Вопрос Защита админки wp

[typus]

Приветстую, использовал ранее для защиты админки плагин protected wp-login, но как быть, когда у тебя куча зарегистрированных пользователей, которых необходимо пускать на сайт? Вход ведь идет через wp-login.php, а он как раз и прикрыт, не давать же каждому юзеру секретный код.
Какую посоветуете альтернативу, чтобы админка была плотно прикрыта, а пользователи свободно могли заходить на сайт?

 

[Iga]

Думаю хватит любого плагина, который от брутфорса прикрывает. 5 попыток - в баню ip, например.

 

[HADAJIb]

меняли путь к админке и переименовывали файл админки?

 

[mikhailnov]

Лучше всего поменять адрес для входа (wp-login.php переименовывается и где-то еще это настраивается) + силами вебсервера сделать авторизацию по сертификатам, будет двойная защита, ну или хотя бы веб-сервером запаролить доступ к директрии с админкой, но лучше сертификат

 

[mforve]

Вот никогда этого загона не понимал, чаще не пароли к админке подбирают, а рут пароли или используют дыры ВП и плагинов.
Iga правильно посоветовал, ограничение на количество вводов пароля и все, если уж совсем паранойя одолевает.

 

[mikhailnov]

рут пароли причем? дело не в подборе рут пароля, а то что файл .htacess не должен принадлежать тому же пользовтаелю. от которого php работает

 

[mforve]

Ну тогда уже не только .htacess, а вообще все файлы с которыми работает движек, если совсем детские ошибки разбирать начинаем =))

 

[Teceract]

Приветстую, использовал ранее для защиты админки плагин protected wp-login, но как быть, когда у тебя куча зарегистрированных пользователей, которых необходимо пускать на сайт? Вход ведь идет через wp-login.php, а он как раз и прикрыт, не давать же каждому юзеру секретный код.
Какую посоветуете альтернативу, чтобы админка была плотно прикрыта, а пользователи свободно могли заходить на сайт?

Если Вы имеете ввиду заход через фронт-енд, а не через админку, то попробуйте плагин Theme My Login
он создает при установке страницу входа, регистрации, восстановления пароля, в настройках устанавливаете допуск, какая группа будет иметь доступ к админке, а какая будет заходить только через сайт, все кто будет заходить через wp-login, будет перенаправлен на внешнюю страницу входа.

А для защиты от ддос атак, подойдет плагин: WP Cerber или Limit Login Attempts

 

[Iga]

файл .htacess не должен принадлежать тому же пользовтаелю. от которого php работает

На htacess и wp-config права 444 решит же эту проблему?

 

[нарада]

Если нужен секретный код для Админа, а всем остальным - не обязательно, тогда iThemes Security Pro в помощь.