איך לשנות את כתובת הגישה לממשק הניהול של וורדפרס

שינוי ה Login URL לממשק הניהול של וורדפרס לטובת אבטחה.

אחת מהדרכים הפופולריות ביותר לפריצה של אתרי וורדפרס היא Brute Force Attack. בהתקפה מסוג זו האקרים מנסים הרבה קומבינציות של שמות משתמש (usernames) וסיסמאות בכדי להכנס לממשק הניהול של וורדפרס.

במיוחד כשכולם יודעים שכתובת הגישה לממשק הניהול של וורדפרס היא wp-admin, כל האקר יכול להתחיל בקלות עם אותו ניסיון ל Brute Force Attack.

ישנם לא מעט תוספים שמאפשרים לחזק את האבטחה של וורדפרס וישנן גם לא מעט פעולות אבטחה שאתם יכולים לבצע על מנת להקדים תרופה למכה. אחד הצעדים שניתן לבצע הוא לשנות את כתובת הגישה לממשק הניהול של וורדפרס. באופן זה, האקרים לא יוכלו למצוא את אותו קישור לממשק הניהול ובכך נקטין משמעותית ניסיון פריצה מסוג זה.

במדריך קצר זה נראה כיצד ניתן לשנות את כתובת הגישה לממשק הניהול של וורדפרס באמצעות תוסף. כפי שאתם יודעים, אני נמנע בדרך כלל מלהשתמש בתוספים, אך במקרה זה, כל הניסיונות שלי למצוא פתרון לשינוי ה Login URL בעצמי כשלו.

מעבר לכך, ואם שמתם לב או לא – במרבית המקרים בהן אני מציג חלופות לתוספים באמצעות קוד אלו פתרונות ברמת ה Front-End ופחות ברמת ממשק הניהול של וורדפרס (למרות שיש גם פוסטים כאלו בבלוג). אז ישנם מצבים בהם תוספים עושים עבודה מצויינת ושינוי כתובת הגישה לממשק הניהול של וורדפרס הוא בדיוק המצב…

שינוי כתובת הגישה לוורדפרס באמצעות WPS Hide Login

עם מעל ל 200,000+ התקנות פעילות ודירוג של קרוב לחמישה כוכבים, התוסף WPS Hide Login הוא התוסף הפשוט, קל המשקל והנוח ביותר לשינוי כתובת הגישה לממשק הניהול (ובדקתי מספר תוספים).

WPS Hide Login Installation

באפשרותכם להתקין אותו על ידי חיפוש ״WPS Hide Login״ מאיזור התוספים בוורדפרס או פשוט להוריד אותו מהריפוסיטורי של וורדפרס. לאחר שהתקנתם תוסף זה, גשו להגדרות התוסף המופיעות בממשק הניהול של וורדפרס > הגדרות > כללי בתחתית העמוד.

באפשרותכם לרשום כל מה שתרצו תחת Login URL בהגדרות התוסף, לדוגמה connect, logmein, admin וכל מה שעולה בראשכם, אך זיכרו כי כל המטרה היא לדאוג שכתובת הגישה לאתר הוורדפרס שלכם תהיו קשה לפיצוח.

WHS Hide Login Settings

התוסף דורש וורדפרס בגירסה 4.1 ומעלה וכמובן שאינו משנה כלום בקבצי הליבה של וורדפרס. התוסף גם אינו מוסיף שום ״חוק״ לקובץ htaccess וכל מה שקשור להתחברות לאתר, כגון הרשמה, שחזור סיסמה וכדומה ימשיכו לעבוד כרגיל. הוא פשוט ״מיירט״ בקשות לעמוד המדובר ופשוט עובד מעולה על כל אתר וורדפרס ללא מאמץ מיוחד. כיבוי התוסף מחזיר את האתר שלכם בדיוק לאותו מצב בו היה לפני הפעלת התוסף.

שימו לב – התוסף עובד על אתרי Multisite, אך עם זאת חשוב לציין כי אינו נבדק על אתרים שיושבים על סאב דומיין (זו הסיבה שאיני משתמש בו בסאבי בלוג).

האם התוסף יוצר בעיות עם תוספי קאש (זיכרון מטמון) למינהם?

לפני שנדבר על קאש, נאמר שהתוסף WPS Hide Login תומך בכל תוסף אחר שמבצע הוק לאותו טופס כניסה לממשק הניהול של וורדפרס. BuddyPress, bbPress, Limit Login Attempts הן מספר דוגמאות לתוספים שנתמכים על ידו.

אם אתם משתמשים בתוסף קאש שהוא לא WP-Rocket, עליכם להוסיף את המזהה (slug) של של כתובת הגישה החדשה לרשימת הכתובות שלא יכללו בקאש. WP-Rocket תומך במלואו בתוסף זה ללא צורך בשום פעולה.

אם אתם משתמשים בתוספים WP Total Cache או WP Super Cache, התוסף WPS Hide Login יציג לכם הודעה עם קישור לשדה שעליכם לעדכן.

מסקנה 

מפרספקטיבה של אבטחה, יהיה נכון לשנות את כתובת wp-admin על מנת להקשות על האקרים לפרוץ לאתר שלכם. אם אתם בשלב בו אתם דואגים לאבטח את אתר הוורדפרס שלכם, תנו מבט במדריך בקטגוריה של אבטחת אתרי וורדפרס ומצאו שם לא מעט פוסטים על אבטחה.

 

רועי יוסף
רועי יוסף

מפתח וורדפרס, מאמין ביצירת הזדמנויות לעסקים קטנים, סטארטאפים נועזים ואנשים עצמאים לשנות את העולם. אוהב טיפוגרפיה, צבעים וכל מה שבינהם ומכוון לספק אתרי וורדפרס עם ביצועים גבוהים, תמיכה בכל הדפדפנים, בעלי קוד ולידי, סמנטי ונקי. צרו איתי קשר.

{ 10 תגובות… הוסף אחת }
  • ניר ארזי 5 במאי 2018, 20:18

    מה לגבי לשים את האדמין בסאב דומיין ולהשאיר את הפרונט בדומיין הראשי? יש אפשרות כזו? פלגאין שמטפל בזה?

  • רבין 6 במאי 2018, 21:02

    אין סיבה להשאיר את ממשק הניהול פתוח לכל אחד. צור ACL בשרת לאיזה כתובת IP יש גישה אליו וזהו, בלי גימיים מיותרים.
    אתה יכול להגדיל ולהוסיף שכל פניה לכתובת הניהול שהגיע מכתובת שלא מורשת תחסם לפרק זמן על מנת למנוע מהסורק \ BOT להמשיך "לרחרר" איפה שלא צריך.

  • חתול 8 במאי 2018, 15:38

    WPS Hide Login תוסף מצוין שאני מתקין ישר בוורדפרס. מניסיון התוסף הפשוט הזה עוצר כמעט את כל המתקפות.
    השתמשתי גם ב־Rename wp-login.php. הוא ישן אבל עדיין עובד מצוין.

  • רבין 8 במאי 2018, 15:48

    גם לי אין אבל זה לא מהווה בעיה. יש מספר דרכים להתמודד עם זה.
    למשל fwknop. שפותח את הפורט על פי דרישה ומאכלס את הכתובת הספציפית.

    נכון זה קצת מורכב ולא מתאים לכל אחד, אבל ברגע שמגדירים את זה , זה עובד ואפשר לשכוח מזה.

  • שי 16 במאי 2018, 14:13

    היי,

    למה לא לשים אבטחה כפולה לדף הנ"ל ע"י Htaccess שיקפיץ שם משתמש וסיסמא ברמת השרת ולא תוספת של תוסף נוסף לאתר ?

    • רועי יוסף 18 במאי 2018, 13:38

      מכיוון והמטרה היא למנוע אפשרות שבוטים המגיעים לכתובת האדמין ינסו לנחש את היוזר והסיסמה. אם נעשה זאת ברמת השרת ללא שינוי כתובת, עדיין יש להם את האפשרות לניחוש.

      לעומת זאת אם תשנה את כתובת הגישה לממשק הניהול לא תהיה להם האופציה…

  • דסי 16 במאי 2018, 16:34

    שלום רועי, תודה על המאמרים המצויינים!
    ישנו תוסף אבטחה בשם iTheme security שבין שלל האפשרויות שלו הוא כולל גם את הפונקציה המפורטת במאמר זה.

השאירו תגובה

פעימות