אחת מהדרכים הפופולריות ביותר לפריצה של אתרי וורדפרס היא Brute Force Attack. בהתקפה מסוג זו האקרים מנסים הרבה קומבינציות של שמות משתמש (usernames) וסיסמאות בכדי להכנס לממשק הניהול של וורדפרס.
במיוחד כשכולם יודעים שכתובת הגישה לממשק הניהול של וורדפרס היא wp-admin, כל האקר יכול להתחיל בקלות עם אותו ניסיון ל Brute Force Attack.
ישנם לא מעט תוספים שמאפשרים לחזק את האבטחה של וורדפרס וישנן גם לא מעט פעולות אבטחה שאתם יכולים לבצע על מנת להקדים תרופה למכה. אחד הצעדים שניתן לבצע הוא לשנות את כתובת הגישה לממשק הניהול של וורדפרס. באופן זה, האקרים לא יוכלו למצוא את אותו קישור לממשק הניהול ובכך נקטין משמעותית ניסיון פריצה מסוג זה.
במדריך קצר זה נראה כיצד ניתן לשנות את כתובת הגישה לממשק הניהול של וורדפרס באמצעות תוסף. כפי שאתם יודעים, אני נמנע בדרך כלל מלהשתמש בתוספים, אך במקרה זה, כל הניסיונות שלי למצוא פתרון לשינוי ה Login URL בעצמי כשלו.
מעבר לכך, ואם שמתם לב או לא – במרבית המקרים בהן אני מציג חלופות לתוספים באמצעות קוד אלו פתרונות ברמת ה Front-End ופחות ברמת ממשק הניהול של וורדפרס (למרות שיש גם פוסטים כאלו בבלוג). אז ישנם מצבים בהם תוספים עושים עבודה מצויינת ושינוי כתובת הגישה לממשק הניהול של וורדפרס הוא בדיוק המצב…
שינוי כתובת הגישה לוורדפרס באמצעות WPS Hide Login
עם מעל ל 200,000+ התקנות פעילות ודירוג של קרוב לחמישה כוכבים, התוסף WPS Hide Login הוא התוסף הפשוט, קל המשקל והנוח ביותר לשינוי כתובת הגישה לממשק הניהול (ובדקתי מספר תוספים).
באפשרותכם להתקין אותו על ידי חיפוש ״WPS Hide Login״ מאיזור התוספים בוורדפרס או פשוט להוריד אותו מהריפוסיטורי של וורדפרס. לאחר שהתקנתם תוסף זה, גשו להגדרות התוסף המופיעות בממשק הניהול של וורדפרס > הגדרות > כללי בתחתית העמוד.
באפשרותכם לרשום כל מה שתרצו תחת Login URL בהגדרות התוסף, לדוגמה connect, logmein, admin וכל מה שעולה בראשכם, אך זיכרו כי כל המטרה היא לדאוג שכתובת הגישה לאתר הוורדפרס שלכם תהיו קשה לפיצוח.
התוסף דורש וורדפרס בגירסה 4.1 ומעלה וכמובן שאינו משנה כלום בקבצי הליבה של וורדפרס. התוסף גם אינו מוסיף שום ״חוק״ לקובץ htaccess
וכל מה שקשור להתחברות לאתר, כגון הרשמה, שחזור סיסמה וכדומה ימשיכו לעבוד כרגיל. הוא פשוט ״מיירט״ בקשות לעמוד המדובר ופשוט עובד מעולה על כל אתר וורדפרס ללא מאמץ מיוחד. כיבוי התוסף מחזיר את האתר שלכם בדיוק לאותו מצב בו היה לפני הפעלת התוסף.
שימו לב – התוסף עובד על אתרי Multisite, אך עם זאת חשוב לציין כי אינו נבדק על אתרים שיושבים על סאב דומיין (זו הסיבה שאיני משתמש בו בסאבי בלוג).
האם התוסף יוצר בעיות עם תוספי קאש (זיכרון מטמון) למינהם?
לפני שנדבר על קאש, נאמר שהתוסף WPS Hide Login תומך בכל תוסף אחר שמבצע הוק לאותו טופס כניסה לממשק הניהול של וורדפרס. BuddyPress, bbPress, Limit Login Attempts הן מספר דוגמאות לתוספים שנתמכים על ידו.
אם אתם משתמשים בתוסף קאש שהוא לא WP-Rocket, עליכם להוסיף את המזהה (slug) של של כתובת הגישה החדשה לרשימת הכתובות שלא יכללו בקאש. WP-Rocket תומך במלואו בתוסף זה ללא צורך בשום פעולה.
אם אתם משתמשים בתוספים WP Total Cache או WP Super Cache, התוסף WPS Hide Login יציג לכם הודעה עם קישור לשדה שעליכם לעדכן.
מסקנה<strong> </strong>
מפרספקטיבה של אבטחה, יהיה נכון לשנות את כתובת wp-admin על מנת להקשות על האקרים לפרוץ לאתר שלכם. אם אתם בשלב בו אתם דואגים לאבטח את אתר הוורדפרס שלכם, תנו מבט במדריך בקטגוריה של אבטחת אתרי וורדפרס ומצאו שם לא מעט פוסטים על אבטחה.
מה לגבי לשים את האדמין בסאב דומיין ולהשאיר את הפרונט בדומיין הראשי? יש אפשרות כזו? פלגאין שמטפל בזה?
זה שאלה טובה, מה היתרונות שאתה מוצא בזה מול מה שאתה מקבל מלשנות את הכתובת?
אין סיבה להשאיר את ממשק הניהול פתוח לכל אחד. צור ACL בשרת לאיזה כתובת IP יש גישה אליו וזהו, בלי גימיים מיותרים.
אתה יכול להגדיל ולהוסיף שכל פניה לכתובת הניהול שהגיע מכתובת שלא מורשת תחסם לפרק זמן על מנת למנוע מהסורק \ BOT להמשיך "לרחרר" איפה שלא צריך.
אתה מודע לכך שלרוב הגולשים בארץ אין IP קבוע כך שמהר מאוד הם יחסמו?
WPS Hide Login תוסף מצוין שאני מתקין ישר בוורדפרס. מניסיון התוסף הפשוט הזה עוצר כמעט את כל המתקפות.
השתמשתי גם ב־Rename wp-login.php. הוא ישן אבל עדיין עובד מצוין.
גם לי אין אבל זה לא מהווה בעיה. יש מספר דרכים להתמודד עם זה.
למשל fwknop. שפותח את הפורט על פי דרישה ומאכלס את הכתובת הספציפית.
נכון זה קצת מורכב ולא מתאים לכל אחד, אבל ברגע שמגדירים את זה , זה עובד ואפשר לשכוח מזה.
היי,
למה לא לשים אבטחה כפולה לדף הנ"ל ע"י Htaccess שיקפיץ שם משתמש וסיסמא ברמת השרת ולא תוספת של תוסף נוסף לאתר ?
מכיוון והמטרה היא למנוע אפשרות שבוטים המגיעים לכתובת האדמין ינסו לנחש את היוזר והסיסמה. אם נעשה זאת ברמת השרת ללא שינוי כתובת, עדיין יש להם את האפשרות לניחוש.
לעומת זאת אם תשנה את כתובת הגישה לממשק הניהול לא תהיה להם האופציה…
שלום רועי, תודה על המאמרים המצויינים!
ישנו תוסף אבטחה בשם iTheme security שבין שלל האפשרויות שלו הוא כולל גם את הפונקציה המפורטת במאמר זה.
נכון, הוא מאפשר זאת 🙂 אך לאלו שאינם מעוניינים להתקין תוסף מאסיבי כמו שהזכרת, הפלאגין שהזכרתי יכול לעזור ומומלץ…
למה לא שינוי פשוט של wp-login כמו שמוצג בסרטון הנ"ל?
https://www.youtube.com/watch?v=9vos2jppZko
האם זה יחזיק מעמד לאחר עדכון וורדפרס?
לא יחזיק מעמד לאחר עדכון… הדרך היא באמצעות התוסף שציינתי או תוסף אחר…
שאלה נוספת, האם השיטה הזאת "רלוונטית" במידה ומדובר באתר ווקומרס עם אפשרות למשתמשים להרשם ולהתחבר? כי הרי מתאפשר משם גם להתחבר לאדמין, לא? האם יש פתרון לבעיה?
האמת שאין לי תשובה עבורך במקרה זה. לא ניסיתי זאת עדיין על אתר ווקומרס. נשמח אם תבדוק ותשתף תוצאות…