Mula sa may-akda: Ayon sa isang pag-aaral noong 2013, humigit-kumulang 30,000 mga website ang na-hack araw-araw. At gaya ng naiintindihan nating lahat, upang maprotektahan ang iyong website mula sa pag-hack, kailangan mong gumawa ng ilang mga hakbang. Mahalagang panatilihing secure ang iyong personal na data, ngunit mas mahalaga na ipaalam sa mga user na protektado rin ang kanilang data. Ang isang secure na site ay nangangahulugang isang site na mapagkakatiwalaan.
Mayroong ilang mga paraan upang maiwasan ang pag-hack ng iyong WordPress site. Ang isa sa mga ito ay upang paghigpitan ang pag-access sa mga tinukoy na user. Sa artikulong ito, sasabihin ko sa iyo ang hakbang-hakbang kung paano higpitan ang pag-access sa WordPress admin panel sa pamamagitan ng IP address.
Ngunit una, mabilis nating suriin ang mga panganib sa seguridad ng mga site ng WordPress.
Mga Banta sa Seguridad ng WordPress
Brute force hacking – Kapag sinubukan ng isang hacker na makakuha ng access sa isang site sa pamamagitan ng login form sa pamamagitan ng pagsubok sa mga posibleng username at password.
Pagpapatunay sa Pag-login – Sinasabi ng WordPress sa mga user kung aling mga kredensyal sa pag-log in ang kanilang naipasok nang hindi tama. Halimbawa, kung naipasok mo nang tama ang username, ngunit nagkamali sa password, ipo-prompt ng WordPress ang user tungkol dito, na ginagawang mas madaling mahanap ang password sa pamamagitan ng simpleng brute force.
Bersyon ng WordPress – Kung alam ng isang hacker ang iyong bersyon ng WordPress, maaari nilang samantalahin ang mga kahinaan sa bersyong iyon upang makakuha ng access sa iyong site.
Pandaigdigang pagpaparehistro sa WordPress – Bilang default, hindi pinapagana ng WordPress ang kakayahang magrehistro sa site mula sa kahit saan sa mundo. Pinakamainam na iwanan ang opsyong ito na hindi pinagana bilang isang hakbang sa pag-iwas.
Access sa Mga Tema at Plugin – May access ang mga administrator ng site upang i-edit ang functionality file, na maaaring humantong sa mga isyu sa seguridad. Hindi inirerekomenda na baguhin ang file ng pagpapagana ng site.
Bago i-edit ang mga file ng site, tingnan natin ang mga paunang hakbang na kailangang gawin.
Mga hakbang sa seguridad
Sa ibaba ay magdaragdag kami ng PHP code sa mga setting ng file.htaccess. Ngunit bago iyon kailangan mong gawin backup na kopya configuration file.
Gusto ng ilan sa inyo na gumawa ng kumpletong kopya ng site bago baguhin ang anuman. Regular backup – magandang ugali. Tiyaking gumawa ng kopya ng iyong site bago gumawa ng malalaking pagbabago. Matutulungan ka ng VaultPress plugin dito.
Static o dynamic na IP address
Sa araling ito ipapakita namin kung paano paghigpitan ang pag-access sa lugar ng admin ng site para sa parehong mga static at dynamic na address.
Gamitin ang mga tagubilin para sa isang static na IP address kung nag-e-edit ka ng isang site gamit ang computer sa bahay o mula sa ilang iba pang mga lugar. Sa kasong ito, hindi nagbabago ang iyong IP address, i.e. nananatiling static.
Gamitin ang mga tagubilin sa dynamic na IP address kung ine-edit mo ang iyong site mula sa maraming iba't ibang lugar. Ang IP address ay madalas na nagbabago sa mga sumusunod na kaso:
Kapag ang ibang miyembro ng development team ay pumasok at nag-edit ng site mula sa iba't ibang lugar
Kailan mag-e-edit gamit mo mobile phone
Patuloy kang naglalakbay at ina-access mo ang site mula sa iba't ibang lugar
Ang mga pangunahing kaalaman ay inayos na, ngayon ay maaari kang bumaba sa negosyo.
Magsimula na tayo
Nabanggit na namin sa itaas na kakailanganin naming gumawa ng mga pagbabago sa .htaccess file. Ang ikalawang hakbang ay upang mahanap ang .htaccess configuration file. Ang file na ito ay matatagpuan sa root folder ng site. Kung sa ilang kadahilanan ay wala ang file, maaari mo itong gawin nang manu-mano. Mag-login sa pamamagitan ng cPanel o FTP at hanapin ang file na ito.
Kapag nahanap mo na ang file, magpatuloy sa ikatlong hakbang - kailangan mong maghanap ng angkop text editor upang magdagdag ng code sa configuration file. Inirerekomenda namin ang paggamit ng alinman sa editor na nakapaloob sa cPanel o naka-install sa iyong computer (halimbawa, Notepad).
Pakitandaan: Upang hindi masira ang mga kasalukuyang setting ng site, idinaragdag ang lahat ng code sa .htaccess sa pinakatuktok.
Paghihigpit sa pag-access sa pamamagitan ng static na IP address
Kung hindi nagbabago ang iyong IP address o gumagamit ka lamang ng ilang kilalang address, maaari mong limitahan ang pag-access sa site gamit ang mga static na address. Matututuhan mo kung paano lumikha ng isang listahan ng mga IP address na pinapayagang mag-log in sa admin panel.
Paano paghigpitan ang pag-access sa admin panel sa pamamagitan ng static na IP address
Buksan ang .htaccess file sa pamamagitan ng cPanel o anumang iba pang text editor.
Kopyahin ang code sa ibaba sa pinakatuktok ng .htaccess (Gist) file.
RewriteEngine sa RewriteCond %(REQUEST_URI) ^(.*)?wp-admin$ RewriteCond %(REMOTE_ADDR) !^12\.345\.678\.90 RewriteCond %(REMOTE_ADDR) !^IP Address InsertTwo$ RewriteCond %(REMOTE_ADDR) !^IP Address InsertThree$ RewriteRule ^(.*)$ -
Naka-on ang RewriteEngine RewriteCond % (REMOTE_ADDR) ! ^12\. 345\. 678\. 90 RewriteCond % (REMOTE_ADDR) ! ^IP Address InsertTwo$ RewriteCond % (REMOTE_ADDR) ! ^IP Address InsertThree$ RewriteRule ^ (. * ) $ - [ R = 403 , L ] |
Pag-edit ng code
Ang kailangan mo lang gawin ay baguhin ang mga linya 4 at 5 (sa Gist ito ay mga linya 9 at 10) at magdagdag ng mga pinapayagang IP address. Upang gawin ito, palitan ang IP Address InsertTwo$ at IP Address InsertThree$ ng mga gustong address. Ang mga address ay dapat nasa format na ipinapakita sa linya 3 (linya 8 sa Gist).
Pagdaragdag at pag-alis ng mga awtorisadong user
Kung kailangan mong magdagdag ng higit pang pinapayagang mga address, kopyahin lamang ang linyang RewriteCond %(REMOTE_ADDR) !^IP Address Insert$ at palitan ang IP Address Insert$ ng nais na address. Maaari mo ring pigilan ang mga user na ma-access ang admin panel sa pamamagitan ng pag-alis sa linya kasama ang kanilang RewriteCond %(REMOTE_ADDR) address.
Ano ang mangyayari kung ma-access ng hindi awtorisadong user ang page?
Pagkatapos mong paghigpitan ang pag-access sa admin area sa pamamagitan ng IP address, ang isang hindi awtorisadong user na pumupunta sa authorization page o sa wp-admin page ay makakakita ng 404 page.
Kung gagamit ka ng Gist, maaari mong mapansin na ang pag-redirect ay nakasulat doon sa unang dalawang linya. Sa mga linya 1 at 2, kailangan mong palitan ang iyong-site's-path ng address ng iyong site.
Paghihigpit sa pag-access sa pamamagitan ng dynamic na IP address
Maaaring gusto ng ilan sa inyo na ibahagi ang iyong admin panel sa maraming user. Maaaring lumitaw ang sitwasyong ito kung marami kang mga editor ng site, o nagpapanatili ka ng network ng ilang mga site. Ang pangunahing punto dito ay ang ilang mga dynamic na IP address ay kinakailangan upang mag-log in sa admin panel.
Paano paghigpitan ang pag-access sa admin panel sa pamamagitan ng dynamic na IP address
Buksan ang .htaccess file sa pamamagitan ng cPanel o anumang iba pang text editor. Kopyahin ang code sa ibaba sa pinakatuktok ng .htaccess (Gist) file.
RewriteEngine sa RewriteCond %(REQUEST_METHOD) POST RewriteCond %(HTTP_REFERER) !^http://(.*)?your-site"s-name.com RewriteCond %(REQUEST_URI) ^(.*)?wp-login\.php (.*)$ RewriteCond %(REQUEST_URI) ^(.*)?wp-admin$ RewriteRule ^(.*)$ - [F]
Naka-on ang RewriteEngine . * ) $ [ O ]RewriteCond %(REQUEST_URI)^(.*)? wp - admin $ RewriteRule ^ (. * ) $ - [ F ] |
Pag-edit ng code
Upang gumana ang code, palitan ang your-site's-name.com sa linya 3 ng URL ng iyong site (linya 7 sa Gist). Sa Gist na bersyon, ang pag-redirect ay nakasulat din sa unang dalawang linya. Sa mga linya 1 at 2, palitan ang iyong-site's-path ng address ng iyong site. Pagkatapos nito, kung gumagana ang pag-redirect, ire-redirect ka sa 404 na pahina.
Pag-andar ng code
Pinaghihigpitan ng code na ito ang pag-access sa mga hacker na, sa tulong ng mga bot, subukang hulaan ang login at password sa pamamagitan ng simpleng brute force mula sa labas. Ang code sa .htaccess file ay nangangahulugan na ang mga user lamang na nag-access nito sa pamamagitan ng panloob na link ang makaka-access sa login o wp-admin page.
Konklusyon
Walang solusyon na ginagarantiyahan ang 100% na seguridad ng iyong website mula sa anumang posibleng pagbabanta. Ang paghihigpit sa pag-access sa pamamagitan ng IP address ay magdaragdag ng mga paghihirap para sa mga hacker kapag sinusubukang i-hack ang isang site sa pamamagitan ng simpleng brute force.
Ang paghihigpit sa pag-access sa WordPress console ay isang isyu na nag-aalala sa maraming mga gumagamit sa iba't ibang mga forum. Gumagawa ka ba ng isang website para sa iyong kliyente na hindi alam kung paano naiiba ang WordPress Microsoft Word, o gusto lang limitahan ang bilang ng mga user na may access sa console - anuman ang mga dahilan, maaaring kailanganin mong "isara ang mga pinto" sa console sa ilang mga user.
Sa kabutihang palad, maraming mga pagpipilian upang gawin ito. Sa artikulong ito, mabilis kong tatalakayin ang mga pangunahing paraan ng paghihigpit sa pag-access sa console, mula sa pag-set up ng mga pahintulot ng user, na nakapaloob sa WordPress, hanggang sa pagsusulat ng code at pag-install ng mga plugin.
Paghihigpit sa Access Gamit ang Mga Custom na Tungkulin at Kakayahan sa WordPress
Gumagamit ang WordPress ng mga tungkulin at kakayahan upang tukuyin kung sino ang maaaring gumawa ng kung ano sa loob ng mga hangganan ng iisang WP site. Ang pag-set up ng mga karapatan ng user ay ang pangunahing paraan upang paghigpitan ang pag-access sa mga tampok ng backend ng site.
Sa pangkalahatan, may anim na uri ng mga tungkulin: super administrator (para sa mga multisite), administrator, editor, may-akda, contributor at subscriber.
Maaaring gamitin ng mga may-ari ng site ang mga tungkuling ito upang kontrolin kung sino ang may access na magsulat at mag-edit ng mga post, lumikha ng mga kategorya, pamahalaan ang mga komento, lumikha ng mga pahina, magtakda ng mga link, pamahalaan ang mga paksa at iba pang mga user - upang gawin ito, magtalaga lamang ng isang partikular na tungkulin sa isang partikular na user.
Maa-access ng mga super admin ang lahat ng bahagi ng isang multisite na build, habang maa-access ng isang admin ang lahat ng bahagi ng isang regular na solong site build. Ang bawat kasunod na tungkulin ay may lalong makitid na hanay ng mga pagkakataon. Ang pangunahing tungkulin, ang subscriber, ay maaari lamang pamahalaan ang kanilang profile - hindi sila maaaring magsulat o mag-edit ng mga post, baguhin ang mga setting, atbp.
Kung gusto mo ng simpleng paraan upang paghigpitan kung sinong mga user ang makaka-access sa iyong backend, maaari mong awtomatikong italaga ang lahat ng bagong user sa tungkulin ng Subscriber. Ang default na tungkulin ay nakatakda sa seksyong Mga Setting – Pangkalahatan.
Paghihigpit sa Pag-access sa WordPress Gamit ang Code
Sabihin nating mayroon kang isang site ng komunidad kung saan maaaring magparehistro ang mga gumagamit, ngunit hindi mo nais na magkaroon sila ng access sa wp-admin. Kung gusto mong harangan ang console access para sa lahat ng user maliban sa mga administrator, i-paste lang ang sumusunod na code sa iyong functions.php file:
Add_action("init", "blockusers_init"); function blockusers_init() ( if (is_admin() && ! current_user_can("administrator") && ! (defined("DOING_AJAX") && DOING_AJAX)) ( wp_redirect(home_url()); exit; ) )
Ngayon ang mga administrator lamang ang makaka-access sa wp-admin. Ire-redirect lang ang iba sa pangunahing pahina.
Paghihigpit sa Pag-access sa WordPress Gamit ang Mga Plugin
Mayroong ilang mga simpleng plugin na nakakatulong na pigilan ang mga user na mag-log in sa console.
Pag-redirect sa Pag-login
Ang Login Redirect ay isang plugin mula sa WPMU DEV na nagbibigay-daan sa iyong mabilis na i-redirect ang mga user na nakarehistro sa iyong site sa anumang napiling page. Halimbawa, pagkatapos mag-log in ang mga user, maaari mo silang ipadala sa page ng komunidad ng iyong site o i-redirect sila sa post editor.
Ang plugin ay madaling gamitin - pagkatapos ng pag-install at pag-activate, kailangan mo lang pumunta sa Mga Setting - Pangkalahatang pahina at idagdag ang URL kung saan gagawin ang pag-redirect sa field na "Login Redirect".
WP Itago ang Dashboard
Nagbibigay-daan sa iyo ang madaling gamitin na plugin na ito na itago ang console menu, seksyon ng mga personal na setting, at Help link sa iyong pahina ng profile mula sa mga user na may tungkuling subscriber. Sa ganitong paraan, makikita lamang ng iyong mga tagasunod ang pangunahing pahina ng profile.
Ang plugin ay hindi nangangailangan ng anumang mga setting at lumabas sa kahon.
Alisin ang Dashboard Access
Binibigyang-daan ka ng plugin na ito na paghigpitan ang access sa console sa mga administrator o user na may ilang partikular na kakayahan. Maaari mo ring piliin kung maaaring i-edit ng mga user ang kanilang mga profile sa console.
Ang mga user na hindi mga administrator o walang ilang partikular na kakayahan ay ire-redirect sa URL na iyong pipiliin.
Upang i-configure ang plugin, pumunta sa Options - Dashboard Access at pumili ng mga opsyon para sa access at redirection ng user.
Konklusyon
Ang paghihigpit sa pag-access sa iyong WordPress console ay hindi ganoon kahirap. Sa artikulong ito nagmungkahi kami ng ilan mga simpleng paraan isara ang console login para sa mga user, na nag-iiwan ng access para lang sa mga administrator. Maaari kang magpasya para sa iyong sarili kung aling paraan ang pinakaangkop sa iyo - gamit ang mga plugin, gamit ang code, o paggamit ng mga default na setting ng WordPress.
Ngayon, ang Advanced Access Manager plugin (AAM para sa maikli) ay isa sa pinakamahusay na solusyon upang kontrolin ang pag-access at pagbutihin ang seguridad ng site sa WordPress. Ito ay napakadaling gamitin at ang kapangyarihan nito ay nagbibigay-daan sa iyo upang makakuha ng kakayahang umangkop na kontrol sa isa o isang buong network ng mga site.
Gamit ang add-on na ito, makokontrol mo ang pag-access sa iba't ibang bahagi ng iyong site: mga post, page, kategorya, widget o menu. Maaaring tukuyin ang access para sa anumang partikular na user, para sa mga grupo ng user o isang hindi kilalang bisita.
Mga tampok ng plugin ng Advanced na Access Manager
Ang AAM ay isang bagong extension na madalas na ina-update kung kinakailangan at ang mga bagong bersyon ng engine ay inilabas. Mga Pangunahing Tampok ipinatupad sa pinakabagong bersyon:
- Proteksyon sa pag-login ng administrator(Secure Admin Login) - nagbibigay-daan sa iyong kontrolin ang proseso ng pag-login sa iyong site, tukuyin ang numero o posibleng mga pagtatangka sa pag-login, subaybayan ang heograpikal na lokasyon at harangan ang bisita sa pamamagitan ng IP upang maiwasan ang mga potensyal na pag-atake ng hacker.
- Kontrolin ang access sa mga post, page o kategorya(Kontrolin ang Access sa Mga Post, Mga Pahina o Mga Kategorya) - nagbibigay-daan sa iyong limitahan ang pag-access sa iyong mga post, pahina o kategorya para sa sinumang user, tungkulin o bisita, pati na rin tukuyin ang mga pinahihintulutang pagkilos ng bisita.
- Kontrolin ang pag-access sa mga media file- Maaari mong tukuyin ang access ng user sa mga media file para sa sinumang user, tungkulin o bisita. Gumagana ang function na ito nang walang anuman karagdagang mga pagsasaayos sa server nang hindi gumagamit ng Htaccess file.
- Pamamahala ng mga tungkulin at kakayahan— maaari mong pamahalaan ang listahan ng mga tungkulin at kakayahan. Ang tampok na ito ay binuo at sinubukan ng daan-daang mga karanasang gumagamit at developer ng WordPress. Nagbibigay ito sa iyo ng kakayahang gumawa, mag-update o magtanggal ng anumang tungkulin o kakayahan. Para sa mga kadahilanang pangseguridad, ang tampok na ito ay limitado bilang default, ngunit madaling ma-activate.
- Pagre-record ng aktibidad ng user— maaari kang magtago ng tala sa pag-log in: kung paano at kailan nag-log in o nag-log out ang user.
- Filter ng backend na menu— pamamahala ng access sa backend na menu (kabilang ang mga submenus), iyon ay, ang menu na ipinapakita kapag pumapasok sa WordPress site management console.
- I-filter ang mga metabox at widget— paunang tukuyin ang mga magagamit na metabox o widget para sa sinumang user, tungkulin o bisita.
At marami, marami pang iba.
Isang mahusay na libreng plugin para sa WordPress na nagbibigay-daan sa iyo upang i-configure ang pag-access sa Russian.
Pag-install
Mga pag-install na katulad ng karamihan sa mga plugin para sa WordPress. Pahina sa opisyal na website: http://wordpress.org/plugins/advanced-access-manager/. Kapag nag-i-install sa pamamagitan ng console, ipasok ang tekstong "Advanced Access Manager".
Pagkatapos ng pag-install, isang karagdagang tab na may submenu ay lilitaw sa menu ng pamamahala ng site:
- "Kontrol sa pag-access" - mga pangunahing setting;
- "ConfigPress" - nagbibigay-daan sa iyong gamitin mga espesyal na code para sa mga advanced na setting;
- "Extension" - mga karagdagang plugin at extension, karamihan ay binabayaran. Ang mga ito ay may kakayahang higit pang palawakin ang pagsasaayos;
- "seguridad" - mga setting tungkol sa proteksyon ng admin panel at mismong site.
Mga Setting ng ConfigPress
Nasa ibaba ang isang listahan ng lahat ng posibleng setting ng ConfigPress na may paliwanag:
Tinutukoy namin ang default na pag-access sa mga item sa menu ng administrator kung hindi pa ito na-configure. Bilang default, ito ay nakatakda sa "Payagan".
menu.undefined = "tanggihan"
Pagbabago ng default na access sa AAM menu - Access Control. Bilang default, ang administrator lang ang may access.
page.access_control.capability = "aam_manager"
Ang pagbabago sa default na kakayahang ma-access ang "AAM" ay "ConfigPress".
page.configpress.capability = "configpress_guru"
Baguhin ang default na access sa AAM - Extension screen.
page.extensions.capability = "aam_extensions_manager"
Kung walang tinukoy na access para sa kasalukuyang artikulo o page, bilang default, sinusubukan ng AAM na mamana ang mga setting mula sa kategorya ng magulang.
post.inherit = "false"
Kung walang tinukoy na access para sa isang partikular na kategorya, bilang default ay sinusubukan ng AAM na magmana ng mga setting mula sa parent na kategorya.
term.inherit = "false"
Upang mapabilis ang pagpapatupad ng AAM, maaaring i-cache ang resulta. Awtomatikong ina-update ang cache kapag na-click mo ang button na I-save.
caching = "totoo"
I-unlock ang mga limitadong kakayahan sa AAM para sa isang admin. Bilang default, hindi pinapayagan ang mga manager at iba pang administrator.
super_admin = "totoo"
Ang bawat isa ay may panloob na ID (karaniwang katumbas ng maliit na titik) at isang pangalan. Sa tuwing may gagawing bagong tungkulin gamit ang AAM, nagbabago ang ID sa isang bagay tulad ng aam_78koi9831933i. Pinipigilan ng setting sa ibaba ang pag-uugaling ito at pinapanatili ang maliit na titik ng pangalan.
native_role_id = "totoo"
Binibigyang-daan kang i-redirect ang user kung ang access sa anumang mapagkukunan ng server ay tinanggihan I-post ang URL o mga pahina na may tinukoy na numero ng pagkakakilanlan sa setting na ito. Bilang default, ipapakita nito ang Access Denied.
access.deny.redirect = "http://insert_address.ru dito"
Mensahe kapag ina-access ang isang ipinagbabawal na bahagi.
access.deny.message = “Oh. Ito ay isang restricted area."
- katulad na mga setting.
Ang lahat ng mga setting na ito ay pinagsama-sama at umaangkop sa kaukulang window:
Mga setting ng seguridad
SA kasalukuyang bersyon AAM para sa seguridad dapat nating gamitin ang ConfigPress para tumawag ng ilang function. sa ibaba buong listahan lahat ng posibleng setting ng ConfigPress para sa seksyon ng seguridad:
Sinusubaybayan ng geo feature ang lokasyon ng user batay sa IP address. Ang tampok na ito ay hindi pinagana bilang default at maaaring paganahin sa pamamagitan ng pagpapalit ng false sa true.
login.geo_lookup = "false"
Ang plugin ay gumagamit ng FreeGeoIP.net web service upang makakuha ng geo location batay sa IP address. Sa kasalukuyan ito ay ang tanging pagpipilian, ngunit nangangako ang mga developer na palawakin ang listahan posibleng mga opsyon sa mga susunod na bersyon.
login.geoip.service = "FreeGeoIP"
Ang pag-andar ng pagsubaybay sa proseso ng pag-log in sa admin panel at pagharang sa pag-login - ay nagbibigay-daan sa iyo upang maiwasan ang site na ma-hack gamit ang brute force iba't ibang kumbinasyon mga password.
login.lockout = "false"
Tinutukoy ng setting na ito ang bilang ng mga pagtatangka na ipasok ang tamang password.
login.attempts = "10"
Mayroon ding login.attempt_failure = "slowdown", login.slowdown_time = "5", login.die_message = "You cannot log in" at login.cache_limit = "1000".
Mga setting ng “Access control”.
Hitsura:
Makakahanap ka ng impormasyon tungkol sa mga ito at iba pang mga setting ng plugin sa seksyon ng tulong sa opisyal na website http://wpaam.com/category/tutorials/. Pagpapatuloy ng mga setting at paggamit sa mga sumusunod na artikulo!
Magandang hapon mahal na mga mambabasa! Pagkatapos ng ligaw na katapusan ng linggo, gusto kong sabihin ang "Salamat sa iyong buhay." Magkakaroon ng hiwalay na artikulo tungkol dito, dahil muntik na akong malunod sa mga kumpetisyon.
Well, okay, hindi tungkol doon ngayon. Ngayon para sa iyo, mahal na mga mambabasa ng aking blog, inihanda ko ang sumusunod na artikulo, na tinatawag na kung paano paghigpitan ang pag-access sa admin panel ng isang WordPress site.
Nais mo na bang magbigay ng pagpaparehistro ng user sa isang WordPress site nang hindi nagbibigay ng access sa admin area? Kapag ang isang user ay lumikha ng isang account sa WordPress, siya ay tumatanggap ng mga karapatan sa WordPress admin panel. Sa artikulong ito sasabihin namin sa iyo kung paano harangan ang pag-access sa admin area ng isang WordPress site.
Bakit higpitan ang pag-access sa WordPress admin panel?
Ang mga espesyal na user lang na pinagkakatiwalaan mo ang dapat magkaroon ng mga pribilehiyo sa inner sanctum ng iyong site. Kung nagpapatakbo ka ng blog na may maraming may-akda, maaaring gusto mong payagan ang mga editor ng kawani at marahil ang iyong mga tauhan na gumawa ng mga pagbabago, ngunit hindi ang mga subscriber.
Kahit na binibigyan mo ng access ang ilang user sa admin area ng iyong blog, makokontrol mo pa rin kung ano ang maaari o hindi nila makita dito. Tatalakayin natin ito sa ibang pagkakataon.
Paghihigpit sa pag-access sa lugar ng admin ng WordPress site
Ang unang bagay na kailangan mong gawin ay i-install at i-activate ang espesyal na Remove Dashboard Access plugin. Pagkatapos ng activation, kakailanganin mong pumunta sa tab na Mga Setting -> Configurations Remove Dashboard Access
Pinapayagan ka ng plugin na ito na pumili ng mga pribilehiyo ng user para sa pag-access. Maaari kang magtalaga ng mga administrator, editor, mga may-akda.
Bukod pa rito, maaari kang magpataw ng mga paghihigpit sa iba't ibang aktibidad ng iyong mga user. Ang ibig sabihin nito ay makokontrol mo ang iba't ibang aktibidad ng iyong mga subscriber na may access sa "puso" ng iyong site. Maaari kang magdagdag at mag-alis ng mga bagong tungkulin para sa iyong mga may-akda.
Ang susunod na opsyon ay piliin ang pag-redirect ng URL. Binibigyang-daan ka nitong i-redirect ang mga user na "naka-ban" o "naka-mute" sa iba't ibang page sa site. Sa sandaling pumasok siya sa isang seksyon kung saan limitado ang access para sa kanya, ire-redirect siya kaagad sa anumang page na tinukoy sa mga setting.
Kung gusto mong i-edit at baguhin mismo ng mga user ang kanilang mga profile, kailangan mong lagyan ng check ang kahon sa tabi ng “User Profile Access”. Ngayon ang lahat ng mga user na nasa "banned" na katayuan ay ire-redirect sa pahina para sa pag-edit ng kanilang profile, sa halip na sa karaniwang pag-redirect sa mga pahina ng site.
Kung nasiyahan ka sa lahat, pagkatapos ay mag-click sa "I-save ang mga pagbabago".
yun lang. Ngayon lahat ng iyong mga user na may mga napiling pribilehiyo ay may kakayahang ma-access ang WordPress admin area.
Pagtatago ng mga elemento sa admin area sa WordPress
Minsan maaaring gusto mong limitahan kung ano ang nakikita ng isang user at maaaring i-edit sa admin console.
Alinsunod dito, maaari mong itago indibidwal na elemento at kontrolin kung ano ang makikita ng mga user sa admin panel ng site. Maaari mong itago ang mga hindi kinakailangang elemento gamit ang Adminimize plugin.
Pag-uusapan natin ang plugin na ito sa susunod na artikulo.
Salamat sa iyong pansin.
(1)
Ang tutorial na ito ay tungkol sa isang plugin na ginamit namin upang limitahan ang bilang ng mga pagsubok sa pag-log in para sa mga user. Hindi nagtagal, muli kaming pinaalalahanan tungkol sa plugin na ito, kaya ngayon sasabihin namin sa iyo ang higit pa tungkol dito. Ang plugin na ito ay tinatawag na Limitahan ang Mga Pagsubok sa Pag-login at ito ay ginagamit upang limitahan ang bilang ng mga pagtatangka na pumasok sa site para sa mga user.
Wala kang problema kung hindi sinusubukan ang iyong proyekto hack masamang hangarin o hacker na sinusubukang hulaan ang password ng administrator para sa iyong site. Ngunit sa kasamaang-palad, ang gayong mga tao ay hindi kailanman lilipat, kaya ang artikulong ito ay magsasalita tungkol sa kung paano ayusin ang bilang ng mga pagtatangka sa pag-login sa iyong site sa ilalim ng password ng administrator o isang partikular na gumagamit ng iyong WordPress site.
Bakit sulit na limitahan ang bilang ng mga pagtatangka sa pag-login para sa isang user na may isang WordPress account?
Minsan ay maaaring ipalagay ng isang hacker na alam nila ang iyong password at na-develop script ng paghula ng password sa pamamagitan ng paulit-ulit na pagtatangka. Sa kasong ito, kinakailangan na limitahan ang bilang ng mga pagtatangka sa pag-log in sa iyong site.
Ang pag-abot sa limitasyon ng mga nabigong pagsubok sa pag-log in ay magreresulta sa pagka-block ng user pagkatapos lumampas sa limitasyon bilang ng mga pagtatangka ng pahintulot sa iyong website. Iba-block ang user na ito sa tagal ng panahon na iyong tinukoy.
Maaaring kontrolin ang mga setting ng access blocking plugin sa admin panel ng site. Bibigyan ka rin ng panel na ito ng pagkakataong subaybayan ang bilang at dalas ng mga taong gustong i-hack ang iyong site. Kung mapapansin mo duplicate na IP address, kung saan sinusubukan ng mga administrator na i-access ang iyong site, maaari mong i-ban ang naturang IP address.
Paano limitahan ang mga pagtatangka sa pag-login para sa WordPress?
Upang gawin ito, i-install lamang at i-activate ang plugin Limitahan ang Mga Pagsubok sa Pag-login.
Susunod na pumunta sa mga setting naka-install na plugin: Mga Pagpipilian → Limitahan ang Mga Pagsubok sa Pag-login. Punan ang patlang ng ang bilang ng mga katanggap-tanggap na nabigong pagtatangka na makapasok sa site, at gayundin tagal ng pagharang ng user ayon sa oras at i-save ang mga setting.
Sa log din makikita mo ilan may mga nabigong pagtatangka na pumasok sa site, at matatanggap mo sa iyong email box mga abiso tungkol sa gaano kadalas sinubukan ng isang partikular na user na mag-log in sa iyong website account.
Pag-filter ng access sa WordPress console sa pamamagitan ng IP address
Bilang karagdagan sa pagharang sa isang user para sa mga nabigong pagtatangka na pumasok sa site, ang tanong ay lumitaw pagsasala mga gumagamit ayon sa tiyak IP address.
Bilang pag-iingat, maaari mong limitahan ang pag-access sa site sa pamamagitan ng pag-filter ng mga IP address sa file wp-login.php. Halimbawa, mayroon na tayo pinaghihigpitang pag-access sa direktoryo ng wp-admin sa pamamagitan ng pag-filter ng IP. Samakatuwid, iminumungkahi namin na maging pamilyar ka sa kung paano limitahan ang IP access sa iyong file wp-login.php sa WordPress. Pakitandaan na ang gabay na ito ay hindi ganap para sa mga nagsisimula, dahil nangangailangan ito ng ilang karanasan sa pag-set up ng isang website sa WordPress.
Buksan ang file .htaccess at idagdag ang sumusunod na code sa tuktok ng file bago ang natitirang bahagi ng file mismo:
Huwag kalimutang palitan ang tinukoy na mga halaga ng IP address ng iyong sarili. Ang tanging downside ay maaaring mayroon kang isang dynamic na IP address. Kung hindi man, ang mga pagkabigo at problema sa pagpapatakbo ng naturang filter ay hindi lilitaw. Gayundin, pagkatapos idagdag ang code, ang estilo para sa wp-login.php, ngunit pagdating sa pagprotekta sa iyong site, hindi ito ang pangunahing bagay. Gusto lang naming limitahan ang bilang ng mga maling pagsubok na ma-access ang file at ang site.