• Главная
  •  > 
  • Microsoft Office
  •  > 
  • Сделать скрытую страницу в wordpress. Как скрыть свою страницу входа в WordPress от хакеров и ботов

Сделать скрытую страницу в wordpress. Как скрыть свою страницу входа в WordPress от хакеров и ботов

Начиная с сегодняшней статьи, я решил опубликовать на своем блоге сайт целый ряд статей, которые будут нацелены на то, чтобы помочь каждому владельцу сайта на WordPress, без чьей-либо посторонней помощи, а значит, совершенно бесплатно, практически максимально защитить свой сайт от взлома.

Что касается сегодняшний статьи, то в ней, пойдет речь о том, как скрыть логин администратора/админа сайта на WordPress.

Наверняка, многим будет интересно знать, зачем это вообще нужно делать? Поэтому, для начала дам ответ именно на этот вопрос, ну а потом уже, наглядно объясню, как это все дело реализовать.

Как всем известно, при публикации статей от имени администратора, ну или хотя бы, при написании ответов на комментарии, рядом с датой публикации статьи или комментария отображается логин автора. Это значит, что узнать логин администратора потенциальному взломщику в принципе не составляет особого труда. Следовательно, зная логин, он без каких-либо проблем может начать подбор пароля к вашей админке, что, собственно, не есть хорошо.

Да, несомненно, при установке движка WordPress, стандартное имя администратора, которым является — «admin», можно при желании изменить на любое, какое только душе будет угодно, что собственно многие и советуют делать для повышения безопасности. Однако, данная хитрость не позволяет полностью скрыть отображение логина админа. Причем, даже в том случае, если вы при помощи подручных средств (т.е. стандартной возможности, которая имеется в админке вордпресса), измените отображаемое имя автора при публикации статей и написании комментариев.

Кто не знает, делается это непосредственно в самой админке, а именно, в меню «Пользователи » — «Ваш профиль ». Там в графе «Отображать как » можно задать, какой именно логин (Имя+Фамилия, Ник или просто Имя или Фамилия), вместо имени пользователя, т.е. логина, который используется для входа в админку, будет отображаться в ваших публикациях и комментариях:


Многие еще советуют, для повышения безопасности, вовсе убрать вывод авторов в WordPress. Делается это при помощи правки кода в соответствующих файлах темы. Но это все равно не выход из ситуации, потому как даже если вы и уберете вывод авторов, т.е. они будут не видны, ни для кого, реальный логин админа, да и других пользователей (если они есть) тоже, все равно можно будет узнать, причем очень и очень просто.

Все дело в том, что в движке WordPress имеется так сказать не совсем полезная фишка, которая позволяет при вводе в адресной строке браузера следующего адреса — «http://vash-site.ru/?author=1 », увидеть все статьи того или иного автора на блоге, причем с отображением его реального логина, а не подмененного.

Плюс ко всему, если у вас на блоге статьи публикуются не одним автором, то меняя цифру 1 в конце адреса, на любую другую (2,3,4 и т.д.), т.е. методом перебора, можно запросто узнать и их реальные логины.

Можете удостовериться в этом, а заодно и проверить свой блог на данный недочет, добавив к своему домену (типа http://vash-site.com) вот такой вот кусок адреса «/?author=1 ». Если вы увидите в результате, что адрес изменился на следующий «http://vash-site.ru/author/ваш реальный логин », то знайте, вам стоит задумать о немедленном скрытии своего логина. Собственно, как это сделать, я далее и расскажу.

Как скрыть логин администратора/админа в WordPress?

Итак, для того чтобы стопроцентно убрать возможность узнать логин администратора в WordPress, вам нужно проделать следующее:

Найти в корне своего сайта файл «.htaccess » и отредактировать его, добавив в него перед строчкой «# END WordPress » следующие строчки кода:

RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=(*) RewriteRule ^(.*)$ http://vash-site.ru/? Redirect 301 /author http://vash-site.ru

Перед редактированием, советую, на всякий случай сделать резервную копию данного файла. Ну, мало ли, вдруг, что-то не так сделаете, а так, будет возможность восстановиться.

При этом, вот этот адрес в коде — «http://vash-site.ru », вам нужно будет заменить на адрес главной страницы своего блога, хотя, если хотите, можете указать и любую другую его действующую страницу.

После введения этого кода и сохранения введенных данных, теперь при попытке узнать ваш логин, всех, кто это будет делать, выше приведенным способом, будет перебрасывать на главную страницу вашего блога, ну или на ту, которую вы укажите. Не верится? А вы проверьте, уверен, будете приятно удивлены.

Вот собственно и все, как видите, ничего сложного в скрытии логина админа в WordPress вот таким вот простым способом нет.

Ну, а для более надежной защиты своего WordPress блога от взлома, советую, вам на него установить еще и .

На этом у меня сегодня все. Но напоследок, хотелось бы отметить еще вот что. Многие почему-то думают, что пока у них ресурс еще молодой, то взламывать их никто не будет. Поверьте, это совсем не так, всегда найдется тот, кому будет интересен и полезен ваш блог. Поэтому, старайтесь сразу установить на него соответствующую защиту, и не откладывайте это дело на потом, потому что потом, может быть уже поздно.

Всем привет! В статье о массовых брутфорс атаках, которые стали особенно активны в начале этого лета, я описал несколько простых от взлома. В одном из пунктов упоминался плагин wSecure Authentication , который позволяет сменить адрес админки WordPress и усложнить задачу для взломщиков. Сегодня решил написать о нем подробнее, тем более что Brute Force атаки продолжаются.

Как зайти в админку WordPress?

Многие начинающие блоггеры (и не только), чтобы не забыть адрес панели администратора устанавливают в сайдбаре виджет “Мета ” с прямой ссылкой “Вход “. Запомните раз и навсегда – этот виджет не нужен на блоге, если вы не используете систему регистрации пользователей. Чтобы попасть в админку WordPress достаточно перейти по ссылке ваш-сайт.ru/wp-login.php или ваш-сайт.ru/wp-admin .

Надеюсь, все это прекрасно знают? Во всяком случае, хакеры уж точно знают и используют эти адреса для взлома админки Вордпресс. Поэтому не надо им помогать, лишний раз показывая где “Вход “. Будет лучше спрятать админку, изменив стандартные ссылки.

Как скрыть админку WordPress с помощью плагина wSecure Authentication

Для решения этой задачи существует несколько способов. Например, с помощью скрипта, как это реализовано на хостинге Макхост, или некоторых сложных плагинов, типа Better WP Security . Но я покажу самый простой способ, который не вызовет ни у кого сложностей.

Для этого установим плагин wSecure Authentication , единственной задачей которого является скрыть страницы /wp-admin и /wp-login.php и ограничить доступ в админку посторонним. Взамен мы создадим свой уникальный URL для входа в панель администратора блога WordPress.

Переходим в меню “Настройки ” – “wSecure Configuration “. Настраиваем плагин, заполнив три строчки:

  • 1. Enable (Включить) – включаем плагин и ставим “Да”.
  • 2. Ключ – вводим секретный ключ. Можно использовать английские буквы в разном регистре и цифры. Например, если выбрать wpMgSkz , то адрес админки WordPress будет выглядеть так: /wp-admin/?wpMgSkz . Обязательно перед ключом ставить знак вопроса.
  • 3. Redirect Options (Опции перенаправления) – указываем, куда будет перенаправлен пользователь, если он введет стандартный URL входа.

По умолчанию в “Redirect Options ” стоит редирект на главную страницу, но можно задать “Пользовательский путь “. Для этого выбираем в выпадающем списке “Custom Path ” и вписываем любой адрес или оставляем тот, который прописан в плагине. В этом случае все будут видеть такую страницу:

Можно вообще перенаправить взломщика на специально созданную страницу и написать ему там пару ласковых слов:-).

Чтобы проверить работу плагина зайдите на блог с другого браузера или почистите cookie. А то бывает, что сначала админпанель блога открывается и по новому, и по старому адресу.

Вот так просто можно изменить адрес админки WordPress, спрятав стандартный URL. Если вдобавок к этому выбрать сложный пароль, не использовать логин “admin” и установить плагин блокировки IP при подборе пароля, то это практически обезопасит ваш блог от взлома путем перебора паролей.

Что делать, если невозможно зайти в админку?

Если по каким-то причинам, после установки плагина wSecure Authentication у вас не получается попасть в админпанель блога, то не стоит паниковать. Лично у меня проблем с этим не возникало, но была похожая ситуация.

Дело в том, что некоторые хостинги, например, Макхост и Спринтхост, заботясь о безопасности сайтов своих клиентов, сами сменили стандартные адреса и предоставили альтернативные ссылки для входа в админку Вордпресс. У меня уже был установлен плагин, и по этим ссылкам меня перебрасывало на несуществующую страницу. Что делать?

Вы наверняка уже знаете как можно попасть в админку WordPress?

Сделать это можно как минимум четырьмя способами, добавив к адресу вашего сайта следующее:

  1. /admin, т.е. так: http://вашсайт/admin
  2. /wp-admin
  3. /login
  4. /wp-login.php

В общем-то, все три первых варианта редиректом (перенаправлением) приведут вас всё равно на страницу: http://ваш_сайт/wp-login.php

Получается, что любой желающий сможет добавить к адресу Вашего сайта любую из четырёх выше описанных приставок и увидит вход админку:

Конечно же, это совсем не значит что этот любой желающий сможет также легко попасть в админку, ведь ему нужно еще знать Имя пользователя или Ваш e-mail и Ваш пароль.

Если Ваш пользователь-администратор имеет логин: – то это совсем не осмотрительно с Вашей стороны и злоумышленнику останется только угадать или подобрать Ваш пароль.

Кроме того, вы увидели надпись: Имя пользователя или e-mail ? Да, да, именно e-mail WordPress может использовать как Имя пользователя. А Вы ведь могли где-нибудь на сайте указать E-mail адрес, который совпадает с E-mail пользователя-администратора. Получается первое, что может попробовать злоумышленник – это ввести Ваш E-mail и тут WordPress ему снова поможет, ведь если E-mail не подходит он увидит такое сообщение:

а если E-mail правильный, WordPress-напишет что пароль для него не верный:

В итоге, мы имеем ситуацию при которой потенциальному злоумышленнику для взлома Вашего сайта (доступа в админку) нужно будет только угадать или подобрать Ваш пароль.

Как же защитить вход в админку от потенциальной угрозы? Ответ прост – постараться увеличить количество неизвестных, необходимых для входа.

А теперь давайте подробнее:

  1. По возможности, сделайте так чтобы E-mail пользователя-администратора на сайте нигде не упоминался – публичный E-mail должен быть каким-нибудь другим.
  2. Ваш пароль должен быть не простым, при установке WordPress сам генерирует для вас сложный пароль, если не хотите его использовать придумайте какой-нибудь более менее сложный пароль, включающий в себя маленькие и большие символы, цифры и какие-нибудь символы типа -, ?, _ и т.д.
  3. Имя Вашего пользователя тоже не должно быть простым, никаких: admin, manager, root, administrator, user и прочих простейших слов!
  4. И наконец, нужно ввести третью самую главную неизвестную – поменять URL-адрес входа в админку, для этого установите простой плагин: WPS Hide Login
WPS Hide Login

Простой, бесплатный и довольно популярный плагин, позволяющий изменить URL-адрес входа в админку.

После установки и активации плагина, вам нужно перейти в раздел админки: Настройки / Общие , далее прокрутить страницу до самого низа и увидеть всего один параметр добавляемый этим плагином:

По умолчанию плагин предлагает использовать вход http://вашсайт/login – но это отнюдь не самый лучший вариант! Придумайте что-нибудь своё, например: yyy12_go )))

После изменения этого параметра не забудьте нажать на кнопку Сохранить изменения – иначе при активном плагине у вас будет вход через http://вашсайт/login

Обязательно попробуйте выйти и снова зайти в админку, но уже по новому адресу входа, который вы сами придумали и главное не забудьте его!

После изменения точки входа в админку, при попытке зайти по стандартным URL-адресам пользователь будет получать 404 страницу ошибки.

Внимание! Если вдруг Вы забудете новый адрес входа в админку, вам нужно будет отключить данный плагин. Сделать это можно не попадая в админку при наличии доступа к папкам и файлам сайта. Нужно просто переименовать или удалить папку плагина wps-hide-login, которая будет в папке plugins (папка plugins находится в папке wp-content).

В итоге: после применения всех выше перечисленных мер мы должны получить защиту входа в админку с тремя неизвестными: E-mail / Имя пользователя, сложный пароль и свой уникальный URL-адрес входа – а это может значительно усложнить потуги юных хакеров)

Иногда бывают ситуации, когда нужно на сайте с Вордпресс скрыть страницы или записи: временно / навсегда / от незарегистрированных юзеров и т.п. Рассмотрим несколько вариантов как это можно сделать. Плюс заодно расскажу об одном простом интересном плагине WP Hide Post.

Ранее в блоге у меня уже была заметка о том как , но сегодня речь пойдет о фронтенде, то есть о видимости тех или иных элементов для посетителей вашего веб-проекта. Кстати, если требуется спрятать виджеты в определенных местах сайта, посмотрите модуль .

Все необходимые нам настройки находятся в блоке «Опубликовать» (Publish), который обычно располагается справа от текстового редактора. Здесь есть параметры «Видимость» и «Статус».

Чтобы поменять какую-то опцию кликаете по ссылке «Изменить» и выбираете новое значение. После нужно обязательно сохранить эти правки. Разберется даже абсолютный .

Полностью скрываем записи и WordPress страницы

Данный подход позволяет:

  • спрятать публикации от всех посетителей веб-ресурса: независимо от того залогинены они или нет, никто не сможет увидеть тексты (разумеется, кроме админа и ее автора).
  • убрать заметки из архивов и общего списка постов блога.

Для этого в параметре «Статус» выбираем вариант «Черновик» и жмем «Обновить».

Соответствующая статья будет переведена в черновой вариант, и надписи в блоке слегка изменятся. Просматривать содержимое сможет только залогиненый админ или тот, кто создавал данную публикацию. Чтобы вернуть ее обратно на сайт надо будет кликнуть «Опубликовать».

Также для скрытия страниц в Вордпресс допускается :

Отмечаете несколько заметок, и устанавливайте им выбранный статус одновременно. Здесь же над списком статей увидите ссылку «Черновики», позволяющую отобразить их все сразу.

Страницы / посты для зарегистрированных пользователей, по паролю

Теперь попробуем скрыть записи в WordPress от всех, кто не залогинен на сайте. То есть чтобы увидеть приватные тексты люди должны войти под своим логином/паролем. В противном случае по ссылке им будет выводиться 404 ошибка. Разумеется, ограничение не распространяется на администратора. Для реализации задачи в параметре «Видимость» выбираете пункт «Личное».

Если же хотите установить специальный пароль для прочтения статьи, кликаете по варианту «Защищено паролем» и вводите определенное значение. После этого на сайте посетителю нужно будет ввести пароль чтобы получить доступ к содержимому. Не забудьте нажать кнопку «Обновить» после задания настроек.

Кстати, вариант выше — не единственный способ показать определенным пользователям скрытую информацию. Есть еще плагин — он генерирует временную ссылку, по которой любой человек сможет увидеть его содержимое (если знает URL).

Как скрыть страницу в WordPress меню

Иногда в проекте требуется убрать ту или иную ссылку из меню, но чтобы она при этом была доступна по прямому адресу (черновики не подходят). Задача возникает в тех шаблонах, где настроен автоматический вывод всех ваших новых страниц.

В данном случае вопрос решается через , где вручную добавляете нужные пункты.

Редактирование навигации производится в разделе «Внешний вид» — «Меню». Затем сохраняете ее. Для отображения на сайте используйте соответствующий виджет или функцию .

WP Hide Post — дополнительные опции видимости в WordPress

Модуль внедряет парочку интересных фишек, позволяющих скрывать статьи и WordPress страницы в тех или иных ситуациях. По умолчанию система сразу добавляет все записи блога на главную или архивы, но иногда хочется этого избежать, а оставить их доступными лишь по прямой ссылке. В таких случаях и пригодится WP Hide Post — он позволяет реализовать задачу через админку.

Важно! После установки WP Hide Post надо перейти в его настройки и во вкладке General определить типы публикаций, для которых будут актуальны новые функции видимости.

Плагин обновлялся полгода назад (рассматриваю версию 2.0.10) и, если честно, некоторые из последних комментариев говорят об определенных проблемах (хотя не всегда это правда). Число в 50к активных загрузок и оценка 4,5 свидетельствует о том, что все весьма неплохо, хотя здесь имеются 4 нерешенных бага. Тестировался модуль до версии WP 4.8.5.

Вы можете скрыть записи в WordPress на/в:

  • главной;
  • страницах категорий/тегов;
  • архивах по датам, авторам;
  • результатах поиска (есть еще модуль );
  • RSS фидах;
  • классическом видежете последний постов.

Также при желании допускается удаление линка на предыдущие/следующие публикации в head вашего HTML кода. Все настройки задаются для конкретной заметки. Также важно, что при этом прямая ссылка будет работать + она корректно отображается в , например, Google XML Sitemaps и других.

Для скрытия страниц в Вордпресс опций чуть меньше:

Их можно убрать:

  • с главной;
  • из любой навигации;
  • из всех списков/элементов, но оставить в результатах поиска.

При этом в sitemaps.xml они также сохраняются.

Таким образом, плагин WP Hide Post позволяет добавлять на сайте «специфический» и SEO контент, который не выводится на главной, архивах, в меню, но остается доступным по прямым ссылкам. Отдаленно по назначению он смахивает на решения для — Exclude categories и Ultimate Category Excluder.

Если у вас остались вопросы по скрытию страниц в WordPress или есть что рассказать, пишите ниже.

На самом деле на сегодняшний день существует большое количество причин, по которым вам стоит закрыть от лишних глаз страницу авторизации сайта на движке WordPress. Одной из самых главных и весомых причин станет то, что закрыв от любого желающего страницу авторизации, вы сможете защитить свой сайт от несанкционированного доступа – взлома.

Ведь сегодня в интернете очень много мошенников, которые с помощью специальных программ методом перебора паролей или поиска уязвимостей смогут получить доступ к вашему аккаунту администратора. Конечно, от эксперта по взлому сайтов на WordPress вы не сможете с полной уверенностью на 100% защититься, но это поможет вам сберечь свои нервы от дилетантов-любителей.

Также, некоторые прибегают к методу проверки вашего сайта, автоматически вписывая после URL адреса строку /wp-admin, и если злоумышленнику это удастся сделать – то он будет точно знать куда «копать» и на какие уязвимости вашей CMS стоит обращать большее внимание.

Такие программы мошенники частенько используют для того, чтобы, например, узнать сведения о версии установленной на ваш сайт системы WordPress или любой другой CMS, так как в более старых сборках присутствуют конкретные ошибки и уязвимости, с помощью которых злоумышленнику возможно будет произвести взлом не только вашей информации для входа в панель администрирования сайтом, но и для более глубоко и детального доступа.

Например, мошенник сможет наполнить ваш сайт вирусами или своей навязчивой рекламой, а может и вовсе скопировать себе конфиденциальные данные о ваших клиентах, завладеть базой данных с заказами, почтами зарегистрировавшихся, узнать их логин и пароль.

Установим плагины, повышающие безопасность сайтов, сразу же после загрузки движка на хостинг https://s-host.com.ua . В первую очередь мы изменим спрячем страницу входа в админку веб-портала, изменив стандартный путь к ней (домен/wp-admin).

Установка плагина

Для того, чтобы задать странице новый адрес, мы будем использовать WPS Hide Login - простой, но при этом весьма функциональный плагин. Его преимущество заключается в отсутствие дополнительных настроек.

По сути, вам нужно только перейти на страницу “Консоль”/”Плагины”/”Добавить новый”, а затем воспользоваться поиском. Найдите WPS Hide Login, чтобы установить и активировать его.

Изменение страницы входа в админку WordPress

После установки и активации плагина он появится в списке всех расширений на странице “Консоль”/”Плагины” (обратите внимание на то, что в общем меню плагин не выводится).
Теперь кликните на кнопку Settings под плагином:

Оказавшись на странице “Настройки”/”Общие” вам остается найти блок WPS Hide Login и внести корректировки.

Так, в Login url представлено два поля: первое статичное - ваш домен (изменить нельзя), второе - поле для заполнения (по умолчанию предлагается вариант login).
Впишите желаемый адрес админки и сохраните изменения:

Теперь, если вы перейдете по адресу ваш-сайт/wp-admin, то ничего, кроме уведомления об ошибке не увидите: