Крім регулярних оновлень, у WordPress є дві безпекові налаштування, які дозволяють отримати максимальну віддачу при мінімальних витратах:Заборонити редагування файлів у фоновому режимі.和Сховати адресу для входу в адмінпанель.Ці дві операції можуть безпосередньо перекрити найбільш поширені шляхи проникнення хакерів (наприклад, зміна основних файлів через уразливості, злам паролів для входу в систему) і при цьому їх легко налаштувати, навіть новачки зможуть це зробити. У цьому розділі будуть детально описані конкретні кроки та принципи їх роботи.
1. Навіщо робити ці два налаштування?
Два найбільш поширених способи зламу вебсайтів WordPress — це:
- Впровадження шкідливого коду в файли за допомогою редагування в фоновому режимі.За замовчуванням WordPress дозволяє адміністраторам безпосередньо редагувати код тем і плагінів у адміністративній панелі ("Зовнішній вигляд → Редактор теми", "Плагіни → Редактор плагінів"). Як тільки хакери отримують права адміністратора через уразливості, вони можуть використати цю функцію для зміни основних файлів, впровадження вірусів, бекдорів або зміни контенту.
- Злам логіна за допомогою перебору варіантів.За замовчуванням, адреса для входу у WordPress —
域名/wp-admin或域名/wp-login.php(Єдине для всієї мережі) Хакери будуть використовувати програми для масового сканування цієї адреси, намагаючись використати поширені імена користувачів (наприклад,adminІ використовуючи слабкі паролі для входу, вони можуть отримати контроль над веб-сайтом після успішного входу.
II. Налаштування 1: вимкніть редагування файлів у фоновому режимі (це можна зробити за 5 хвилин).
Після відключення редагування файлів доступ до "Редактора тем" і "Редактора плагінів" у адмінпанелі зникне, що допомагає запобігти змінам коду хакерами (або адміністраторами, які роблять це ненавмисно).
Крок 1: знайти та відредагувати. wp-config.php Документ
wp-config.php Це основний конфігураційний файл WordPress, в якому зберігаються такі ключові налаштування, як інформація про базу даних. Для його зміни необхідно користуватися інструментами управління файлами на сервері:
- Увійдіть на панель управління сервером (наприклад, на панель управління BaoTa), знайдіть кореневу папку вашого вебсайту (як правило, це буде папка public_html).
wwwroot/你的域名/)。 - Знайдіть у кореневому каталозі.
wp-config.phpВиберіть "Редагувати" за допомогою правого кліка на файлі (або завантажте його на локальний комп'ютер за допомогою FTP-інструменту, відредагуйте у Блокноті, а потім завантажте знову).
Крок 2: додайте код для відключення.
在 wp-config.php У файлі знайдіть рядок коду «/* Добре, на цьому все, припиніть редагування! Приємного користування! */», і розташуйте його тут.ЗверхуВставте наступний код:
// 禁用主题和插件编辑器
define('DISALLOW_FILE_EDIT', true);Крок 3: Збережіть і перевірте результат.
- Збережіть файл і закрийте редактор.
- Поверніться до адміністративної панелі WordPress і оновіть сторінку:
- Зайшовши в меню "Зовнішній вигляд", опція "Редактор теми" зникла.
- Перейдіть у меню "Плагіни", і там немає пункту "Редактор плагінів".
III. Налаштування 2: приховування адреси для входу в систему в фоновому режимі (це простіше зробити за допомогою плагіна).
Приховування адреси для входу не означає видалення стандартної адреси, а лише додавання нового користувацького входу (наприклад, 域名/my-login), а також блокуватимемо стандартний wp-admin Сторінка входу (на якій відображається помилка 404, коли користувач намагається зайти на неї) не дає хакерам можливості знайти точку входу.
Рекомендований плагін: WPS Hide Login (безкоштовний, легкий у використанні)
- Інсталюйте плагін.Увійдіть у панель адміністратора, виберіть "Плагіни → Встановлення плагінів", знайдіть "WPS Hide Login", натисніть "Встановити" і "Активувати".
- Налаштуйте власну адресу для входу.Після активації перейдіть на сторінку "Налаштування → WPS Hide Login", і в полі "URL для входу" введіть призначений вами користувальницький шлях (рекомендується використовувати просте та легко запам'ятовуване ім'я, наприклад,
myadmin(「login2023»).- Приклад: вхідні дані
dashboardВ такому випадку нова адреса для входу буде такою:域名/dashboardМожете залишити "URL для переадресації" без змін (коли хакери заходять на стару адресу, їх переадресовують на сторінку 404).
- Приклад: вхідні дані
- Збережіть і запам'ятайте нову адресу.Натисніть "Зберегти зміни", і система автоматично внесе зміни.Обов'язково негайно запишіть нову адресу для входу.(Рекомендується зберегти це у блокноті або у записниках телефону), щоб не забути його і не мати проблем з входом у систему.
Перевірте ефект приховування.
- Використовуйте нову адресу (наприклад,
域名/dashboard) Протестуйте вхід у систему та переконайтеся, що ви можете нормально зайти в адмінпанель. - Відвідайте типову адресу.
域名/wp-admin或域名/wp-login.phpСлід відобразити помилку 404 або перенаправити на головну сторінку, щоб показати, що приховування пройшло успішно.
4. Основні рекомендації (щоб уникнути помилок при виконанні операцій)
Стосовно заборони редагування файлів:
- Це не впливає на нормальне використання.Після відключення ви все ще зможете редагувати файли за допомогою FTP або панелі сервера (лише візуальне редагування буде недоступне), і це не вплине на звичайних користувачів.
- Що робити, коли потрібно редагувати код?Якщо вам потрібно буде згодом змінити тему або код плагіна, ви можете тимчасово видалити їх.
wp-config.phpДодайте заборонений код у середині, а після завершення редагування просто додайте його знову. - Новачкам не рекомендується вносити зміни в код вручну.Навіть якщо редагування не заборонено, новачкам не рекомендується змінювати код в адмінпанелі (це може призвести до збою сайту).
Щодо приховування адреси для входу:
- Не забудьте про нову адресу.Це найпоширеніша проблема! Якщо ви забули налаштувати адресу для входу, вам потрібно видалити її за допомогою інструментів керування файлами на сервері.
wp-content/plugins/wps-hide-loginФайл (адреса для входу за замовчуванням відновлюється після видалення плагіна). - Не змінюйте його занадто часто.Часте змінення адреси для входу може призвести до того, що ви її забудете. Рекомендується встановити її та використовувати протягом тривалого часу.
- Використовуйте надійні паролі для більшої безпеки.Приховування адреси лише ускладнює завдання хакера, але все одно необхідно переконатися, що пароль адміністратора достатньо складний (див. розділ 11.2).
5. Вирішення поширених проблем.
1. Що робити, якщо ви хочете відновити дані після їх редагування, але ця функція вимкнена?
- Перередагувати.
wp-config.phpФайл, видалити доданийdefine('DISALLOW_FILE_EDIT', true);Код, після збереження, буде відновлений у бекенд-редакторі.
2. Після приховування адреси для входу телефон або плагін не можуть увійти в систему?
- Деякі плагіни для управління мобільними пристроями (наприклад, офіційний додаток WordPress) можуть залежати від стандартної адреси для входу. Ви можете увімкнути "Доступ до REST API" у налаштуваннях WPS Hide Login (зазвичай у нижній частині налаштувань плагіна).
3. Хакери все ще можуть знайти нову адресу для входу?
- Уникайте розкривати свою адресу електронної пошти на публічних форумах (наприклад, не згадуйте її у своїх статтях).
域名/dashboard)。 - Можна регулярно змінювати налаштований шлях (це можна зробити на сторінці налаштувань плагіна), щоб ще більше знизити ймовірність того, що вас викриють.
підсумок
Відключення редагування файлів і приховування адреси для входу є ефективними заходами безпеки, які не впливають на нормальне використання, але водночас ефективно запобігають більшості атак початківців-хакерів. Пам'ятайте: відключення редагування залежить від змін, які ви вносите. wp-config.phpЩоб приховати адресу, скористайтеся плагіном WPS Hide Login. Після завершення операції обов’язково перевірте результат і запишіть його.
Ці дві налаштування у поєднанні з регулярними оновленнями та надійними паролями можуть створити базовий рівень безпеки для вашого вебсайту.
Українська