Skip to content
 

Скрыть логин администратора WordPress и отключить интерфейс XML-RPC

Скрыть-логин-администратора WordPressСайт пытались взломать?

Для защиты своего сайта на Вордпресс нужно обязательно скрыть логин администратора WordPress и отключить интерфейс XML-RPC. Поделюсь информацией о том, почему это важно.

Так случилось, что мой сайт несколько месяцев был в опале у Яндекса.

Но 11.06.2015 эта опала также внезапно закончилась, как и прежде (14.09.2014) началась.

Трафик с Яндекса начал возрастать. Но именно в этот момент я столкнулась с другой проблемой: какие-то злоумышленники начали штурмовать мой сайт.

Но из-за того, что эти два события совпали, негатив не сразу бросился в глаза.

Да и не было у меня раньше опыта борьбы с подобными отрицательными явлениями и желающими чем-то там поживиться на моем блоге.

До этого я сталкивалась только со случаями копирования своего контента (ну, что же, значит он действительно полезный и достоин внимания). А в самом начале своей творческой деятельности я ухитрилась добровольно разместить вредоносный код на сайте по неосторожности.

Но, вернемся к теме. Рассказываю о случившемся.

Однажды вечером я решила посетить административную панель своего блога, чтобы внести некоторые изменения. Но сделать это мне никак не удавалось.

Выдавалась ошибка 503. Возникла какая-то проблема с недостаточной пропускной способностью ресурса.

сервис-недоступенНа следующее утро я уже не могла зайти на свой блог не только как администратор, но даже и как простой посетитель попадала туда только через раз. По-прежнему выдавалось сообщение о недостаточной пропускной способности. Сервис временно недоступен.

Это показалось мне подозрительным, и я обратилась на свой хостинг к специалистам.

Они оценили ситуацию и обнаружили большое количество запросов к сайту через алгоритм XML-RPC. И отключили такую возможность для моего сайта, о чем и сообщили в письме.

Заблокировали-запросы-к-файлу

Я стала разбираться, что это такое и откуда взялось.

Как запретить интерфейс XML-RPC для WordPress

Как отключить интерфейс XML-RPC для WordPress

Многие, также как и я, пользуются для организации своего блога готовыми шаблонами WordPress. А эта CMS (Content management system — система управления контентом), оказывается, имеет возможность дистанционных публикаций контента через интерфейс XML-RPC.

Так вот, в начальных версиях WordPress в настройках был специальный пункт, позволявший запретить это или разрешить.

Но потом, когда разработчики решили, что этот процесс защищен уже достаточно и безопасен, они этот пункт из настроек убрали. И алгоритм XML-RPC разрешен по умолчанию, т.е. всегда.

Начинающие об этом не догадываются. А нечистые на руку грамотные специалисты пытаются этим воспользоваться.

Поэтому бывалые блогеры рекомендуют обязательно добавить дополнительные меры защиты своего сайта на WordPress.

Недостаточно только поменять логин администратора Вордпресс. Считается необходимым установить защиту от взлома, ограничив количество попыток неправильного введения пароля и запретить интерфейс XML-RPC.

Для этого существует целый ряд плагинов. Об одном из них я уже рассказывала в статье про смену логина администратора WordPress сайта.

Но рассказывать-то, рассказывала, но сама этим не воспользовалась, думая, что меня сия чаша минует. А, вот оказалось, что нет.

Укрепляем защиту сайта на Вордпресс.

1. Пришлось срочно устанавливать плагин Limit Login Attempts. Он считается не таким тяжеловесным, как другие аналогичные. И запрещает вход после нескольких неудачных попыток ввода пароля. Однако, этот плагин уже несколько лет не обновлялся, поэтому понаблюдаю, как он работает.

По правилам рекомендуется использовать плагины, которые регулярно обновляются и совместимы с последней версией Вордпресс.

Поэтому лучше выбрать тот, о котором шла речь в статье про смену логина admin администратора на другой. Там есть и видео про установку.

Но мой хостинг уже неоднократно подвергался хакерским атакам и там тоже установлены некоторые дополнительные меры защиты при входе в админку.

Поэтому я решила оставить пока более простой плагин и последить за ситуацией.

2. Добавляем плагин Disable XML-RPC, чтобы отключить интерфейс XML-RPC. Настраивать его не нужно. Достаточно просто активировать.

Добавила потому, что не знаю, как на хостинге специалисты отключили.

Этот плагин советую всем установить обязательно, чтобы не попасть в ситуацию, которая случилась со мной.

Чаще всего для взлома сайта злоумышленники как раз и пользуются автоматическим подбором пароля и дистанционным доступом по XML-RPC.

Вот и получилось, что они постоянно долбили мой сайт, пытаясь пробить в нем какую-нибудь брешь.

По этой причине и возникла ситуация, когда нормальным посетителям было трудно на него попасть, так как ресурсов сервера при такой активной непрерывной нагрузке не хватало. Поэтому и выдавалась ошибка 503 о недостаточной пропускной способности.

Спасибо специалистам Sprinthost, которые быстро идентифицировали проблему и защитили мой сайт от посягательств.

Советую всем поменять логин admin и установить плагины дополнительной защиты для Вордпресс. Береженого бог бережет!

Обратите внимание, что сообщения о снижении пропускной способности ресурса как раз и могут послужить предупреждением о том, что кто-то чересчур интенсивно ломится к Вам в гости и вовсе не с добрыми намерениями.

Позднее вечернее время — самое благоприятное для начала операций взлома. Впереди целая ночь. А ночью люди обычно спят. До утра можно управиться…

В связи с этим я отключила в Настройках обсуждения WordPress и всякого рода оповещения, которые используют интерфейс XML-RPC.

отключить-настройки-оповещения

Вот такие дела.

Еще я решила добавить некоторые меры защиты, не дожидаясь следующих поползновений.

Оказалось, что изменение логина admin на свой уникальный полностью не спасает ситуацию. Нужно еще скрыть логин администратора, чтобы его нельзя было узнать.

Как скрыть логин администратора WordPress.

Когда я делала разметку Google, то при проверке структурированных данных выяснилось, что, если стоит ссылка на все публикации автора блога (обычно такая ссылка расположена под заголовком каждой статьи – это кликабельное имя), то логин администратора прекрасно виден всем желающим при просмотре кода открытой страницы.

Поэтому на этапе подготовки страниц для проверки структурированных данных, чтобы избавиться от ошибок разметки Google, я заменила эту ссылку просто своим текстовым именем и фамилией, чтобы не светить логин. Вы можете посмотреть, как я это сделала там.

А теперь выяснилось, что я интуитивно выбрала самый простой вариант решения этой проблемы. В интернете предлагают по этому поводу гораздо более сложные и навороченные варианты.

К тому же предложенное мною решение убивает сразу двух зайцев: и ссылку убирает на имя автора, и правильные структурированные данные для Google формирует.

Но обнаружилась еще одна прореха.

Если администратор сайта отвечает на комментарии после входа в административную панель, то в дальнейшем при просмотре кода страницы (при одновременном нажатии Ctrl и U) тоже можно увидеть логин администратора в оставленных им комментариях и ответах.

Проверить это можно по поиску (Ctrl и F) в коде страницы. Попробуйте найти свой логин в коде статьи, где Вы, как администратор сайта отвечали на вопрос посетителя в комментариях.

Поэтому, если Вы хотите свой логин окончательно засекретить, то можно отвечать на комментарии без захода в административную панель, т.е. не как администратор, а как обычный посетитель сайта. Или добавить через Редактор в файл function.php дополнительную функцию, которая запрещает выводить логин комментатора в случае автора-администратора. Просто добавить код в конец этого файла перед последним вопросительным знаком.

Как это сделала я.

вставить-код-функции

Узнать более подробно и скопировать код функции можно здесь.

Мне показалось, что это самые простые способы скрыть логин администратора Вордпресс.
Проверено на себе. Все получилось.

Если кто-то знает, как это сделать еще проще, напишите, или дайте ссылку в комментариях к этой статье.

Узнайте, как мне пришлось дополнительно усилить безопасность в связи с большим количеством запросов к несуществующим страницам на моем сайте, и какие средства помогают обеспечить более  надежную современную автоматизированную защиту WordPress.

Елена и tvoy-internet.ru

Считаешь информацию полезной? Поделись с друзьями!

13 комментариев

  1. Елена, Вы даете очень ценные советы, спасибо.

  2. Спасибо, очень полезная информация.

  3. Автора я давно убрал, правда не помню как. Где-то прочитал, что надо убрать. А вот про админа в комментариях — очень интересно. Буду сейчас смотреть. Спасибо.

  4. Что-то плагин Disable XML-RPC у меня не работает. Установил уже давно, но POST запросы к XML-RPC все равно идут и нагрузка увеличивается.

  5. Олег! В таком случае нужно разобраться с этим более пристально. В интернете можно найти информацию о полном запрещении доступа к этому файлу и после этого его вообще можно удалить с сервера за ненадобностью.

  6. Весь год боролась с вредоносными php файлами,не могла найти где внедрились.Спасибо за плагин,поставлю сейчас же.

  7. Dinara:

    Надо применить, спасибо за совет.

  8. Здравствуйте. Способ со вставкой кода в function.php для скрытия логина администратора у меня не работает. В коде страницы информация продолжает отображаться. Может, все дело в использовании дочерней темы? Хотя все изменения вносятся в файлы дочерней, а не родительской темы. Что я делаю не так? Спасибо.

  9. Марина! Я до сих пор не сталкивась с дочерними темами.
    Может, в этом случае функцию нужно добавлять в обе темы, как в основную, так и в дочернюю.
    А, может, стоит поменять тему…
    Кроме того, если Вы используете плагин для кэширования, то нужно обязательно сбросить весь кэш, а потом уже проверять.
    Если перечисленные варианты не помогут, то можно просто отвечать на комментарии без захода в административную панель, чтобы не светить логин.
    А еще лучше установить современный плагин iThemes Security для защиты сайта.

  10. Так получилось, что как раз дочерняя тема спасла меня после очередной неудачной попытки поменять тему. Переодически я поробую установить другие темы, но возвращаюсь обратно к своей, как к более удачной. Но в этот раз моя тема шла уже без сайтбара (видно разработчики решили, что так лучше) и в админке отображалось, что сайтбар недоступен. Так как дочерняя тема у меня была загружена (вместе с funktion.php), активировав ее, я вернула сайту прежний вид.
    Наверное, действительно попробую разместить код и в родительской теме. Уже и непомню, какие плагины отвечают за кэширование … Обязательно разъясню. Только как теперь быть с логином админ., кот. уже светится в коде страниц? Спасибо вам.

  11. Марина! Про плагины кэширования у меня написано здесь.
    А что делать, чтобы в этом случае не светить логин, я уже рассказывала: отвечайте на комментарии, как обычный посетитель, без захода в админ панель.
    А в админ панели просто будете их одобрять, как администратор.
    Я скрыла свой логин только летом 2015, а до этого мой сайт несколько лет спокойно существовал и без этого.
    Повысятся знания и умения — скроете.
    Можно вообще тему Вордпресс подобрать (или купить), где все уже учтено и функция скрытия логина администратора присутствует в самом шаблоне.

  12. Денис:

    Добрый день.
    У меня такой вопрос. К сожалению не нашел ответа в статье.
    Сделал блог на Вордпресс, снизу страницы, слева есть кнопка «Войти», я пользуюсь разумеется ей для входа на свой блог, но вот очень захотелось мне ее оттуда убрать, дабы предотвратить все не нужные попытки входа, обычных посетителей. Как можно убрать эту кнопку?

  13. Денис! То, что Вы назвали кнопкой для входа на сайт, входит в специальный стандартный виджет Вордпресс, который называется Мета.
    Для того, чтобы убрать этот виджет (вместе с кнопкой), обычно действуют стандартным образом — перетаскивают виджет в административной панели сайта из боковой колонки в неактивные или попросту его удаляют.
    Как в таком случае можно попасть на свой сайт?
    На сайт WordPress можно попасть, задав в поисковой строке браузера ссылку: Ваш сайт/wp-admin/ или Ваш сайт/wp-login.php
    Чтобы каждый раз не задавать такую ссылку вручную, можно открыть страницу входа на сайт и сделать для себя закладку в браузере и заходить на сайт с нее.
    Позаботиться о создании такой закладки в браузере можно и перед удалением меню (виджета) Мета.
    Для этого нажать на кнопку Войти и сделать закладку в своем браузере открывшейся страницы для входа на сайт.
    А потом уже удалять виджет Мета с кнопкой Войти.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *