Главная > Теле2 > Wp admin закрыть доступ для администратора. Как ограничить доступ к своей консоли WordPress

Wp admin закрыть доступ для администратора. Как ограничить доступ к своей консоли WordPress

Flector 5

Adminimize

Обновлено:

Adminimize это плагин, позволяющий вам настроить админку блога. Если выражаться точнее, то в админке блога вы можете убрать абсолютно любые элементы для выбранной роли пользователя. Самый простой пример - вы можете с помощью этого плагина запретить зарегистрированному пользователю видеть в админке что-либо, кроме его собственного профиля. То есть можно убрать ссылки на "Консоль ", сообщения о том, что доступна новая версия движка, логотип WordPress , надписи и ссылки в футере и т.д. Аналогично можно ограничить доступ к функциям админки авторам или редакторам блога, да и для администратора тоже можно убрать все лишние неиспользуемые пункты.

Скачиваем плагин с его домашней страницы и устанавливаем его:

1. Распаковываем архив.

2. Копируем папку adminimize в /wp-content/plugins/ .

3. Заходим в админку блога на вкладку "Плагины " и активируем плагин.

В плагине нет русского языка, но эту ситуацию можно поправить, скачав русскую версию плагина у лекактуса . У него слишком старая версия плагина, которая нам не подойдет, а вот файл локализации нам пригодится. Правда, он немного устарел и некоторые фразы переведены не будут, но все же это лучше, чем ничего. Просто скопируйте из скаченного архива плагина файл adminimize-ru_RU.mo в папку плагина languages и у вас появится русский язык.

Настройки плагина вы найдете в "Параметрах\Adminimize ". Настроек тут очень много и прежде, чем что-либо изменять сначала внимательно изучите все, что предлагает вам плагин. В принципе, все должно быть понятно, так как на русском языке плагин уже не так сложен в освоении. Рассмотрю лишь пример, о котором я упомянул в начале статьи - как запретить обычному подписчику видеть что-либо, кроме его профиля.

1. Скройте "Подвал " в "Настройках админки ".
2. Ограничьте "Информацию о пользователе " выводом только ссылок на профиль пользователя и на выход из блога.
3. Поставьте опцию "Dashboard deactivate, redirect to " как "По умолчанию (profile.php) ".
4. В "Глобальных настройках Любимых действий ", "Настроек экрана " (в русском переводе так будут называться 2 пункта, отключайте их оба) и "Контекстной помощи ".
5. В "Настройках меню " отключите для подписчика вывод "Консоли " и вывод "Инструментов ".

Основная настройка закончена, теперь подписчик при входе в админку попадает в свой профиль и не видит ссылок на "Консоль ", "Инструменты " и не видит футера. На этом можно и остановится, но лично меня не устраивают следующие вещи: разделитель, расположенный чуть выше ссылки на профиль, информация о том, что доступна новая версия WordPress , логотип вордпресса и кнопка "Перейти на сайт ". Все эти вещи можно убрать через дополнительную настройку в "Ваших собственных настройках ", просто указав там ID или class убираемого элемента. Рассмотрим по шагам:

Убираем разделитель:

Называем пункт "Разделитель " и ставим его значение как "#adminmenu .wp-menu-separator Разделитель

Убираем сообщение о новой версии WordPress :

Называем пункт "Обновление " и ставим его значение как "#update-nag ", сохраняем. Теперь в настройках появился новый пункт "Обновление ", который мы можем запретить для подписчика.

Убираем логотип WordPress :

Называем пункт "Лого " и ставим его значение как "#header-logo ", сохраняем. Теперь в настройках появился новый пункт "Лого ", который мы можем запретить для подписчика.

Убираем кнопку "Перейти на сайт ":

Называем пункт "Кнопка " и ставим его значение как "#site-visit-button ", сохраняем. Теперь в настройках появился новый пункт "Кнопка ", который мы можем запретить для подписчика.

Таким образом можно запретить показ чего угодно в админке, лишь бы только оно было оформлено через css . Принцип, я думаю, вы поняли и дальше объяснять нужды нет.

Есть одна вещь в плагине, которая мне совершенно не понравилась - он создает свои цветовые схемы для использования в админке блога. Причем он их создает, даже не спрашивая разрешения и не давая выбора ставить их или нет. В настройках, конечно, можно вообще отключить выбор цветовой схемы, но вот отключить только схемы, которые добавил плагин - этого нет.

Чтобы отключить вообще встраивание своих цветовых схем в профиль пользователя найдите в файле плагина adminimize.php функцию _mw_adminimize_admin_styles($file) и удалите ее содержимое. То есть в итоге у вас должно получиться.

Всем привет! В этой статье речь пойдет о роли пользователей WordPress, иными словами о правах пользователей в группах. Что каждый из них умеет и как настроить права доступа.

Прежде чем заняться настройками прав пользователей WordPress, давайте разберемся, как эти самые новые пользователи могут создаваться.

Способ №1

Разрешить читателям регистрироваться на блоге. Это можно сделать в разделе «Общие настройки»:

Поставьте галочку напротив «Любой может зарегистрироваться» и выберете роль пользователя WordPress, то есть к какой группе будет относится зарегистрированный на блоге читатель.

Способ №2

В ручную создавать нового пользователя. Для этого необходимо воспользоваться разделом админки WordPress «Пользователи» — «Добавить нового»:

Обязательными являются только поля Имя, Email и пароль. Внизу не забудьте выбрать для него роль.

Теперь давайте разбираться с правами и возможностями стандартных ролей, которые имеются в WordPress по умолчанию.

Стандартные группы пользователей (роли) и их права доступа

Подписчик

Самое бесправное из всех зарегистрированных «существ» в WP. Имеет доступ только к настройкам своего профиля.

Если в WordPress установлен , то простой подписчик имеет доступ ко всем его настройкам. Это, конечно, баг плагина и очень неприятный. Поэтому советую, при его использовании запретить регистрацию новых пользователей на блоге.

Участник

Помимо редактирования своего профиля участник умеет:

  • Просматривать заголовки имеющихся на блоге записей, включая те, которые еще не опубликованы. При этом только заголовки, заглядывать в содержимое запрещено.
  • Писать статьи и отправлять на утверждение администратору.
  • Просматривать комментарии, но редактировать их нельзя.
  • Если на блоге имеется , то участник может посмотреть код обратной связи, который можно добавить в статью.

Автор

  • Может самостоятельно публиковать статьи без одобрения администратора.
  • Добавлять медиа-файлы в WordPress.
  • Если имеется , то он предоставляет возможность загружать разного рода файлы на сервер.

Редактор

Редактор имеет все права связанные с публикацией и редактированием материалов сайта. Настройки самой админки WP и большинства плагинов ему не доступны. И так, пряники редактора:

  • Возможность публиковать записи и страницы на блоге, а также изменять уже существующие.
  • Создавать категории, метки и внешние ссылки.
  • Полный контроль над комментариями — удаление/создание/редактирование.
  • Помимо упомянутых выше, какие еще плагины доступны (из замеченных мной): Contact Form 7 — теперь все настройки формы обратной связи; FV Gravatar Cache — настройки кэширования аватар в комментариях; Subscribe To Comments — подписка на новые комментарии; WP-Filebase — теперь загружаемые файлы можно группировать по рубрикам.

Администратор

Админ может все!!!

Создание и редактирование ролей пользователей

Что делать, если необходимо расширить функции какой-то роли, наделить ее дополнительными правами? На помощь приходит плагин User Role Editor , который позволяет редактировать права существующих ролей и создавать новые.

Плагин устанавливается стандартно:

  • распакуйте архив в текущую директорию и полученную папку загрузите на сервер в каталок wp-content/plugins, используя ;
  • зайдите в раздел «Плагины» админки WordPress, найдите и активируйте User Role Editor.

Настройки плагина доступны по адресу «Пользователи» — «User Role Editor». Радует, что они польностью на русском языке! В первом поле можно отредактировать права для уже существующих ролей.

Порядок действий таков:

  1. выбираем роль, которую хотим отредактировать;
  2. ставим галочку напротив Показ возможностей в читабельной форме для лучшего восприятия списка доступных функций;
  3. галочками отмечаем нужные права и сохраняем настройки.

Можно добавить новую роль. Для этого воспользуемся одноименной опцией:

Имя должно быть вписано латинскими буквами. Часть прав можно взять от стандартных ролей. После создания галочками отмечаем доступные возможности и сохраняем настройки.

Еще такой момент. Некоторые плагины добавляют свои функции. На скриншоте можно заметить нестандартные функции от , отвечающего за создание галерей, альбомов и лайтбоксов для картинок, и от

Когда для вашего сайта на WordPress пишут одновременно несколько авторов, то очень важно грамотно распределить рабочий процесс и сделать этот процесс комфортным для каждого автора. Есть специальный плагин для одновременной работы нескольких авторов на WordPress.

Но сегодня речь не об этом. Сегодня мы рассмотрим один простой бесплатный плагин Restrict Author Posting , с помощью которого вы сможете закрепить за каждым автором определенные рубрики, а доступ к остальным рубрикам ограничить.

Это особенно актуально, если у вас на сайте есть авторская колонка. Или, например, у вас есть рубрика с обзорами гаджетов, в которую могут писать только несколько определенных авторов.

Плагин Restrict Author Posting

В первую очередь скачайте и установите бесплатный плагин Restrict Author Posting.

Сразу после активации плагина перейдите в меню Пользователи и откройте профиль того пользователя, которому вы хотите настроить ограниченный доступ.

Прокрутите профиль пользователя в самый низ и вы увидите новое меню Restrict Author Post to a category , в выпадающем списке выберите Рубрику, для которой будет писать этот автор. Нажмите сохранить.

Если вы захотите в дальнейшем снять ограничение с любого автора вашего сайта, точно так же откройте его профиль и выберите в выпадающем меню No Restrict .

На сегодняшний день, плагин Advanced Access Manager (сокращённо AAM) — это одно из лучших решений для контроля доступа и повышения безопасности сайта на WordPress. В использовании он очень прост и его мощности позволяют получить гибкий контроль над одним или целой сетью сайтов.

С помощью этого дополнения можно контролировать доступ к различным областям вашего сайта: постам, страницам, категориям, виджетам или меню. Доступ может быть определен для любого конкретного пользователя, для пользовательских групп или анонимного посетителя.

Особенности плагина Advanced Access Manager

AAM — свежее расширение, которое часто обновляется по мере необходимости и выхода новых версий движка. Ключевые особенности, реализованные в последней версии:

  • Защита входа администратора (Secure Admin Login) — позволяет контролировать процесс входа на ваш сайт, определить количество или возможные попытки входа, проследить географическое положение и заблокировать посетителя по IP для предотвращения потенциальных хакерских атак.
  • Контроль доступа к сообщениям, страницам или категориям (Control Access to Posts, Pages or Categories) — позволяет ограничить доступ к вашим постам, страницам или категориям для любого пользователя, роли или посетителя, а также определить разрешённые действия посетителя.
  • Контролировать доступ к медиа-файлам — можно определить пользовательский доступ к медиа-файлам для любого пользователя, роли или посетителя. Эта функция работает без каких-либо дополнительных конфигураций на ​​сервере без использования файла Htaccess.
  • Управление ролями и возможностями — можно управлять списком ролей и возможностей. Эта функция была разработана и испытана сотнями опытных пользователей и разработчиков WordPress. Это дает вам возможность создавать, обновлять или удалять любую роль или возможности. По соображениям безопасности, эта функция ограничена по умолчанию, но может быть легко активирована.
  • Запись деятельности пользователя — можно вести запись входа в систему: как и когда пользователь вошел в систему или вышел из неё.
  • Фильтр backend меню — управление доступом к меню бэкэнд (включая подменю), то есть меню, которое отображается при входе в консоль управления сайтом на Вордпресс.
  • Фильтр метабоксы и виджеты — предопределить имеющиеся метабоксы или виджеты для любого пользователя, роли или посетителя.

И многое, многое другое.

Отличный бесплатный плагин для Вордпресс, позволяющий настраивать доступ на русском языке.

Установка

Устанавливается аналогично большинству плагинов для Вордпресс. Страница на официальном сайте: http://wordpress.org/plugins/advanced-access-manager/. При установке через консоль — следует вводить текст «Advanced Access Manager».

После установки в меню управления сайтом появляется дополнительная вкладка с подменю:

  • «Контроль доступа» — основные настройки;
  • «ConfigPress» — позволяет использовать специальные коды для расширенных настроек;
  • «Расширение» — дополнительные плагины и расширения, в основном — платные. Они способные ещё более расширить конфигурацию;
  • «security» — настройки, касающиеся защиты админки и самого сайта.

Настройки ConfigPress

Ниже приведен список всех возможных настроек ConfigPress с объяснением:

Определяем доступ по умолчанию к пунктам меню администратора, если он не был настроен. По умолчанию он установлен на «Разрешить» («allow»).
menu.undefined = «deny»

Изменение возможности доступа по умолчанию к меню «AAM» — «Контроль доступа». По умолчанию доступ имеет только администратор.
page.access_control.capability = «aam_manager»

Изменение возможности доступа по умолчанию к «AAM» — «ConfigPress».
page.configpress.capability = «configpress_guru»

Изменение возможности доступа по умолчанию на экран «AAM» — «Расширение».
page.extensions.capability = «aam_extensions_manager»

Если нет доступа определенных для текущей статьи или страницы, то по умолчанию AAM пытается наследовать настройки из родительской категории.
post.inherit = «false»

Если нет доступа определенного для конкретной категории, по умолчанию AAM пытается наследовать настройки из родительской категории.
term.inherit = «false»

Чтобы ускорить выполнение AAM, результат можно кэшировать. Кэш автоматически обновляется когда вы нажимаете кнопку Сохранить.
caching = «true»

Разблокировать ограниченные возможности в AAM для одного администратора. По умолчанию не разрешено менеджерам и другим администраторам.
super_admin = «true»

Каждая имеет внутренний ID (обычно эквивалент в нижнем регистре) и название. Каждый раз при создании новой роли с AAM, ID меняется на что-то вроде aam_78koi9831933i. Установка ниже подавляет это поведение и сохраняет имя в нижнем регистре.
native_role_id = «true»

Позволяет перенаправить пользователя при отказе в доступе к любому серверному ресурсу на URL сообщения или страницы с указанным в этой настройке идентификационным номером. По умолчанию он покажет Access Denied.
access.deny.redirect = «http://сюда_вставляем_адрес.ru»

Сообщение при доступе к запрещённой части.
access.deny.message = «Ой. Это запретная зона»

— аналогичные настройки.

Все эти настройки группируются и вписываются в соответствующее окно:

Настройки security

В текущей версии AAM для безопасности мы должны использовать ConfigPress, чтобы вызвать определенные функции. Ниже полный список всех возможных настроек ConfigPress для раздела по безопасности:

Функция гео контролирует местоположение пользователя на основе IP-адреса. По умолчанию эта функция отключена и может быть активирована изменением false на true.
login.geo_lookup = «false»

В плагине используется FreeGeoIP.net веб-сервис для получения расположения гео на основе IP-адреса. В настоящее время это единственный вариант, но разработчики обещают расширить список возможных вариантов в будущих версиях.
login.geoip.service = «FreeGeoIP»

Функция контроля процесса входа в админ-панель и блокировки логина — позволяет предотвратить сайт от взлома с помощью перебора различных комбинаций паролей.
login.lockout = «false»

Этот параметр определяет количество попыток для ввода правильного пароля.
login.attempts = «10»

Также есть login.attempt_failure = «slowdown», login.slowdown_time = «5», login.die_message = «Вы не можете войти в» и login.cache_limit = «1000».

Настройки «контроля доступа»

Внешний вид:

Информацию об этих и других настройках плагина вы можете найти в разделе помощи на официальном сайте http://wpaam.com/category/tutorials/. Продолжение об настройках и использовании — в следующих статьях!

Здравствуйте, уважаемые читатели!

В сегодняшней статье мы рассмотрение особенностей входа в админку WordPress, а точнее, ее защите.

Нам осталось рассмотреть три вопроса:

  1. Защита админки от брутфорс-атак;
  2. Ограничение входа с помощью блокировки ip -адреса;
  3. Смена логина и пароля через php MyAdmin .

Защита админки от брутфорс-атак.

Брутфорс-атаки – это метод взлома сайта подбором логина и пароля. Конечно, такой взлом осуществляет не конкретный человек. Перебирать тысячи вариантов логинов и паролей под силу только компьютерной программе, которая может работать быстро и не имеет ограничений по времени. Такая программа, установленная на каком-то удаленном компьютере, может непрерывно «стучаться» в админку вашего сайта, пробуя различные варианты.

Используя специальные плагины, можно ограничить количество таких попыток. Для таких целей можно использовать плагин Limit Login Attempts .

Каковы его возможности?

Во-первых, после нескольких неправильных попыток входа с некоторого ip-адреса, этот адрес блокируется на заданное время. Во-вторых, если после этого неправильные попытки продолжаются, то этот адрес блокируется окончательно. Вы можете настроить и количество неправильных попыток и время блокировки.

Плагин Limit Login Attempts используется очень широко, несмотря на то, что он давно не обновлялся.

Но такими же функциями обладают и некоторые другие плагины. Например, плагин , о котором я уже писал. (Скачать руководство по его настройке можно ). Этот универсальный плагин имеет более 30 функций для защиты сайта на WordPress, в том числе и ограничение попыток входа в админку.

Еще один плагин, ограничивающий вход в админку WordPress – Однако его недостатком считается то, что он слишком нагружает сервер. Его лучше использовать периодически для проверки сайта, а не постоянно.

Ограничение входа с помощью блокировки ip-адреса.

Еще один метод, с помощью которого админка WordPress защищается от посторонних посетителей, использует блокировку ip-адресов.

Каждый компьютер в сети имеет свой уникальный ip-адрес, состоящий из четырех чисел, разделенных точками, и вы можете запретить вход в админку WordPress со всех ip-адресов, кроме своего. Этот способ немного сложней, чем простое использование плагинов. Для его применения нужно уметь работать с файлами на вашем сервере.

Во-первых, сначала нужно узнать свой ip-адрес. Для этого можно воспользоваться онлайн-сервисом 2ip.ru .

Во-вторых, создать файл .htaccess в папке wp-admin .

В-третьих, в этом файле прописать следующий текст:

1 2 3 Order deny, allow Deny from all Allow from ***.***.***.***,

Order deny,allow Deny from all Allow from ***.***.***.***,

где вместо звездочек ставится ваш ip-адрес. Обратите внимание, слова «deny,allow» пишутся без пробела.

Этот файл можно создать с помощью онлайн-редактора, обычно предоставляемого хостингом, или сначала создать его на своем компьютере с помощью текстового редактора Notepad++, и потом закачать на сервер.

Однако этот способ не всегда применим в полной мере. Дело в том, что ip-адреса бывают статические и динамические. Если у вас адрес статический, то есть не меняется со временем, вы его прописываете в файл .htaccess и тем самым закрываете вход в админку для посторонних. Но чаще всего интернет-провайдеры предоставляют пользователям динамические ip-адреса, которые изменяются при каждом новом подключении. Что же делать в этом случае? Обычно провайдеры имеют определенный диапазон ip-адресов, образующий свою подсеть. Ее мы можем оставить открытой, а остальные адреса заблокировать. Для этого в файл .htaccess вписываем только первые два числа ***.***. с точками из определенного вами ip-адреса.

Смена логина и пароля через php MyAdmin.

Логин и пароль для входа в админку WordPress хранятся в базе данных вашего сайта, и изменить их можно с помощью программы php MyAdmin, которая служит для управления БД.

Для того чтобы это сделать, нужно зайти в панель управления вашим аккаунтом на хостинге. Эти панели на разных хостингах выглядят по разному, но всегда есть пункт php MyAdmin .
 Щелкнув на нем, мы попадаем в панель управления базами данных. Выбираем вкладку Базы данных, в списке баз находим свою и открываем ее.

Кстати, если вы не знаете название вашей БД, или для входа в нее от вас потребуют пароль, их предварительно можно найти в файле wp-config.php, находящемся в корневой папке сайта на сервере.

База данных состоит из нескольких таблиц, среди которых находим ту, в которой хранятся логин и пароль. По умолчанию она называется wp-users , но если вы каким-то образом, например, с помощью плагина iThemes Security , изменяли префикс, то вместо wp будет другой набор символов.

После открытия этой таблицы вы увидите логин и пароль.
Не удивляйтесь, что вместо известного вам пароля будет другой. Дело в том, что в базе пароль хранится в зашифрованном виде. Теперь вы можете изменить свои данные. Для этого щелкаем на кнопке Изменить и в поле логин вводим новое имя.
Прежде чем вводить пароль, в выпадающем списке перед паролем нужно выбрать MD5 для того, чтобы новый пароль был также зашифрован. После этого сохраняем изменения и пробуем войти в админку WordPress с новыми данными.

На этом пока заканчиваю. В следующей статье будет краткий обзор админ-панели WordPress. Подпишитесь на обновления блога , чтобы не пропустить ее и последующие материалы.

Напишите, была ли статья полезной для вас. Поделитесь с другими, используя кнопки социальных сетей.


Похожие статьи

Mac не видит внешний жесткий диск Imac не видит внешний жесткий диск

Mac не видит внешний жесткий диск Imac не видит внешний жесткий диск

Что делать, если PUBG mobile не поддерживается на вашем устройстве — ТРИ способа лечения Gopro app не поддерживается на вашем устройстве

Что делать, если PUBG mobile не поддерживается на вашем устройстве — ТРИ способа лечения Gopro app не поддерживается на вашем устройстве

Аппаратная платформа и производительность

Аппаратная платформа и производительность

×
Close