18.10.2023
Ограничить доступ к админке wordpress. Как ограничить доступ к своей консоли WordPress
Добрый день дорогие читатели! После диких выходных, хочется сказать «Спасибо, что живой». Об этом будет отдельная статья, поскольку я чуть не утонул на соревнованиях.
Ну да ладно, об этом не сейчас. Сегодня для вас дорогие читатели моего блога я заготовил следующую статью, которая называется как ограничить доступ к админке сайта wordpress.
Вы когда нибудь хотели предоставить регистрацию пользователя на сайте wordpress, при этом не давая доступ к админке? Когда юзер создает аккаунт на вордпресс, он получает права к панели администратора wordpress. В этой статье мы расскажем как закрыть доступ к админке сайта на wordpress.
Зачем ограничивать доступ к панели администратора wordpress?
Только особые пользователи, которым вы доверяете должны иметь привелегии к святая святых вашего сайта. Если вы запускаете много авторский блог, то вы можете разрешить делать изменения штатным редакторам и, возможно, вашим сотрудникам, но никак ни подписчикам.
Даже когда вы даете некоторым пользователям доступ к админке вашего блога, вы все еще можете контролировать то, что они могут или не могут видеть в ней. Мы обсудим это чуточку позже.
Ограничение доступа к админке сайта wordpress
Первая вещь, которую вам нужно сделать — это установить и активировать специальный плагин Remove Dashboard Access. После активации вам нужно будет перейти во вкладку Настройки — > Конфигурации Remove Dashboard Access
Данный плагин позволяет выбрать пользовательские привилегии для доступа к . Вы можете назначить администраторов, редакторов, авторов.
Кроме того, вы можете ввести ограничения на различные действия ваших пользователей. Под этим понимается то, что вы можете контролировать различные активности ваших подписчиков, у которых есть доступ к «сердцу» вашего сайта. Вы можете добавлять и удалять новые роли для своих авторов.
Следующая опция это выбор перенаправления URL. Она позволяет перенаправлять «запрещенных» или «отключенных» пользователей на различные страницы сайта. Стоит ему только войти в раздел, доступ который для него ограничен, его сразу же перенаправят на любую заданную в настройках страницу.
Если вы хотите, чтобы пользователи сами редактировали и изменяли свои профили, то вам необходимо установить флажок рядом с «Доступ профиля пользователя». Теперь все пользователи, которые были в статусе «запрещенных» будут перенаправляться на страницу редактирования своего профиля, вместо обычного перенаправления на страницы сайта.
Если вас все устраивает, то нажимайте на «Сохранить изменения».
Вот и все. Теперь все ваши пользователи с выбранными привилегиями имеют возможность доступа к админке wordpress.
Прячем элементы в админке в wordpress
Иногда вы можете ограничить то, что пользователь видит и может редактировать в консоли администратора.
Соответственно, вы можете прятать отдельные элементы и контролировать то, что юзеры могут видеть в админке сайта. Скрыть ненужные элементы вы можете через плагин Adminimize.
Об этом плагине мы поговорим в ближайшей статье.
Спасибо за внимание.
Когда для вашего сайта на WordPress пишут одновременно несколько авторов, то очень важно грамотно распределить рабочий процесс и сделать этот процесс комфортным для каждого автора. Есть специальный плагин для одновременной работы нескольких авторов на WordPress.
Но сегодня речь не об этом. Сегодня мы рассмотрим один простой бесплатный плагин Restrict Author Posting , с помощью которого вы сможете закрепить за каждым автором определенные рубрики, а доступ к остальным рубрикам ограничить.
Это особенно актуально, если у вас на сайте есть авторская колонка. Или, например, у вас есть рубрика с обзорами гаджетов, в которую могут писать только несколько определенных авторов.
Плагин Restrict Author Posting
В первую очередь скачайте и установите бесплатный плагин Restrict Author Posting.
Сразу после активации плагина перейдите в меню Пользователи и откройте профиль того пользователя, которому вы хотите настроить ограниченный доступ.
Прокрутите профиль пользователя в самый низ и вы увидите новое меню Restrict Author Post to a category , в выпадающем списке выберите Рубрику, для которой будет писать этот автор. Нажмите сохранить.
Если вы захотите в дальнейшем снять ограничение с любого автора вашего сайта, точно так же откройте его профиль и выберите в выпадающем меню No Restrict .
Иногда требуется запретить доступ к админ-панели зарегистрированным пользователям. Обычно такая ситуация возникает, когда владельцы сайтов хотят дать доступ в консоль только доверенным пользователям. Это актуально для веб-ресурсов с несколькими авторами. В таком случае доступ получат редакторы и участники, но не подписчики.
В WordPress по умолчанию любой зарегистрированный пользователь получает доступ в админ-панель. Стандартные инструменты “движка” не позволяют каким-либо образом это изменить. Поэтому для решения задачи нужно воспользоваться сторонними решениями.
Плагин Remove Dashboard Access
С помощью плагина Remove Dashboard Access есть возможность выбирать роли пользователей, которые после регистрации на сайте могут получать доступ в админ-панель.
Во-первых, плагин нужно установить и активировать, после этого перейти в админ-раздел Настройки -> Dashboard Access .
Видно, что на странице настроек плагина, в опции Dashboard User Access , есть несколько вариантов для выбора:
- Administrators only – только администраторы;
- Editors and Administrators – редакторы и администраторы;
- Authors, Editors, and Administrators – авторы, редакторы, администраторы.
Следует отметить, что пользователи, которые регистрируются на WordPress-сайте, получают роль Подписчик . Любой из вариантов, которые предлагает плагин Remove Dashboard Access , уже исключает пользователей с этой ролью для получения доступа в консоль WordPress.
Итак, после того, как были выбраны пользователи, которые будут иметь доступ в админ-панель, необходимо указать, что будут видеть на сайте пользователи, не имеющие таких разрешений. Наиболее правильным вариантом будет перенаправить их на ту или иную часть сайта. Для этого служит опция Redirect URL , в которой нужно указать нужный URL -адрес. В нашем примере пользователь будет перемещен на главную страницу сайта.
Здравствуйте, уважаемые читатели!
В сегодняшней статье мы рассмотрение особенностей входа в админку WordPress, а точнее, ее защите.
Нам осталось рассмотреть три вопроса:
- Защита админки от брутфорс-атак;
- Ограничение входа с помощью блокировки ip -адреса;
- Смена логина и пароля через php MyAdmin .
Защита админки от брутфорс-атак.
Брутфорс-атаки – это метод взлома сайта подбором логина и пароля. Конечно, такой взлом осуществляет не конкретный человек. Перебирать тысячи вариантов логинов и паролей под силу только компьютерной программе, которая может работать быстро и не имеет ограничений по времени. Такая программа, установленная на каком-то удаленном компьютере, может непрерывно «стучаться» в админку вашего сайта, пробуя различные варианты.
Используя специальные плагины, можно ограничить количество таких попыток. Для таких целей можно использовать плагин Limit Login Attempts .
Каковы его возможности?
Во-первых, после нескольких неправильных попыток входа с некоторого ip-адреса, этот адрес блокируется на заданное время. Во-вторых, если после этого неправильные попытки продолжаются, то этот адрес блокируется окончательно. Вы можете настроить и количество неправильных попыток и время блокировки.
Плагин Limit Login Attempts используется очень широко, несмотря на то, что он давно не обновлялся.
Но такими же функциями обладают и некоторые другие плагины. Например, плагин , о котором я уже писал. (Скачать руководство по его настройке можно ). Этот универсальный плагин имеет более 30 функций для защиты сайта на WordPress, в том числе и ограничение попыток входа в админку.
Еще один плагин, ограничивающий вход в админку WordPress – Однако его недостатком считается то, что он слишком нагружает сервер. Его лучше использовать периодически для проверки сайта, а не постоянно.
Ограничение входа с помощью блокировки ip-адреса.
Еще один метод, с помощью которого админка WordPress защищается от посторонних посетителей, использует блокировку ip-адресов.
Каждый компьютер в сети имеет свой уникальный ip-адрес, состоящий из четырех чисел, разделенных точками, и вы можете запретить вход в админку WordPress со всех ip-адресов, кроме своего. Этот способ немного сложней, чем простое использование плагинов. Для его применения нужно уметь работать с файлами на вашем сервере.
Во-первых, сначала нужно узнать свой ip-адрес. Для этого можно воспользоваться онлайн-сервисом 2ip.ru .
Во-вторых, создать файл .htaccess в папке wp-admin .
В-третьих, в этом файле прописать следующий текст:
| 1 2 3 | Order deny, allow Deny from all Allow from ***.***.***.***, |
Order deny,allow Deny from all Allow from ***.***.***.***,
где вместо звездочек ставится ваш ip-адрес. Обратите внимание, слова «deny,allow» пишутся без пробела.
Этот файл можно создать с помощью онлайн-редактора, обычно предоставляемого хостингом, или сначала создать его на своем компьютере с помощью текстового редактора Notepad++, и потом закачать на сервер.
Однако этот способ не всегда применим в полной мере. Дело в том, что ip-адреса бывают статические и динамические. Если у вас адрес статический, то есть не меняется со временем, вы его прописываете в файл .htaccess и тем самым закрываете вход в админку для посторонних. Но чаще всего интернет-провайдеры предоставляют пользователям динамические ip-адреса, которые изменяются при каждом новом подключении. Что же делать в этом случае? Обычно провайдеры имеют определенный диапазон ip-адресов, образующий свою подсеть. Ее мы можем оставить открытой, а остальные адреса заблокировать. Для этого в файл .htaccess вписываем только первые два числа ***.***. с точками из определенного вами ip-адреса.
Смена логина и пароля через php MyAdmin.
Логин и пароль для входа в админку WordPress хранятся в базе данных вашего сайта, и изменить их можно с помощью программы php MyAdmin, которая служит для управления БД.
Для того чтобы это сделать, нужно зайти в панель управления вашим аккаунтом на хостинге. Эти панели на разных хостингах выглядят по разному, но всегда есть пункт php MyAdmin
.
Щелкнув на нем, мы попадаем в панель управления базами данных. Выбираем вкладку Базы данных, в списке баз находим свою и открываем ее.
Кстати, если вы не знаете название вашей БД, или для входа в нее от вас потребуют пароль, их предварительно можно найти в файле wp-config.php, находящемся в корневой папке сайта на сервере.
База данных состоит из нескольких таблиц, среди которых находим ту, в которой хранятся логин и пароль. По умолчанию она называется wp-users
, но если вы каким-то образом, например, с помощью плагина iThemes Security
, изменяли префикс, то вместо wp
будет другой набор символов.
После открытия этой таблицы вы увидите логин и пароль. 
Не удивляйтесь, что вместо известного вам пароля будет другой. Дело в том, что в базе пароль хранится в зашифрованном виде. Теперь вы можете изменить свои данные. Для этого щелкаем на кнопке Изменить
и в поле логин
вводим новое имя. 
Прежде чем вводить пароль, в выпадающем списке перед паролем нужно выбрать MD5
для того, чтобы новый пароль был также зашифрован. После этого сохраняем изменения и пробуем войти в админку WordPress с новыми данными.
На этом пока заканчиваю. В следующей статье будет краткий обзор админ-панели WordPress. Подпишитесь на обновления блога , чтобы не пропустить ее и последующие материалы.
Напишите, была ли статья полезной для вас. Поделитесь с другими, используя кнопки социальных сетей.
От автора:
согласно данным исследования 2013 года, каждый день взламываются примерно 30 000 сайтов. И как все мы понимаем, чтобы обезопасить свой сайт от взлома, необходимо предпринять определенные меры. Важно обезопасить свои личные данные, но еще важнее дать пользователям понять, что их данные также находятся под защитой. Защищенный сайт значит сайт, заслуживающий доверия.
Существует несколько методов от взлома вашего сайта на WordPress. Один из них это ограничить доступ заданным пользователям. В этой статье я пошагово расскажу, как ограничить доступ к панели администратора WordPress по ip-адресу.
Но сначала давайте быстро пробежимся по угрозам безопасности сайтов на WordPress.
Угрозы безопасности WordPress
Взлом простым перебором – Когда хакер пытается получить доступ к сайту через форму авторизации, перебирая возможные имена пользователя и пароли.
Подтверждение правильности ввода имени – WordPress сообщает пользователям, какую часть из данных авторизации они ввели неправильно. К примеру, если правильно ввести имя пользователя, но ошибиться с паролем, WordPress подскажет пользователю об этом, что значительно облегчает поиск пароля простым перебором.
Версия WordPress – Если хакер узнает вашу версию WordPress, он может использовать уязвимости данной версии для получения доступа к сайту.
Глобальная регистрация в WordPress – По умолчанию в WordPress отключена возможность регистрации на сайте из любого уголка мира. Лучше оставить эту опцию выключенной в качестве превентивной меры.
Доступ к темам и плагинам – Администраторы сайта получают доступ к редактированию файла функциональности, что может привести к проблемам в безопасности. Не рекомендуется изменять файл функционала сайта.
Прежде чем редактировать файлы сайта, давайте рассмотрим предварительные шаги, которые необходимо проделать.
Меры безопасности
Чуть ниже мы добавим PHP код в файл настроек.htaccess. Но перед этим необходимо сделать резервную копию файла конфигурации.
Некоторые из вас захотят сделать полную копию сайта перед тем, как что-то изменять. Регулярное резервное копирование – хорошая привычка. Обязательно делайте копию сайта перед серьезными изменениями. Помочь в этом вам может плагин VaultPress .
Статический или динамический ip-адрес
В этом уроке мы покажем, как ограничить доступ к админке сайта как для статических адресов, так и для динамических.
Используйте инструкцию для статического ip-адреса, если вы редактируете сайт с домашнего компьютера или из нескольких других мест. В таком случае ваш ip-адрес не меняется, т.е. остается статическим.
Используйте инструкцию для динамического ip-адреса, если вы редактируете свой сайт из множества разных мест. IP-адрес часто меняется в случаях:
Когда другие члены команды разработчиков заходят и редактируют сайт из разных мест
Когда для редактирования вы используете мобильный телефон
Вы постоянно путешествуете, и вы заходите на сайт из разных мест
Основы разобрали, вот теперь можно и приступить к делу.
Приступаем к работе
Выше мы уже упоминали, что нам потребуется внести изменения в файл.htaccess. Второй шаг – найти файл конфигурации.htaccess. Этот файл располагается в корневой папке сайта. Если по каким-то причинам файла там нет, его можно создать вручную. Авторизуйтесь через cPanel или FTP и найдите этот файл.
Как только вы нашли файл, переходим к шагу три – вам нужно найти подходящий текстовый редактор, чтобы добавить код в файл конфигурации. Рекомендуем использовать или встроенный в cPanel редактор или установленный на компьютере (например Notepad).
Обратите внимание: Дабы не испортить существующие настройки сайта, весь код в.htaccess добавляется в самый верх.
Ограничиваем доступ по статическому ip-адресу
Если ваш ip-адрес не меняется или вы используете всего пару-тройку известных адресов, можно ограничить доступ к сайту по статическим адресам. Вы научитесь создавать список IP-адресов, которым позволено входить в панель администратора.
Как ограничить доступ к панели администратора по статическому ip-адресу
Откройте файл.htaccess через cPanel или любой другой текстовый редактор.
Скопируйте код ниже в самый верх файла.htaccess (Gist).
RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^12\.345\.678\.90 RewriteCond %{REMOTE_ADDR} !^IP Address InsertTwo$ RewriteCond %{REMOTE_ADDR} !^IP Address InsertThree$ RewriteRule ^(.*)$ -
RewriteEngine on RewriteCond % { REMOTE_ADDR } ! ^ 12 \ . 345 \ . 678 \ . 90 RewriteCond % { REMOTE_ADDR } ! ^ IP Address InsertTwo $ RewriteCond % { REMOTE_ADDR } ! ^ IP Address InsertThree $ RewriteRule ^ (. * ) $ - [ R = 403 , L ] |
Редактируем код
Вам осталось лишь изменить строки 4 и 5 (в Gist это строки 9 и 10) и добавить разрешенные ip-адреса. Для этого замените IP Address InsertTwo$ и IP Address InsertThree$ на нужные адреса. Адреса должны быть в формате, как в строке 3 (в Gist строка 8).
Добавление и удаление авторизованных пользователей
Если нужно добавить еще разрешенные адреса, просто скопируйте строку RewriteCond %{REMOTE_ADDR} !^IP Address Insert$ и замените в ней IP Address Insert$ на нужный адрес. Также можно запретить доступ пользователям к панели администратора, удалив строку с их адресом RewriteCond %{REMOTE_ADDR}.
Что будет если неавторизованный пользователь зайдет на страницу?
После того, как вы ограничили доступ к админке по ip-адресу неавторизованный пользователь, зайдя на страницу авторизации или страницу wp-admin, увидит страницу 404.
Если вы используете Gist, то можете заметить, что редирект там прописан в первых двух строках. В строках 1 и 2 необходимо заменить your-site’s-path на адрес вашего сайта.
Ограничиваем доступ по динамическому ip-адресу
Некоторые из вас, возможно, хотят открыть доступ к панели администратора множеству пользователей. Такая ситуация может возникнуть, если у вас много редакторов сайта, или вы обслуживаете сеть из нескольких сайтов. Основной момент тут в том, что для входа в панель администратора требуется несколько динамических ip-адресов.
Как ограничить доступ к панели администратора по динамическому ip-адресу
Откройте файл.htaccess через cPanel или любой другой текстовый редактор. Скопируйте код ниже в самый верх файла.htaccess (Gist).
RewriteEngine on RewriteCond %{REQUEST_METHOD} POST RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site"s-name.com RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteRule ^(.*)$ - [F]
RewriteEngine on . * ) $ [ OR ]RewriteCond % { REQUEST_URI } ^ (. * ) ? wp - admin $ RewriteRule ^ (. * ) $ - [ F ] |
Редактируем код
Чтобы код заработал, замените your-site’s-name.com в строке 3 на URL вашего сайта (в Gist строка 7). В Gist версии редирект также прописан в первых двух строчках. В строках 1 и 2 замените your-site’s-path на адрес вашего сайта. После этого если сработает редирект, то вас перебросит на страницу 404.
Функционал кода
Данный код ограничивает доступ хакерам, которые с помощью ботов пытаются подобрать логин и пароль простым перебором извне. Код файла.htaccess означает, что на страницу авторизации или wp-admin смогут попасть только пользователи, которые перешли на нее по внутренней ссылке.
Заключение
Решения, которое гарантирует стопроцентную безопасность вашего сайта от любых возможных угроз, не существует. Ограничение доступа по ip-адресу добавит хакерам сложностей при попытке взлома сайта простым перебором.
