Wordpress защита админки

Продолжаем разбирать тему безопасности сайтов. В этот раз коснёмся безопасности самой популярной ЦМС в мире.

Самый основной путь взлома любого сайта- это брутфорс админки. В первую очередь пытаются подобрать пароль к самым распространённым логинам: admin, Admin, administrator итд. Значит, первое что нужно сделать - избавиться от подобного логина.

Открываем админку сайта и заходим в меню пользователей. Открываем пользователя admin и создаём ему ник. Ниже, в выпадающей менюшке "Отображать как" выбираем созданный ник. Теперь во всех созданных страницах будет указываться не реальный логин, а псевдоним.

Далее, если Вы уже оставляли комментарии под администратором, нам придётся изменить имя во всех комментариях. Если комментариев не много, то можно в каждом вручную изменить имя через админку wordpress. Если же комментариев большое количество, это займёт очень много времени. Процесс можно ускорить. С помощью phpmyadmin, откройте свою базу данных, сделайте резервную копию. Далее откройте редактор sql запросов и выполните следующий запрос:

UPDATE wp_comments set comment_author = 'new_name' WHERE comment_author = 'old_name';

Где new_name - новый ник администратора, а old_name старое имя пользователя в комментариях.

Далее, нам нужно сменить логин администратора wordpress, с помощью которого происходит авторизация на сайте. Тут же в phpmyadmin, откройте таблицу wp_users и посмотрите id Вашего пользователя, затем выполните следующий запрос:

UPDATE wp_users SET user_login = 'new_login' WHERE ID = user_id;

new_login - Новый логин для администратора сайта, придумайте что-нибудь неожиданное, чтобы злоумышленникам было сложнее угадать, например: IlovePonny.

user_id - id пользователя. Для администратора, который создаётся при установке wordpress id всегда = 1

Следующий шаг в большинстве ЦМС - изменение адреса админки. Например в Opencart можно сменить адрес с mySite.ru/admin на mySite.ru/myMegoAdmin, после чего ботам в принципе не будет известен адрес админки. К сожалению, в wordpress его изменить нельзя. Адреc /wp-admin/ захардкоден во множестве функций и его изменение поломает wordpress.

Ещё существует замечательный модуль- "iThemes Security". Ставим его, заходим в его настройки и активируем следующие опции:

• "Enable local brute force protection"
• "Disable PHP in Uploads"
• "Disable login error messages"
• "Disables a user's author page if their post count is 0"
• "Enable Scheduled Database Backups"
• "Enable Email Lockout Notifications"
• "Enable Blacklist Repeat Offender"
• "Allow iThemes Security to write to wp-config.php and .htaccess"

Также iThemes Security предлагает скрыть backend в разделе "Hide Login Area". Эта опция полностью бесполезна и скрывает точку авторизации только от живого пользователя, который пытается зайти на страницу /wp-login.php. Роботам эта страница не нужна, они могут отсылать post запросы минуя её.

После этого нам остаётся только своевременно устанавливать обновления и наш вордпресс будет жить долго и счастливо!

Update из 2019

iThemes Security скурвился и вырезал кучу функционала из бесплатной версии. Более того, фича с переименованием путя до админки перестала быть доступна, и теперь вернуть всё в зад можно только при помощи молотка, зубила и какой-то матери.