! Запросто с WordPress - доступная ручная работа по правилам оптимального интернета
...здесь Ваша реклама.?.
Здравствуйте !
написано: — 
отредактировано: 2017-11-16
издатель:  в теме: Техническое SEO  реплики: 70 комментариев
 
Запросто с WordPress - студия ATs media fashion Reception WordPress golden

Как защитить от взлома файлы сайта на WordPress — важные правила…

Встречайте: вот несколько необходимых настроек сайта, которые помогут значительно обезопасить свою кровиночку сайт от взлома мошенниками))

…перечислю некоторые возможности, которые ну просто дозарезу необходимо знать и использовать в качестве превентивных мер, создавая сайт…

А вообще, в интернете запросто отыскать много полезного из того, что просто необходимо иметь в арсенале защиты своего сайта/блога…

 

Занавес открывается:


Конечно, стопроцентной защиты (как и ничего 100%, впрочем) не существует, но, однако, процентность взлома блога должна быть как можно ниже и к этому — нужно стремиться стремглав) А посему всякая информация безопасности интернет-ресурсов лишней не бывает.

 

 

 

 

некоторые правила безопасности блога на WordPress

 

 

Новичкам рекомендую перво-наперво, конечно же, установить плагин iThemes Security (Better WP Security) в интернет много информации относительно его настроек — впрочем, вот некоторые из них — взгляните Как изменить url страницы админпанели этим вы скроете адрес (ссылку) на страничку «входа», о котором будете знать только вы!

И более общая информация Better WP Security

К стати же — плагин замечательным образом настраивается на сохранения копий Базы Данных: по дням и т. п.

 

Коли есть новички, то вам замечательным образом поможет избежать многих нелепых начальных ошибок да и сохранить массу полезнейшего времени вот этот пост необходимые настройки сайта

 

 

Продолжим…

 

Я сейчас не стану говорить о пользе/не пользе статических и динамических ip-адресов, с ними разберётесь постепенно, так сказать, в процессе личной практики… )

 

А пока, настоятельно предлагаю поближе познакомиться с вашим хостингом !! — рекомендую написать в поддержку, чтобы они разъяснили настоящие возможности вашего аккаунта, а в том числе и возможные вариации защиты.

Всякий приличный хостер (группа поддержки — Support)) обязательно предложат пояснительное письмо.

 

…стоит поинтересоваться у поддержки, есть ли возможность установить двухфакторную аутентификацию при заходе к себе во владения…

Подобный принцип работы наглядно демонстрируется, к примеру, в Google — когда добавляете аккаунт требуется подтверждение по SMS.

 

 

Что жж, пока ждёте ответ хосто-братьев, как правило, нерасторопной тех-поддержки… времени не теряйте:

 

 

 

 

к оглавлению $

попристальнее изучите регулировки панели управления хостом

 

 

 

 

Будет нелишним отключить доступ по FTP, ну или как-то это дело регулировать: когда хостомеханика сайта не требуется, вряд ли «включенный доступ» оправдан, — если у вас динамический ip и вы не можете запретить вход в аккаунт всем ип адресам, окромя вашего…

 

Ну и касаемо этой темы, вероятно, будет небесполезно отключить возможность редактирования файлов корня шаблона из админки.

Ведь как, когда уже сайт боле-менее настроен и работает, доступ к регулировкам файлов только в тягость личным нервам… К слову, на сайтах под моим управлением «редактирование из консоли» отключено всегда!

 

 

Открываете файл wp-config.php что в корне сайта (не темы) и куда-то ближе книзу… рядышком со строкой «пожелания удачи» от разработчиков, дописываете строки данные ниже:

 

 

/**запрет редакции в админке*/
define('DISALLOW_FILE_EDIT', true);

 

 

Ну и кому нужно, там же можно запретить автоматическое обновление системных файлов WordPress. Это полезно !! — ко всем обновлениям нужно быть подготовленным.

Не подвергайте свой сайт тестированию cms разработчиков ! —

существуют так называемые «мажорные» и «минорные» обновления, попросту — важные и не очень важные, в которых осуществляется отлов и исправление ошибок обновлённого функционала текущей версии WordPress.

 

Посему логичнее обновить на уже «безошибочный» минорный вариант (хотя ошибки были и будут всегда) — однако, думаю, информация пригодится для личных практических знаний.

 

 

/**отключение автообновления вордпресс*/
define( 'WP_AUTO_UPDATE_CORE', false );

 

 

 

Итак, после использования файла wp-config.php для нашей же защиты, научимся:

 

 

 

 

к оглавлению $

как обезопасить файлы wp-config.php и .htaccess

 

 

 

 

После наших редакций конфигурационного файла открываем не менее легендарный файл .htaccess — в нём мы кстати защитим и сам файл конфигурации wp-config.php

 

 

1 — код: защищаем файл конфигурации.

 

 

# защита wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

 

 

 

2 — код: защищаем файл .htaccess

 

#Защищаем .htaccess файл
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

 

 

Далее…

 

У которых статический ip — будет полезно защитить файл wp-login.php — страничку входа в админку.

 

 

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xx.xx.xx
</Files>

 

 

запрет доступа к странице всех ip-адресов, кроме вашего: где ххх.ххх. ваш личный IP.

 

 

Ну а для тех, которые статическим айпи адресом пока ещё не обзавелись, постулат:

Поймите ! если у вас отсутствует возможность запретить доступ к администрированию ресурса всем, кроме своего IP адреса — это не значит плюнуть на защиту!

 

 

 

 

 

к оглавлению $

как обезопасить от мошенников медиа-папку uploads

 

 

 

 

…папка с картинками одно из уязвимых и дырявых мест корня сайта.

 

 

Вот путь:

 

ВАШ_ДОМЕН/wp-content/uploads

 

 

Внутри папки uploads создаём новый независимый файл .htaccess и прописываем в нём следующие кодированные строки (этими параметрами запретим выполнение сторонних скриптов и внешний доступ к папке uploads, а также исключим загрузку неизвестных файлов):

 

 

Позволим загрузку только лишь картинок определённого формата — пропишем следующие строки в созданный файл.

 

 

#Защищаем .htaccess файл - только загрузка картинок
<FilesMatch "\.(gif|jpg|png)$">
Allow from all
</FilesMatch>
Deny from all
#Защищаем .htaccess файл - только загрузка картинок
# END WordPress

 

 

Как это работает: просто и замечательно… посмотрите на вторую строку (выделена жёлтый), видите..? Это расширения файлов, которые разрешены к загрузке в папку (это коротко)…

 

Дополню, пожалуй, только тем, что вы можете на своё усмотрение добавить «разрешённое» расширение. Например, в этом случае будет целесообразно дописать и формат (или расширение, кому как удобнее) jpeg — попробуйте отредактировать сами…

 

 

А я покажу ещё один, на мой взгляд, симпатичный способ — кстати, не так давно на одном из сайтов закрыл огромную лазейку — прямо дыру ко взлому (к великой неожиданности администратора) но обо всём по порядку:

 

 

 

 

к оглавлению $

как защитить важные файлы ядра вордпресс и корня шаблона…

 

 

 

Поместите вот этот лихой файлик .htaccess в наиважнейшие папки своего сайта: это полезная заготовка и настраиваемый инструмент защиты в дальнейшем пути развития блога/сайта…

 

Права на запись можно задать и 444 — это в файловом менеджере… (Конечно же, не забывайте тестировать итог проделанных работ)

 

 

Итак — в папку темы поместите, скопировав, следующий чудо код… (замените .htaccess второй строки на имя другого защищаемого файла или оставьте как есть).

 

 

#Защищаем .htaccess файл
<files .htaccess>
order allow,deny
deny from all
</files>
# защита index.php
<files index.php>
order allow,deny
deny from all
</files>
# END WordPress

 

 

Выделенная строка 7  — как вы понимаете, обезопасит индексный файл (во многих темах он отвечает за формирование заглавной страницы сайта) — это очень важно!!

 

 

На одном из сайтов получилось так: подстроив кое-какие огрехи и убрав некоторые прорехи… Я решил для пущей строгости тестить далее…

…набираю в адресной строке браузера такой чудо-адресок:

 

 

https://mihalica.ru/wp-content/themes/имя_темы

 

 

Секунды соединения… ужас-интернет-коллапса… и — браузер преподнёс неожиданное окно, короче…

 

В самом верху красовалась строка гласившая о фатал еррор.

 

 

Fatal error: Uncaught Error: Call to undefined function ... и так далее...

 

 

Чем это плохо !? — если у вас получается то же самое, взгляните на сообщение в вашем окне внимательнее!!!!

 

 

Среди прочей тех-составляющей лабуды, более менее продвинутый пользователь, разглядит логин для входа в админку файлового менеджера — это очень и очень!!.

Взломщику останется только подобрать пароль — и ваш акк на хостинге открыт. О какой защите сайта или аккаунта файлового менеджера здесь можно толковать?

 

Не знаю, за все хостинги утверждать не берусь, но во многих — описанная выше строка имеет опасную информацию. Имейте ввиду это други.

 

 

А вообще — напоминаю, проконсультируйтесь в поддержке, имеет ли возможность ваш хостер предоставить вам двухфакторную авторизацию. На приличных хостах, этого дела хоть отбавляй)

Кстати, это одна из проверочек компетентности качества площадки хостинга, ибо как ни крути, а и хостер должен быть заинтересован в вашей защищённости. Реноме, знаете ли…

 

 

Вот ещё экзерсис:

 

…ради эксперимента уж коли коснулись защиты сайта, попробуйте прописать в адресной строке браузера, например так:

…жмите Enter…

 

https://mihalica.ru/wp-content/plugins/

 

ИЛИ

 

https://mihalica.ru/wp-content/

 

 

!! После прогрузки окно браузера должно быть пустым !!  …и если у вас не так… …исправьте это!

 

 

 

В этих случаях, при адресном запросе файла, должна открываться пустая страничка! …ну, на худой конец, сообщение о том, что «…доступ к файлу ограничен администратором…»

Никакой технической «белиберды» понятной взломщику быть не должно! Это и будет одним из многих способов защиты сайта от взлома.

 

 

 

Добавьте в папки plugins (плагинов) и основную пользовательскую wp-content такой файлик:

Это почти пустой индексный файл — с расширением.php — имея его в нужных директориях, доступ к просмотру файлов будет запрещён — пустая беленькая страничка.

Не правда ли, очень философично и многозначительно — как картина белый квадрат.

Пусть взломщик наслаждается искусством… и парится.

 

 

Запись в фале лаконичная:

 

 

<?php
// Silence is golden.

 

 

Не забудьте при тестировании директорий своего сайта поменять имя моего домена на свой)

 

 

 

А напоследок я спою вот о чём:

 

 

Важное!

Внимательнее относитесь к скриптам из сети, коих сейчас достаточное разнообразие и, расширяя всевозможные сайтовые улучшали, избегайте необдуманной прописки кода в файлы своего сайта. Скрипт может содержать, мягко скажем, нежелательные «программки сканирования» и т. п. Бывает так, что автор, переопубликовавший какое-то полезное решение, ничего о вредоносном коде в скрипте и не подозревает!

!! потратьте несколько времени на проверку кодо-решения…

 

2: backup сайта и Базы Данных !! — и если мне нынче удастся кого-то заставить запомнить это важнейшее правило, уже будет здорово.

Вы должны довести свои действа до автоматической отработки: как только собираетесь вносить изменения в файлах системы — всегда перед этим делайте полный бекап сайта.

А сэкономленное время на всякие восстановления блогоресурса, целесообразнее потратить на полезные дела.

Материальный импульс этому напоминанию исключительно личный опыт…

 

 

Для тех, которые желают создать серьёзную веб площадку, приносящую автору не только удовольствие, но и заработок ! советую выкинуть из головы идею «бесплатного» — бесплатное, это проигрыш! А исключение, подтверждающее это правило, только одно: максимально бесплатно удастся создать площадку только в одном случае, если вы готовы к самоотверженному труду и стойкости во времени… работе…

 

Осторожнее относитесь к плагинам ! не устанавливайте непроверенные архивы…

Не пользуйтесь бесплатными темами (шаблонами) у которых нет явного авторства! но в избытке положительные отзывы: вся эта благодать, как правило, купленная декорация!!

 

не покупайтесь же, как индейцы, на бусы.

 

!! Поймите !! все перечисленные требования, есть средства защиты вашего сознания от обработки сетевых мошенников) и это ни чуть не менее важно самой защиты сайта.

 

Присматривайтесь к сайтам, на которых черпаете информацию: сайт должен быть живой, с ведущим автором или сетевым администратором, который охотно предоставляет информацию о себе и команде в сторонних социальных сетях.

Такие авторы всегда будут рады вам помочь как при знакомстве, так и в дальнейшем, ибо живой диалог обеим сторонам только на пользу!

 

И ещё: усвойте правило минусов «платного» — покупая какой-то плагин, шаблон… вы становитесь на вечный путь покупателя, ибо сиюминутные удобства крадут ваши личные знания!

А ведь только на личные же знания и до́лжно полагаться в сайтостроении, до и не только в веб индустрии..!

 

Плюс платного в том, что, изучение материальной части по правилам создания сайтов, начинается от более верной стартовой точки профессионала, но не хаотично и разрозненно, а, зачастую, основываясь на ошибочной идее бесплатных проб и ошибок разработчиков…

 

 

Итог: главное без фанатизЬма защищайтесь…

 

 

 

Желаю вам удачного ведения дел в вашем бизнесе… )

 

 

 

А теперь самое время защититься и от себя! …чтобы при оказии самим-с не взламывать сайт свой… полезный менеджер для «незабывчивости» паролей. Рекомендую.!.

 

Как закрыть nofollow ссылки тегов - меток

 

На этом у меня на сегодня решительно всё!..

 

 

…а в комментариях давайте поделимся личными способами защиты… Всем будет полезно!!

А я ещё что-то найду для новичков: в общем у меня есть кое-что новенькое, но несколько сложновато… да и пока что тестирую лично-с. Так что нелишне будет подписаться))

 

 

Замечание:

…в обновлённом вордпресс 4.6… и т.д. стало крайне неудобно редактировать записи сайта — пропадают наработки, правки статей затираются…

Советую прочитать текстовый редактор работает неправильно — кэшируется

 

 


подписка feedburner МИГ подписки - ВРЕМЯ знаний!!

 


Благодарности)) и вопросы в комментариях - помогу… в чём дюжу
А также Вы можете просто:
Нажатия на кнопочки определяют Ваше высокое гражданское сознание
ещё статьи по теме:

меточная навигация:


Комментарии © 70 к статье: Как защитить от взлома файлы сайта на WordPress — важные правила…
1 2

  1. А разве нет компаний, которые бы предлагали отдельно систему защиты? Я как-то на umi.ru брал конструктор и там же, помню, можно было что-то и для защиты прикупить.

    Ответить - Роман

    • Здравствуйте Роман!
      umi.ru насколько я понимаю, бесплатная площадка-конструктор. А на бесплатной площадке сама мысль покупки ПЛАТНОЙ защиты звучит кощунственно по отношению к здравому смыслу!
      Я лично услугами таких площадок не пользовался (это, мягко говоря, дет-сад): судить не берусь…
      Касаемо же платного хоста — да, он в общем-то заинтересован в защищённости сайта клиента, но внутреннюю файловую структуру сайта обязан блюсть владелец. …и правильнее, если админ это будет делать средствами своих знаний и… ручками, де-факто))

      Ответить - Михаил

  2. Здравствуйте.
    Чудо-адресок точно http://mihalica.ru/wp-content/имя_темы а не http://mihalica.ru/wp-content/themes/имя_темы ?
    А ещё хорошо было бы дополнить повествование использованием советов с серча (там закрепленная тема в разделе безопасность) — тоже про файлик хтексесс, который запрещает использование php, как думаете?

    Ответить - Робинзон

    • …весьма и весьма — спасибо за указку на опечатку, Робинзон!!
      Поправил…

      А ещё хорошо было бы дополнить повествование использованием советов с серча (там закрепленная тема в разделе безопасность) — тоже про файлик хтексесс, который запрещает использование php, как думаете?

      А что!? дополним повествование, коли дельные фичи имеются… Надо бы взглянуть: Вы ссылочку на страничку тут (прямо в коммах) киньте — думается, полезен будет «переход» читателям.
      Ещё раз спасибо за поправку и, конечно же, комментарии!!

      Ответить - Михаил

  3. Ссылочка — форум СЕРЧ прямо первый пост. Что там по настройкам папок и файликов хтаксесс. И — хорошо бы написать в виде «инструкции для чайников». Какие папки ридонли (и что это означает в переводе на права доступа), какие папки с правом записи и что за файлик туда совать=)

    Ответить - Робинзон

    • …ну, в общем, там много что есть и вполне понятно изложено.
      Поправлю вас и я: не для чайников, но — новичков.
      А чайник это (хобби) и тот, которому не обязательно тонко учиться в какой-то теме (например, я чайник в картинных галереях))…
      А новичок — желает учиться, — вот для новичков что-то придумаем и дополним статейку.
      Спасибо ещё раз за участие! …заходите на сайт и впредь…

      Ответить - Михаил

  4. Спасибо! просто — спасибо…
    Нашёл всё что нужно.

    Ответить - Втер

    • Пожалуйста, коли так!!
      Хотя — по защите сайта можно писать бесконечно…

      Ответить - Михаил

  5. Привет ребята.
    Не могу найти папку uploads, по указанному пути её нет. Подскажите как найти.

    Ответить - Дмитрий

    • Здравствуте Дмитрий!

      Не могу найти папку uploads, по указанному пути её нет

      Этого просто быть не может ни в коем разе!!
      ДОМЕН/wp-content/uploads
      …ищите, если не удалили случаем!

      Ответить - Михаил

  6. Михаил, спасибо за оперативный ответ.
    Вот смотрите //была ссылка на скрин - не важно папку я 100% не удалял.

    Ответить - Дмитрий

    • У Вас что за сборка ядра?? ))
      Однако можно просто-напросто эту папку uploads создать!! И всего делоф!
      Ничего страшного в этом нет!!
      Только не забудьте настроить в админке раздел «Медиафайлы» — почитайте ЭТО и т.п. чтобы уж в этой папке другие (автоматически) создавались.

      Ответить - Михаил

      • У меня WordPress 4.7.1 Не буду создавать её, нет папки — нет проблем :-)

        Ответить - Дмитрий

        • нет папки — нет проблем

          В этом случае великое сталинское (а точнее рыбаковское) высказывание не подходит!
          А куда станете загружать картинки?
          ЭТА ПАПКА НЕОБХОДИМА !!
          Попробуйте архив ядра WP переустановить полностью.

          Ответить - Михаил

          • Переустановка помогла, папка появилась. Спасибо.

            Ответить - Дмитрий

            • Ну и здОрово..!
              Спрашивайте, коли появятся вопросы…

              Ответить - Михаил

  7. Привет Михаил ATs!!
    Скажите мне: я вот сколько читаю-читаю… и так в толк не возьму — ест ли предел в работе по защите??
    Пожалуйста, если можно, укажите мне несколько основных «ДЕЙСТВИЙ» достаточных для относительной защиты сайта.

    Ответить - Элана

    • Здравствуйте Элана!
      Да, тема весьма обширна…
      Для начала заставьте себя создавать более сложные (от нынешних ваших) пароли! менять их время от вр. Установите плагин Better WP Security: настройте! (понимаете, важна не ПРОСТО установка — НО НАСТРОЙКА!!)) И…
      …бекапы-бекапы…
      В общем, этого достаточно, чтобы работать не боясь! (и в сл. чего быстренько 99.99% восстановиться))
      Подписывайтесь на эту статью… скоро суда выложу видео, рассказывающее о многих нюансах защиты, плюсах и минусах…

      Ответить - Михаил

  8. «выложу видео, рассказывающее о многих нюансах» ..Вспомнилось. «Ну, выкладывай, как сказал отец сыну, проглотившему доллар».)

    Ответить - Робинзон

    • Выложу… выложу…
      Равно так же как другой отец сказал (другому сыну):
      — Строй банок, сынок! — молвил батюшка, — ибо не все навро́де Мавроди…
      Шо-нить построим
      ))

      Ответить - Михаил

  9. здравствуйте Михаил. снова — я. правильно ли я понимаю, что если я устанавливаю плагин «беттер секьюре», то мне вот эти вот строкивставлять в коды необязательно?
    или все-таки, надо и плагин поставить и потом еще в код лезть-редактировать?

    Ответить - Елена

    • Извините, не понял — какие строки?

      Ответить - Михаил

      • строки кода которые у вас в статье. их нужно вставлять если стоит плагин? или этот вариант для тех кто плагин не ставит себе?

        Ответить - Елена

        • …все показанные строки добавлять, если не использовать плагин. Однако — многие подобные коду варианты «защиты» есть и в настройках плагина… но некоторого функционала «кода» нет в плагине.

          Ответить - Михаил

          • спасибо Михаил

            Ответить - Елена

            • не за что! ) Елена!

              Ответить - Михаил

  10. и еще забыла спросить: если я установила этот защитный плагин и он сам создает копии баз данных, то плагин баз данных мне уже не надо устанавливать? не могу вспомнить что за плагин себе ставила, кажется «гиперкэш»… он тоже создает базы данных. но если я удалю его, то как кэш сохранять мне?

    Ответить - Елена

    • Здравствуйте вновь, Елена!
      1 — коли поставите плагин Better WP Security — он легко настраивается на автоматические режимы создания БД (также можно вручную создавать) — больше никаких плагинов касаемо создания БД устанавливать не нужно. Этот плагин к тому же располагает и ещё многими средствами защиты…
      2 —

      «»то как кэш сохранять мне?»»

      Есть хороший плагин кэширования — WP Super Cache: поставьте его себе. Настраивается просто!

      Таким образом, у Вас на данный момент будет 2 важных плагина.

      И ещё — не забудьте о каком-нить плаге типа Cyr-To-Lat (или лучше wp-translitera) — транслитерация URLов…

      С таким набором… уже можно смело приступать к работе наполнения блога/сайта…
      P\S
      А вообще почитайте ЭТУнастройки новенького сайта на WordPressНеобходимые настройки новенького сайта на WordPress: важные плагины, которые нужно устанавливать со стартом проекта; настройки консоли и пр. пр. статью о полезных стартовых настройках сайта.

      Ответить - Михаил

  11. Спасибо! это полезно все описано!
    Защиты много не бывает. Но и усложнять не стоит.

    Ответить - Виталий

  12. о, вот спасибо большущее Михаил. плагин «транслитерация» и впрямь — классный. я себе его уже установила (случайно нашла). и за ссылку — спасибо. почитаю обязательно

    Ответить - Елена

  13. Михаил, снова — здравствуйте! Как вы относитесь к плагину капчи и к присутствию капчи на сайте вообще (при добавлении комментариев). Есть ли в ней смысл и от чего она защищает? Не знаю, устанавливать ее или нет. Вроде как новичкам рекомендуют, но я вот у вас не вижу капчи и начала сомневаться. А еще, меня саму раздражает на сайтах ее вводить (там где есть она). Наверное всех пользователей она раздражает?

    Ответить - Елена

    • Даздравствуйте Едена!
      Без капчи — спамботы замучают!
      Однако я все эти капчи не жалую… У меня нет капчи, да. Для этого нужно немного поработать.
      Я Вам очень советую установить плагин моего коллеги в миру Тимура Камаева (wp_kama) — его почти одноимённый плагин Kama SpamBlock (через репозитарий) — и забудете о спам-атаках (и настраивать ничего не нужно)!

      Ответить - Михаил

  14. Спсибо Михаил. Поставлю. Только боюсь с плагинами теперь перебор получится))) сколько допустимо всего их ставить, чтобы работу сайта не слишком критично замедляли? (имею ввиду количество плагинов всего на 1 сайт)

    Ответить - Елена

    • Вопрос о числе плагинов неправильный! Критично не число плагинов на сайте, но качество кода того или иного плагина… а также мощность самого функционала: но это уже вопрос целесообразности для конкретной площадки.
      У меня, например (на этом сайте) окромя магазина стоит всего три-пять сторонних плагина. Остальные несколько — мои (студии): совершенно лёгкие в планах к скоростям…

      Сколько допустимо ставить? — это, как и говорилось выше… Можно поставить один, и — обвалить сайт. Вот в чём дело.

      На сайте должно быть (из функционала) только то, что конкретному сайту потребу!
      А в неких плагинах много лишнего: в том плане, что кому-то то или иное нужно, а кому-то нет…

      Плагин Тимура — хороший плагин!

      Ответить - Михаил

  15. спасибо Михаил)

    Ответить - Елена

  16. Михаил! снова здравствуйте! у меня катастрофа. я установила плагин этот «беттер секьюре», сменила вход в админку. настроила плагин. еще сменила логин для входа в админку (был, как обычно, «админ») на свой. потом пару раз вышла и успешно вошла. а спустя час попыталась зайти, мне выдает по всем адресам ошибку 404. ЧТо делать? и почему так? не могу зайти в админку.
    кэш браузера уже успела очистить за это время и там тоже нет входа.
    что мне делать теперь?

    Ответить - Елена

    • Здравствуйте Елена!!
      В «Основных настройках» что-то недонастроили, вероятно… Или как — Вы только под Администратором не можете войти? или 404 ошибка для ВСЕХ пользователей на всех фронтенд страницах?
      Мне так сложно помочь, не видя лично закавыку…

      сменила вход в админку

      Адрес в смысле?..

      Проще всего — аннулировать настройки плагина и… перенастроить… уже более внимательно (где-то здесь в коммах по этому поводу уже говорилось).

      На хосте переименовывайте плагин, чтобы отключить его… (и коли — если — Ваш ip заблокирован), нужно БД почистить: таблицу wp_itsec_lockouts…
      Плагин кэширования установлен (активен)?

      Ответить - Михаил

  17. да нет же… только что созданный сайт. старый-то я бросила. нет у него еще базы данных. и нет никаких плагинов. я установила вордпресс, натянула тему и сразу установила «беттер секьюре» чтобы сразу изменить адрес входа в админку.
    ну и настроила плагин, разумеется. несколько раз зашла-вышла, все было нормально.

    отключила плагин на хосте, зашла в админку. включила плагин. смотрю на измененный адрес страницы, а плагин обещает сделать один адрес, а делает — другой.
    плагин обещал, что добавив любое слово, из адреса пропадут wp-admin, wp-login и т.д. но они не пропадают…. просто к ним добавляются куча каких-то знаков и цифр + имя сайта + то слово, которое я придумлала для нового входа в админку.

    вот если набрать этот длинный кривой-косой адрес в котором присутствуют (все-равно не удалились) слова wp-admin, то войти в админку не проблема…

    скажите, у вас тоже так? у меня на старом сайте тоже адрес входа поменялся на такой вот кривой. проблем с входом не было только потому, что в кэше браузера адрес сохранился и я заходила туда пока его не бросила

    Ответить - Елена

    • Я решительно ничего не понимаю! как это так нет Базы Данных..? (без БД сайт работать не будет)

      ну и настроила плагин, разумеется. несколько раз зашла-вышла, все было нормально

      так Вы и в этом случае, как полагаю, заходили по какому-то странному кэшу. Вероятно!.. На время настройк плагина отключите формирования КЭШ вообще (в браузере)!
      …Когда Вы уже в админке, адрес в строке браузера будет, естественно — wp_admin — это в закладках на сайт адрес входа нужно указывать НОВЫЙ, он и будет переводить «налету» на wp_admin т.е в консоль. Не зная его (новый), невозможно будет посетить страничку входа…
      У меня всё как и нужно! адрес админки заданный в плагине…
      .htaccess смотрите, там также формируется НОВЫЙ адрес. Целесообразно все прежние данные плагина из него удалить вручную! Права доступа к файлу .htaccess 644.

      Если плагин настроен правильно: прежний адрес wp_admin отведёт на страницу ошибки 404. В этом вся соль!

      Ответить - Михаил

  18. спасибо Михаил! конечно ранее я заходила по кэшу в браузере)))) а потом его почистила, после того как все сделала и настроила. вот и не смогла зайти.

    когда я в консоли и адрес wp-admin вижу — меня это не смущает. меня смущает что страницу для входа он переименовал странно: сделал длинную строку в которую напихано и wp-admin и имя сайта и куча левых цифр-букв и знаков и на конце стоит тот кусок, который лично придумала я как имя входа в админку. вот что удивительно.

    ладно, пойду на хостинг посмотю файл

    Ответить - Елена

    • куча левых цифр-букв и знаков

      Да, кое что в адресе формируется: wp-login.php, и, например ТОКЕН (token) !! и среди прочего Ваш = заданный = адрес!
      Скопируйте куда-то данные плагина, и после того удалите всё касаемое его… В плаге, после обновы, кое-что поменялось относительно формирования секретного входа.

      Ответить - Михаил

      • не поняла) куда что скопировать? удалить что ли плагин и удалить из папок на хостинге данные о нем?

        Ответить - Елена

        • Плагин «защиты» создаёт записи (обычно в самом верху файла) .htaccess — их скопировать (знаний и памяти для) а потом же их стереть, чтоб не путаться ни плагину, ни себе ! и всё перенастроить сызнова, запоминая…

          Ответить - Михаил

  19. то есть, мой плагин настроен правильно, раз я вижу ошибку по старому адресу?
    и еще, я вижу эту ошибку и по новому, выбранному МНОЙ адресу (выбирала в ностройках плагины в разделе «сменить адрес входа в админку»). вон мне там показал, как будет выглядеть новый адрес. я его исправно записала. но после чистки кеша, зайти по этому адресу не смогла, там ошибка 404.

    зато по кривому адресу — могу зайти. а кривой он формирует сам.

    Ответить - Елена

    • я Вам там ответил…
      Да, как Вы выразились «кривой» он генерирует сам… но по заказанному Вами должен быть доступен вход в админку… Не знаю !!! Вы, что ли, НЕ записывайте адреса, НО копируйте… так надёжнее… где-то ошибка!

      Ответить - Михаил

  20. Михаил, я посмотрела файл .htaccess — в нем нет абсолютно ничего кроме 3 строчек, которые мне сказал внести хостер, когда он мне подключал на сайт SSL сертификат. и теперь в этом файле содержатся только эти строки. удалить их не могу, потому что они нужна для перенаправления с htpp на https

    старый файл .htaccess был переименован и не работает. переименовала я его по указанию хостера, потому что там содержатся 5-7 строк обычных команд для вордпресс и папка была закачана вместе с вордпресс вчера. сегодня в нее заглянула, в ней нет никаких данный о плагине — все те же команды для вордпресс и ничего не поменялось.

    как вы думаете, что с этим можно сделать?

    Ответить - Елена

    • Права на запись .htaccess поставьте 777 (чтоб он внёс правки в файл при настройках, затем поменяйте на 644 либо 444) — это плагин рекомендует при старте настроек…
      Я так понимаю, Вам — нужно удалять чистенько плагин и переустанавливать вновь по правилам..! иначе совсем запутаетесь…
      перенаправления с htpp на https — удалять не нужно!
      Удаляйте плагин и переустанавливайте, как и говорилось… я не волшебник: сквозь «междустрочья букв» не вижу закавыки, однако — где-то явная Ваша ошибка!! А П Р И О Р И ))

      Ответить - Михаил

  21. да как же я его удалю? без проблем я нажму кнопку «удалить». но у вас вот вчера где-то в статье читала, что просто нажать «удалить» недостаточно с этим плагином… надо еще чего-то там вытворять с ним. усли я его сейчас удалю, он, наконец исчезнет из моей жизни или надо еще где-то искать его следы?

    спасибо Михаил что отвечаете

    Ответить - Елена

    • Иногда он не подчищает (у некоторых все свои следы: от нашей невнимательности) — как раз о .htaccess подчистке и говорилось в той статье, и кое-чего из БД… но это не суть важно…
      Удаляйте так: сначала удалите этот…. потом установите, активируйте новый… и вновь (новый удалите, так он справится со своими прежним мусором) — а потом снова НАЧИСТО установите следующую копию плагина. И настраивайте постепенно, аккуратно и внимательно, и, главное — не спеша..!
      права 777 на конфиг и .htaccess и папку wp-content

      Ответить - Михаил

      • ээээ.. что-то я уже тупить начинаю. поняла так:

        1. удаляю сейчас этот плагин и ничего не чищу в папках на хостинге.

        2. устанавливаю плагин снова и снова ничего не делаю (не натраиваю, не чищу, не трогаю вообще).

        3. снова удаляю плагин.

        4. снова устанавливаю и теперь уже начинаю настраивать.

        правильно ли я все поняла или мой мозг закипел и аннулировался?

        Ответить - Елена

        • Всё правильно!
          Только после активации плана и стартовой настройки (запуска) пройдите на сервер и посмотрите соответствуют ли записи в Конфиге и .htaccess — это для точности! а потом уж адрес меняйте… твёрдо зная о правильных предыдущих настройках!

          Правила для файлов (сравнивая с серверными) можно подсмотреть в разделе настроек плагина: «Правила wp-config.php» и «Server Config Rules» для .htaccess.

          Ответить - Михаил

          • спасибо большое Михаил за помощь. пойду мучить его дальше)

            Ответить - Елена

  22. Михаил, я вроде плагин настроила. вход в админку пок ане меняла. пытаюсь проверить папки на хостинге. Зашла посмотреть .htaccess и у меня там — негусто. Например там есть 3 строки (в начале) которые мне сказал хостер прописать для перенаправления на https и после него сразу идет короткий текст команд для начала работы с вордпресс (который был вчера в отдельно файле, который я отключила). Этого достаточно для папки htaccess? или как-то вроде маловато? я не вижу там признаков плагина «секьюре».

    Ответить - Елена

    • Активируйте основные настройки.
      И пробуйте пока настроить новый адрес в админку… чтоб работало…

      Ответить - Михаил

  23. спасибо Михаил
    вход в админку работает по новому адресу (который сама выбирала. только теперь, если набирать в браузерной строке wp-admin и wp-login, то вместо ошибки 404 (которая была ранее) мне показывают страницу моего сайта. это нормально или надо как-то переделать на «ошибка 404»? если переделать, то как?

    Ответить - Елена

    • Переделать на 404 можно, но не нужно!
      Главную страницу выдаёт?! фронтенд — это нормально! С этим всё!

      Ответить - Михаил

  24. да, выдает главную страницу. спасибо вам огомнейшее Михаил, если бы без вашей поддержки делала, уже бы давно вскипела и самоуничтожилась… тяжко вообще новичку без знаний, с нуля.

    очень рада что вы есть и благодарна!

    Ответить - Елена

    • Энто всё, как толкуют философы, проходящее… а знания остаются… ВечныЪ !
      я тоже много шишек набивал, правда, давным-давно это было… Теперь шишки иные… красивше)) это и радует; этим и живу…

      Ответить - Михаил

Поделитесь соображениями: Ваши мысли очень важны! $ правила комментирования ©

Внимание! Обязательные поля помечены *

 для диалога необходимо принять правила конфиденциальности и пользовательского соглашения *
Яндекс.Метрика