Есть такой плагин Clearfy Pro, который я использую для оптимизации сайта, но он не полностью справляется с одной из своих задач, а именно в функционале данного плагина заявлено, что он полностью прячет wp-login.php от злоумышленников. Да, стандартный доступ админа https://domen/wp-admin он скрывает, путем изменения ее адреса на пользовательский, НО! новый адрес может спокойно узнать любой пользователь в двух случаях: авторизация через социальные сети (RCL WP Social Login) или при восстановлении пароля (при переходе по высланной на почту ссылке)! В обоих случаях высвечивается замененный от чужих глаз новый адрес админки). Возможно ли каким-либо образом решить данные проблемы? Иначе не вижу смысла использовать функцию замены адреса пути админки. Второй случай решается при помощи использования дополнения RCL-CPR - RCL, за что спасибо Preci. А вот с RCL WP Social Login не могу решить данную проблему. Возможно есть и другие уязвимые места о которых я не знаю. Что вы думаете?
Безопасность доступа к wp-login.php
Комментариев (9)
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.
А что страшного в том, что будет известен путь ко форме входа в админку? Какова цель? Скрыть информацию о том, что используется WP? Через консоль браузера можно узнать, что используется вордпресс (по названию шаблона, по расположению стилевых файлов или скриптов, по комментарием в коде, и пр.).
Профи будут вредить через уязвимости в плагинах, темах и самом WP. И тут никакие свистелки-перделки вроде Clearfy не помогут.
Поставьте какой-нибудь плагин от брутфорса и будет счастье. Защита от брутфорса должна быть по-любому, хотя бы потому, что он создает нагрузку на ресурсы хостинга.
Или еще у Владимира есть оч. крутой доп, меняющий логин пользователя на кастомный.
Вот, посмотрите как меня бомбят:
https://prnt.sc/w8ae7r
Кстати, у меня адрес у страницы с админкой тоже изменен 😉
Да, еще поменяйте id пользователя админа. Скорее всего он у вас будет =1. Измените на что-нибудь не тривиальное
- Pretty URL Author Взят на заметку уже давно)также есть Kill wp-login & Fix Login. Спасибо.
Для того, чтобы скрыть страницу логина и админку WordPress, я использую плагин Hide Login Page https://ru.wordpress.org/plugins/hide-login-page/ Может быть он и для Ваших задач подойдёт?
Спасибо) Clearfy Pro аналог Hide Login Page как я понял) оставлю его и возьму Pretty URL Author + RCL-CPR - RCL + что-нибудь для защиты от брутфорса
Знакомая ситуация, даже более плачевная, крупный проект постоянно страдал от ботов которые сливали с него информацию даже не регистрируясь, десятки тысяч потоков ложили все нафиг. Пробовал различные решения, пришлось свое написать.
Смысл охотится на ботов, отлавливает Selenium и прочее, и посылает их или на страницу сайта пусть доказывают что они не боты или куда по дальше на другой сайт )))
Есть база опасных IP, с обновлениями каждые 6 часов, база проксиков, все TOR и прочая нечесть.
В планах было его опубликовать на площадке, но хотел еще статистику прикрутить, пока руки не дошли. Если есть необходимость то могу доделать и выложить в ближайшее время.
Было бы хорошо! Буду ждать поподробнее в описании вашего допа)
О, было бы супер! Боты тоже житья-покоя не дают.
Первое что нужно сделать после создания сайта - напихать в него кучу плагинов защиты, ведь именно на ваш контент нацелятся все недоброжелатели сети.
Но со временем станет понятно, что защищаться от парсинга - пустая трата времени. Если кто-то действительно захочет парсить ваш сайт (не школьник) - он это сделает.
Полностью согласен, но 90% злобных школьников ))) пойдут лесом, скажу больше, данный продукт как раз результат опыта обхода защит парсинга, монстров )))