Защита и взлом админки WordPress

Защита и взлом админки WordPress
Защита и взлом админки WordPress

Взлом админки WordPress часто беспокоит пользователей. .htaccess способ блокировки не самый лучший. Ботов и спамеров очень много, прописывать замучаешься. IP-адреса будут постоянно меняться. Блокировкой нескольких IP-адресов решить проблему не получится. Как взломать админку сайта на wordpress? В сети представлено множество способов взлома.

Captcha тоже не всегда помогает — способ не самый надежный. Специализированный софт с легкостью распознаёт любые изображения, которые применяются Captcha. На сегодняшний день самое надёжное решение из капч — Google Captcha, она же reCAPTCHA. Препятствовать появление сама можно на 100%, но у посетителей сайта такое решение вызывает недовольство. Защитить админку WordPress можно специальным плагином.

Плагин Lockdown WP Admin

Плагин Lockdown WP Admin
Плагин Lockdown WP Admin

Это самый надежный и красивый способ защитить административную панель WordPress. Скачать расширение можно прямо через панель администратора WordPress — «Плагины/Добавить новый».

Даже учитывая, что обновление плагина не происходило более 1 года, это не говорит о том, что он плохо работает. Плагин надежно работает с последним релизом WordPress. Можно предположить, что в расширении отсутствует какая-либо необходимость обновлений.

Когда Вы активируете плагин, в консоли будет отображаться его название. Переходим в раздел настройки и изменяем адрес входа в админ-панель сайта. Lockdown WP Admin на английском языке, что не очень удобно, но особых сложностей работа с плагином не вызывает.

Плагин Lockdown WP Admin
Плагин Lockdown WP Admin

Если Вы хотите скрыть админ-панель от пользователей, воспользуйтесь первым пунктом настроек Hide WP Admin. В качестве страницы будет выводиться ошибка 404. Также, здесь подтверждение редактирования адреса.

Следующий параметр имеет название WordPress Login URL, позволяет внести изменения в адресную строку. Если используется кэширование страниц, то страницу необходимо добавить в исключения.

Последний блок HTTP Authentication требуется для управления процессом аутентификации. При условии, что административной панелью будет пользоваться только один человек, можно сохранить значение Disable HTTP Auth.

Каким образом взламывают WordPress?

Давайте рассмотрим наиболее частные способы взлома сайтов под управлением CMS WordPress. В соответствии с имеющимися статистическим данными WP Template, чаще всего взлом осуществляется следующим образом:

41% взлом происходит из-за проблем с защитой хостинга
29% — в связи с плохой защитой шаблонов и просто дырявых тем
22% — взломов происходит по причине уязвимостей в плагинах
8% — администратор сайта на WordPres устанавливает ненадежный пароль

Если обратите внимание, проблема с хостингом стоит на первом месте с явным перевесом. Не исключено, что Ваш сайт подвергнется взлому просто потому, что он делили хостинг пространство с другим популярным проектом.

Не меньшее беспокойство вызывает тот факт, что более половины взломов приходится на шаблоны и плагины.

Обновляйте постоянно ядро WordPress

Ясное дело, что обновления для WordPress выпускают так часто не ради новых функций, а по причине брешей в защите. Устаревшие версии содержат в себе множество нежелательных уязвимостей, включая проблемы защиты админ-панели. Добавив код ниже, Вы сможете обновлять систему в автоматическом режиме.

define( ‘WP_AUTO_UPDATE_CORE’, true );

Скрываем отображение версии системы WordPress. Очень серьезной уязвимостью системы является отображение данных о версии CMS. Для запрета на отображение используем код ниже:

remove_action(‘wp_head’, ‘wp_generator’);

Добавляем этот небольшой код в function.php.