Zmiana adresu logowania do panelu WP
Statystyki na rok 2019 pokazują, że około połowa stron internetowych na świecie powstaje w oparciu o systemy zarządzania treścią (CMS), a 34% z nich to WordPress, co stanowi około 220 milionów witryn! Biorąc pod uwagę, że CMS to są w większości rozwiązania typu open-source nietrudno o ataki hakerskie, szczególnie iż większość administratorów stron jako login do panelu administracyjnego podaje po prostu… admin.
W kwestii zarządzania i bezpieczeństwa WordPressa należy w pierwszej kolejności zastanowić się nad adresem URL do dashboardu administratora. Nawet dla początkującego użytkownika internetu podejrzenie kodu źródłowego strony i sprawdzenie czy korzysta ona z WordPressa nie jest dużym problemem, a podpowiada jakiego adresu używa do logowania na zaplecze – www.domena.com/wp-admin/ lub www.domena.com/wp-login/ . Jeśli nazwa usera nie jest inna niż admin, dla hakera pozostaje do złamania już tylko hasło, które bardzo często nie stanowi kłopotu dla metody “brute force”, a nawet jeśli hasło nie zostanie złamane, to sam atak może być bardzo dużym obciążeniem dla serwera.
Jak się przed tym uchronić? Podamy Wam bardzo prosty i skuteczny sposób, który będzie wymagał tylko połączenia z serwerem ftp i wykorzystaniem ulubionego edytora tekstowego.
Łączenie z serwerem FTP
Połącz się z serwerem, na którym umieszczona jest strona www za pomocą klienta FTP, np. FileZilla. Zlokalizuj katalog przechowujący instalację WordPressa i otwórz go.
Modyfikacja pliku wp-login.php
Znajdź plik wp-login.php i pobierz go na dysk komputera. Następnie zmień jego nazwę na unikalną – taką, której będziesz później używać do logowania, np. moj-nowy-login.php.
Otwórz plik w wybranym edytorze tekstowym i odnajdź wszystkie wystąpienia ciągu znaków ‘wp-login’ i zamień je na niestandardową nazwę wymyśloną chwilę wcześniej.
Zmiana adresu url
Prześlij zmodyfikowany plik moj-nowy-login.php do głównej lokalizacji WordPressa. Przejdź do swojej witryny i sprawdź czy nowy adres działa odpowiednio, wpisując www.domena.com/moj-nowy-login.php/.
I gotowe! Teraz próbując przejść do starego adresu /wp-admin/ lub /wp-login/ powinna pojawić się standardowa strona błędu 404.
Mamy nadzieję, że wpis okaże się pomocny.
Do zobaczenia w kolejnym wpisie.
Odwiedź nas na Facebooku i Instagramie,
-BSIDEWORK Team #innowacjewpraktyce