Protected wp-login - простейшая защита админки Wordpress
Опубликовано: 12.04.2018
Одним из вариантом взлома сайтов на WordPress есть подбор пароля к админке. Особенно это актуально для тех сайтов, где отображается логин пользователя. Очень хорошо, когда вы меняете логин (admin) по умолчанию на свой, но если в шаблоне его значение отображается, то толку от этого мало. Вы можете либо отредактировать тему сайта, либо в настройках своей учетной записи пользователя выбрать отображение имени вместо логина.
Кроме использования отличного от «admin» логина и скрытия его в макете сайта можно также установить простой плагин Protected wp-login . Он как раз таки применяется против брутфорса (подбора пароля). Модуль небольшой, устанавливается легко, поддерживает версии WP начиная с 3.3. Все, что он делает — добавляет секретный «защитный ключ» для страницы логина. Ключ этот передается как обычный GET параметр для форы логина. Ссылка на вход в систему выглядит по типу:
| http://example.com/wp-login.php?sk=my_secure_key |
http://example.com/wp-login.php?sk=my_secure_key
При этом даже, если вы указали правильный логин и пароль, но секретный ключ не определен, то в админку попасть не получится! То есть теоретически, если злоумышленник и подберет пароль, доступ к сайту ему все равно будет закрыт. При этом о попытках взлома, скорее всего, вас уже успеет предупредить ваш хостер.
Устанавливается значение защитного ключа в настройках модуля.
Для этого заходите в пункт меню «Protected wp-login» в разделе «Параметры». В целом, достаточно интересный плагин. Максимально прост в использовании, разобраться с ним может даже начинающий пользователь. Не забывайте также при этом выполнять базовые «защитные меры», о которых я говорил в самом начале статьи. Есть, в принципе, и более продвинутые плагины по защите системы вордпресс тот же Login LockDown и другие.