логина, вы будете перенаправлены на страницу 404, но в некоторых случаях (зависит от вашей темы), вам может понадобится изменить тип ошибки например на 403 (доступ запрещен) или перенаправить пользователя на произвольную страницу.
Чтобы изменить тип возвращаемых ошибок, установите переключатель для опции “Тип ошибки доступа”, на необходимый для вас тип ошибки. В нашем примере мы выбрали опцию “Перенаправить на”:
Сохраним настройки и попробуем получить доступ к скрытой странице входа. Теперь при попытке открыть скрытую страницу, плагин будет перенаправлять нас на страницу http://test.dev/hi-bot
Еще один тип ошибки, который стоит рассмотреть, это “Forbidden 403 (доступ запрещен)”. Это серверная ошибка, обозначающая, что доступ к ресурсу или отдельной его части запрещен конфигурацией веб-сервера. В нашем случае ее стоит использовать, если другие типы ошибок для вас не работают или не подходят.
Если мы установим тип возвращаемой ошибки “Forbidden 403 (доступ запрещен)” и попробуем запросить скрытую страницу входа, то получим следующий результат:
Защита страницы логина WordPress с помощью плагина Hide Login Page
Eсли Вам не нужен весь функционал Clearfy, то Вы можете установить другой наш плагин Hide Login Page:
Единственная его функция – защита страницы входа.
Заключение
В данной статье мы рассказали, почему так важно защищать страницу логина, а также рассмотрели возможности наших плагинов для решения задачи.
Исходя из поставленных целей, Вы можете выбрать, какой именно плагин Вам больше подходит – Clearfy или Hide My Login.
Помните, что своевременная и надежная защита Вашего сайта сохранит Вам массу времени и финансовых ресурсов.