Ограничение доступа к консоли WordPress является тем вопросом, который волнует многих пользователей на разных форумах. Создаете ли вы сайт для вашего клиента, который не знает, чем WordPress отличается от Microsoft Word, или же просто хотите ограничить круг пользователей, имеющих доступ к консоли, – вне зависимости от причин вам может понадобиться «закрыть двери» к консоли перед некоторыми пользователями.
К счастью, есть много вариантов сделать это. В данной статье я быстро пробегусь по основным методам ограничения доступа к консоли, начиная с настройки прав для пользователей, что встроено в WordPress, и заканчивая написанием кода и установкой плагинов.
Ограничение доступа при помощи пользовательских ролей и возможностей в WordPress
В WordPress используются роли и возможности, позволяющие определять, кто и что может делать в границах одного WP-сайта. Настройка пользовательских прав является базовым путем ограничения доступа к особенностям бэкэнда сайта.
Вообще, существует шесть видов ролей: супер администратор (для мультисайтов), администратор, редактор, автор, участник и подписчик.
Владельцы сайта могут использовать данные роли для управления тем, кто имеет доступ к написанию и редактированию записей, созданию рубрик, управлению комментариями, созданию страниц, заданию ссылок, управлению темами и другими пользователями – для этого достаточно привязать определенную роль тому или иному пользователю.
Супер администраторы могут получать доступ ко всем областям мультисайтовой сборки, в то время как администратор может получить доступ ко всем областям регулярной сборки, состоящей из одного сайта. Каждая последующая роль имеет все более и более сужающийся круг возможностей. Базовая роль, подписчик, может только управлять своим профилем – они не могут писать или редактировать записи, изменять параметры и т.д.
Если вам требуется простой способ ограничения того, какие пользователи могут получать доступ к вашему бэкэнду, вы можете автоматически привязывать всем новым пользователем роль Подписчика. Роль по умолчанию задается в разделе Параметры – Общие.
Ограничение доступа к WordPress с помощью кода
Допустим, у вас есть сайт сообщества, где пользователи могут регистрироваться, однако вы не хотите, чтобы у них был доступ к wp-admin. Если вы хотите закрыть доступ к консоли для всех пользователей, кроме администраторов, просто вставьте следующий код в файл functions.php:
Add_action("init", "blockusers_init"); function blockusers_init() { if (is_admin() && ! current_user_can("administrator") && ! (defined("DOING_AJAX") && DOING_AJAX)) { wp_redirect(home_url()); exit; } }
Теперь доступ к wp-admin смогут получить только администраторы. Все остальные будут просто перенаправлены на главную страницу.
Ограничение доступа к WordPress с помощью плагинов
Существует несколько простых плагинов, которые помогают закрыть от пользователей вход в консоль.
Login Redirect
Login Redirect – плагин от WPMU DEV, позволяющий быстро перенаправлять пользователей, которые зарегистрированы на вашем сайте, на любую выбранную страницу. К примеру, после того, как пользователи войдут под своим логином, вы можете отправить их на страницу сообщества вашего сайта или перенаправить к редактору записей.
Плагин просто в использовании – после установки и активации вам достаточно перейти на страницу Параметры – Общие и добавить в поле «Login Redirect» URL, куда будет совершаться перенаправление.
WP Hide Dashboard
Этот удобный плагин позволяет вам скрывать меню консоли, раздел личных настроек и ссылку Help на странице профиля от пользователей, которые имеют роль подписчиков. Таким образом, ваши подписчики будут видеть только базовую страницу профиля.
Плагин не нуждается в настройках и поставляется «из коробки».
Remove Dashboard Access
Данный плагин позволяет вам разрешать доступ к консоли только для администраторов или пользователей с определенными возможностями. Вы можете также выбирать, могут ли пользователи редактировать свои профили в консоли.
Пользователи, которые не являются администраторами или не имеют определенных возможностей, будут перенаправлены на выбранный вами URL.
Чтобы настроить плагин, перейдите в раздел Параметры – Dashboard Access и выберите параметры для пользовательского доступа и перенаправления.
Заключение
Ограничение доступа к вашей консоли WordPress не является таким уж сложным действием. В данной статье мы предложили несколько простых способов закрыть вход в консоль для пользователей, оставив доступ только для администраторов. Вы можете сами решить, какой способ вам больше подходит – с помощью плагинов, с помощью кода или с помощью дефолтных настроек WordPress.
(1)
В этом уроке речь пойдет о плагине, который мы использовали для ограничения числа попыток входа для пользователей. Не так давно нам вновь напомнили о данном плагине, так что теперь мы расскажем о нем немного подробнее. Этот плагин называется Limit Login Attempts и применяется он для ограничения числа попыток входа на сайт для пользователей.
У вас нет проблем, если ваш проект не пытаются взломать недоброжелатели или хакеры, подбирающие пароль администратора для вашего сайта. Но к сожалению, такие люди никогда не переведутся, поэтому в данной статье речь пойдет о том, как отрегулировать число попыток входа на ваш сайт под паролем администратора или конкретного пользователя вашего сайта на основе WordPress.
Почему стоит ограничить число попыток входа на сайт для пользователя с учетной записью WordPress?
Иногда хакер может предположить, что знает ваш пароль, и разработать скрипт для подбора пароля путем повторных попыток. В этом случае и возникает необходимость ограничить число попыток входа на вашем сайте.
Достижение лимита неудачных попыток входа на сайт приведет к блокировке пользователя после того, как он превысит установленное число попыток авторизации на вашем сайте. Такой пользователь будет заблокирован на указанный вами период времени.
Настройки плагина блокировки доступа можно контролировать в панели администратора сайта. Эта панель также даст вам возможность проследить число и частоту появления тех людей, которые хотят взломать ваш сайт. Если вы заметите повторяющийся IP адрес , с которого к вашему сайту пытаются получить админ доступ, вы сможете забанить такой IP-адрес.
Как ограничить количество попыток входа для WordPress?
Для этого просто установите и активируйте плагин Limit Login Attempts .
Далее перейдите в настройки установленного плагина: Параметры → Limit Login Attempts . Заполните поле с числом допустимых ошибочных попыток входа на сайт , а также продолжительность блокировки пользователя по времени и сохраните заданные настройки.
Также в логе вы сможете увидеть, сколько было провальных попыток входа на сайт, и сможете получать на свой электронный ящик уведомления о том, как часто конкретный пользователь пытался зайти на ваш сайт в учетную запись.
Фильтрация доступа к консоли WordPress по IP адресу
Помимо блокировки пользователя по провальным попыткам входа на сайт возникает вопрос фильтрации пользователей по конкретному IP-адресу .
В качестве меры предосторожности можно ограничить доступ к сайту путем фильтрации IP-адресов в файле wp-login.php . К примеру, мы уже ограничили доступ к директории wp-admin путем фильтрации по IP. Поэтому мы предлагаем вам ознакомиться еще и с тем, как ограничить доступ по IP к вашему файлу wp-login.php в WordPress. Заметим, что приведенное руководство - не совсем для новичков, так как требует некоторого опыта в настройке сайта на WordPress.
Откройте файл .htaccess и добавьте в него указанный ниже код в верхней части файла до того, как далее идет остальной код самого файла:
Не забудьте при этом заменить указанные значения адресов IP вашими собственными. Единственным недостатком может стать наличие у вас динамического IP-адреса. В противном случае сбоев и проблем в работе такого фильтра не возникнет. Также после добавления кода собьется стиль для wp-login.php , но в вопросах защиты вашего сайта это не главное. Мы же ведь хотим просто ограничить число ошибочных попыток доступа к файлу и сайту.
Всем привет! В этой статье речь пойдет о роли пользователей WordPress, иными словами о правах пользователей в группах. Что каждый из них умеет и как настроить права доступа.
Прежде чем заняться настройками прав пользователей WordPress, давайте разберемся, как эти самые новые пользователи могут создаваться.
Способ №1
Разрешить читателям регистрироваться на блоге. Это можно сделать в разделе «Общие настройки»:
Поставьте галочку напротив «Любой может зарегистрироваться» и выберете роль пользователя WordPress, то есть к какой группе будет относится зарегистрированный на блоге читатель.
Способ №2
В ручную создавать нового пользователя. Для этого необходимо воспользоваться разделом админки WordPress «Пользователи» — «Добавить нового»:
Обязательными являются только поля Имя, Email и пароль. Внизу не забудьте выбрать для него роль.
Теперь давайте разбираться с правами и возможностями стандартных ролей, которые имеются в WordPress по умолчанию.
Стандартные группы пользователей (роли) и их права доступа
Подписчик
Самое бесправное из всех зарегистрированных «существ» в WP. Имеет доступ только к настройкам своего профиля.
Если в WordPress установлен , то простой подписчик имеет доступ ко всем его настройкам. Это, конечно, баг плагина и очень неприятный. Поэтому советую, при его использовании запретить регистрацию новых пользователей на блоге.
Участник
Помимо редактирования своего профиля участник умеет:
- Просматривать заголовки имеющихся на блоге записей, включая те, которые еще не опубликованы. При этом только заголовки, заглядывать в содержимое запрещено.
- Писать статьи и отправлять на утверждение администратору.
- Просматривать комментарии, но редактировать их нельзя.
- Если на блоге имеется , то участник может посмотреть код обратной связи, который можно добавить в статью.
Автор
- Может самостоятельно публиковать статьи без одобрения администратора.
- Добавлять медиа-файлы в WordPress.
- Если имеется , то он предоставляет возможность загружать разного рода файлы на сервер.
Редактор
Редактор имеет все права связанные с публикацией и редактированием материалов сайта. Настройки самой админки WP и большинства плагинов ему не доступны. И так, пряники редактора:
- Возможность публиковать записи и страницы на блоге, а также изменять уже существующие.
- Создавать категории, метки и внешние ссылки.
- Полный контроль над комментариями — удаление/создание/редактирование.
- Помимо упомянутых выше, какие еще плагины доступны (из замеченных мной): Contact Form 7 — теперь все настройки формы обратной связи; FV Gravatar Cache — настройки кэширования аватар в комментариях; Subscribe To Comments — подписка на новые комментарии; WP-Filebase — теперь загружаемые файлы можно группировать по рубрикам.
Администратор
Админ может все!!!
Создание и редактирование ролей пользователей
Что делать, если необходимо расширить функции какой-то роли, наделить ее дополнительными правами? На помощь приходит плагин User Role Editor , который позволяет редактировать права существующих ролей и создавать новые.
Плагин устанавливается стандартно:
- распакуйте архив в текущую директорию и полученную папку загрузите на сервер в каталок wp-content/plugins, используя ;
- зайдите в раздел «Плагины» админки WordPress, найдите и активируйте User Role Editor.
Настройки плагина доступны по адресу «Пользователи» — «User Role Editor». Радует, что они польностью на русском языке! В первом поле можно отредактировать права для уже существующих ролей.
Порядок действий таков:
- выбираем роль, которую хотим отредактировать;
- ставим галочку напротив Показ возможностей в читабельной форме для лучшего восприятия списка доступных функций;
- галочками отмечаем нужные права и сохраняем настройки.
Можно добавить новую роль. Для этого воспользуемся одноименной опцией:
Имя должно быть вписано латинскими буквами. Часть прав можно взять от стандартных ролей. После создания галочками отмечаем доступные возможности и сохраняем настройки.
Еще такой момент. Некоторые плагины добавляют свои функции. На скриншоте можно заметить нестандартные функции от , отвечающего за создание галерей, альбомов и лайтбоксов для картинок, и от
Обычно посетители на сайте, это желанные люди. Но бывают ситуации, когда нужно ограничить доступ к сайту. Сделать его для избранных)) Давайте посмотрим, как можно это реализовать.
Для чего вообще нужно делать подобные ограничения? Это могут быть разные причины. Например, сайт только в разработке, но при этом, вы не хотите, чтобы его даже случайно увидели раньше времени. Да, можно закрыть индексацию, но это не выход, если знаете адрес сайта, то на него все равно можно попасть.
Другой причиной закрытия сайта, это использование его по типу частного, закрытого клуба. Администратор регистрирует пользователей, дает им пароли, после чего, пользователи смогут заходить на сайт. Это удобно, если создаете платный сайт. Размещаете нужную информацию на сайте, например, уроки чего-либо, человек вам оплачивает членство на сайте, и он получает доступ к сайту.
Но как это сделать?
Плагин Restricted Site Access
Для этого, вам нужно скачать плагин Restricted Site Access с официального репозитория плагинов WordPress. Проще говоря, вам нужно зайти в меню плагины, и добавить новый.
После чего, нужно ввести в поиск название плагина — Restricted Site Access, установить и активировать его.
А теперь перейдем к настройкам. К сожалению, у плагина нет русского языка, поэтому, позвольте мне объяснить, как пользоваться этим плагином. Для начала, нужно зайти в настройки. Но настройки плагина, находятся не в совсем обычном месте. Для настройки, нужно зайти в меню Настройки на левой панели управления сайтом, и выбрать пункт Чтение .
Теперь, в настройках видимости сайта, появился третий выбор: Restrict site access to visitors who are logged in or allowed by IP address , что в переводе означает примерно следующее, «Ограничить доступ к сайту незарегистрированным посетителям или по IP адресу» .
После выбора этого пункта, у вас откроется еще один небольшой раздел. Вот он.
И вот что они означают.
Ну и наконец, есть пункт Unrestricted IP addresses (разрешенные IP адреса). Если у вас есть постоянный IP адрес, то вы можете его ввести, после чего, все остальные посетители, не смогут заходить на сайт. Можно добавить несколько адресов (точное количество я не знаю), можно задать определенный набор адресов. То есть, теоретически, можно ограничивать доступ по IP адресам целых стран.
Заключение.
Как видите, ограничить сайт на WordPress от нежеланных посетителей, можно очень даже легко. Достаточно установить один плагин, и сделать простейшие его настройки. Если вы вдруг сами себя заблокировали, то вам достаточно зайти в админку сайта (обычно расположенную по адресу: moysite.ru/wp-admin) и изменить настройки.
Также нужно иметь ввиду: Restricted Site Access не является плагином по безопасности. Устанавливая его, вы лишь ограничиваете доступ к сайту посетителям. Но никакой защиты непосредственно от взлома, плагин не дает. Для этого есть другие плагины и методы защиты, но об этом, я поговорю в другой раз.
Возникала ли у вас когда-нибудь необходимость разрешить регистрацию пользователей на своем WordPress сайте, не предоставляя при этом доступа к консоли? Когда пользователь создает аккаунт в ВП, он получает доступ к админке, также известной как Консоль. В этой статье мы покажем вам как ограничить доступ к консоли в WordPress.
Зачем ограничивать доступ к консоли?
Доступ в админку должны иметь только те пользователи, которым вы доверяете. Если у вас на сайте несколько авторов, тогда доступ получат редакторы и участники, но не подписчики.
Даже если вы решите кому-то предоставить доступ в консоль, вы всё также сможете контролировать то, что они смогут или не смогут видеть в консоли. Это мы обсудим позже.
Ограничиваем доступ к Консоли в WordPress
Первым делом вам потребуется установить и активировать плагин Remove Dashboard Access . После активации переходим в Настройки » Dashboard Access для настройки плагина.
Плагин Dashboard Access позволяет вам выбирать роли пользователей, которые могут получать доступ в консоль. Можно выбрать администраторов, редакторов и администраторов, или же авторов, редакторов и администраторов.
В качестве альтернативы, можете ограничить доступ по возможностям. Возможности — это действия, которые пользователь может совершать на вашем сайте.
Если вы хотите разрешить пользователям редактировать профили, тогда нужно отметить галочку рядом с «user profile access». Однако, если выбрать эту опцию, то отключится функция перенаправления. Плагин будет перенаправлять пользователей на страницу редактирования профиля вместе адреса, указанного вами ранее.
Не забудьте нажать на кнопку сохранения изменений.
Вот и все. Теперь только пользователи с выбранной вами ролью или возможностями смогут получить доступ к консоли WordPress.
Скрываем элементы в админке WordPress
Иногда может потребоваться ограничить видимость определенных элементов в админке.
Вы можете скрывать и контролировать то, что пользователь видит в консоли. Сделать это можно с помощью плагина Adminimize, о котором мы писали ранее.
Защищаем папку wp-admin с помощью.htaccess
Еще одним способом защитить админ.директорию WordPress — это добавить дополнительный слой безопасности с помощью пароля. Этот способ будет запрашивать у пользователя логин и пароль, прежде чем они смогут войти в wp-admin.
Однако, здесь не будет пользовательского интерфейса для контроля того, какие именно пользователи смогут получить доступ в админку. Если вы единственный автор на сайте, или у вас крайне небольшое количество пользователей, тогда можно воспользоваться этим способом.
Мы надеемся, что эта статья помогла вам ограничить доступ к консоли WordPress.
По всем вопросам и отзывам просьба писать в комментарии ниже.
Не забывайте, по возможности, оценивать понравившиеся записи количеством звездочек на ваше усмотрение.
