Logowanie do panelu zarządzania stroną

– lekcja 1 –

Gotowy? Zaczynamy. Na początku chciałbym Cię uprzedzić, że zaczynamy od podstaw. Jeśli uznasz, że treści tu umieszczone są dla Ciebie zbyt oczywiste, przewiń do momentu, w którym znajdziesz coś interesującego. Nie obrażę się za wyrywkowe czytanie. 😉 Ważne, żebyś znalazł dla siebie jak najwięcej wartościowych treści.

Pierwsza lekcja tego kursu jest całkowicie darmowa! Miłej nauki!

Widzę, że korzystasz z mojego kursu w smartfonie. To świetnie, że nie tracisz ani chwili, aby uczyć się nowych rzeczy. Rób to tam, gdzie Ci wygodniej. Ponieważ jednak w kursach pokazuję krótkie prezentacje ekranu, które wygodniej się ogląda w poziomie, dlatego zachęcam Cię do przekręcenia ekranu.

 

 

Zakładam, że posiadasz już własną stronę internetową opartą o silnik WP. Jeśli znasz jej adres – to połowa sukcesu. Może się jednak zdarzyć, że stronę założył Ci programista i nie pamiętasz jej adresu (nazwy domeny), a wchodzisz na nią zawsze za pomocą Google. Czas zapanować nad swoją witryną i zmienić przyzwyczajenia.

Adres strony www to unikatowy adres, który posiada Twoja strona. Jeśli chcesz sprawdzić, wystarczy że przejdziesz na stronę główną i w pasku adresu (na górze) znajdziesz to, czego szukasz. Adres w zależności od przeglądarki może przyjąć jedną z poniższych form:

Skoro już wiesz, gdzie go szukać – zachęcam Cię, abyś wpisał swój adres w okno Personalizacja pod tym akapitem. Dzięki temu w tekście pojawią się linki, które zaprowadzą Cię bezpośrednio do edycji konkretnych elementów Twojej witryny. Linki będziesz widział tylko Ty i przed wprowadzeniem jakichkolwiek zmian będziesz musiał zalogować się na swoją stronę, jeśli jeszcze tego nie zrobiłeś.

Adres www jest zapisywany w ciasteczkach przeglądarki i nie jest przeze mnie w żaden sposób gromadzony. Wpisujesz go, aby ułatwić sobie korzystanie z kolejnych lekcji tego kursu. Jest to w pełni bezpieczne, na mojej stronie nie pozostawiasz żadnych danych logowania i haseł.


Czy mam WordPressa?

Nie jesteś pewien, czy Twoja strona jest oparta na silniku WP? Najprostszą metodą jest zapytać o to twórcę strony. Ponieważ jednak z różnych powodów możesz nie chcieć o to pytać – możesz samodzielnie sprawdzić, jaki jest faktyczny stan Twojej witryny. Wystarczy, że przejdziesz na stronę whatcms.org, a następnie wpiszesz w polu pod tytułem adres swojej strony i klikniesz na „Detect CMS”.

Poniżej znajdziesz przykład:

Dzięki temu będziesz mieć pewność, jaki silnik znajduje się na zapleczu Twojej witryny. Skrypt ze strony wykrywa blisko 400 różnych CMSów, więc jest duże prawdopodobieństwo, że (jeśli strona nie korzysta z WP) zlokalizujesz silnik, na którym jest oparta. Jeśli okaże się, że jest to WP – zapraszam Cię do kolejnych części tego kursu. Za chwilę dowiesz się, gdzie wpisać swój login i hasło, aby dostać się na zaplecze WP Twojej strony.

Jak znaleźć stronę logowania do Twojego WP?

Zasadniczo znalezienie panelu logowania nie powinno Ci sprawić problemu. Jeśli ustawienia Twojej strony są standardowe i wpisałeś powyżej jej adres w oknie Personalizacji to wystarczy, że klikniesz na link:

Jeśli nie podałeś adresu Twojej domeny, albo po prostu chcesz dowiedzieć się jak przejść do ekranu logowania, nie wchodząc przez tę stronę – wykonaj 3 proste kroki:

  1. Przejdź na swoją stronę główną.
  2. Kliknij w pasek adresu tak, abyś mógł do niego coś dopisać.
  3. Po adresie swojej strony dopisz: /wp-admin/ tak aby całość miała konstrukcję:

Jeszcze dla pewności jeden krótki przykład. Jestem właścicielem strony witrynanawczoraj.pl. Aby edytować stronę wystarczy, że dopiszę do adresu /wp-admin/ i wcisnę enter. Nic więcej nie muszę robić:

Jeśli zobaczysz jeden z poniższych ekranów logowania, to znaczy, że tylko jeden krok dzieli Cię od zalogowania się do Twojej witryny:

W przeciwnym wypadku kliknij tutaj.

Podawanie loginu i hasła lub maila i hasła

Skoro czytasz ten akapit, to znaczy, że udało Ci się znaleźć stronę logowania i za chwilę dostaniesz się na zaplecze swojego WP. Miejmy przynajmniej nadzieję, że się tak stanie.

Na początku chciałbym, żebyś zwrócił uwagę na opis pierwszego pola. Na powyższym zrzucie ekranu znajdziesz dopisek „Nazwa użytkownika lub e-mail”. W przypadku starszej wersji WP może tam być napisane tylko „Nazwa użytkownika”. Jest to szczególnie istotne, bowiem ta wiedza pozwoli Ci na wprowadzenie właściwej nazwy lub adresu mailowego. Wpisz ją teraz.

W drugim polu wpisz hasło, upewniając się, że masz wyłączony Caps Lock.

Teraz wystarczy, że klikniesz niebieski przycisk „Zaloguj się” i Twoim oczom powinien się ukazać kokpit WordPressa:

Piszę „powinien”, bo może się zdarzyć problem, który uniemożliwi Ci bezproblemowe zalogowanie. Przyczyn takiego stanu rzeczy może być kilka:

  1. Błędnie wprowadziłeś login lub hasło. Spróbuj ponownie; a jeśli trzeba, to jeszcze raz – do skutku. Przy okazji kolejnych prób zwróć uwagę, czy WP nie ma dodatkowych zabezpieczeń ograniczających liczbę błędnych logowań do kilku prób.
  2. Użyłeś Caps Locka. Wyłącz go dla pewności i spróbuj ponownie.
  3. Zapomniałeś hasła. Jeszcze nic straconego. Jeżeli pamiętasz nazwę użytkownika lub adres e-mail, możesz wprowadzić jedno z nich i zresetować hasło. Więcej informacji znajdziesz w części poświęconej resetowaniu hasła.
  4. Inny użytkownik z wyższymi uprawnieniami zmienił Ci hasło. Jeśli nie jesteś jedynym właścicielem strony – skontaktuj się ze swoim wspólnikiem i zapytaj czy przypadkiem nie zmieniał hasła do Twojego konta. Gdyby nawet nie zmieniał, ale posiada dostęp do panelu WP, możesz go poprosić o zmianę hasła na Twoim koncie. Hasło do dowolnego konta użytkownika można zmieniać po wejściu do sekcji Użytkownicy -> Wszyscy użytkownicy do konkretnego konta użytkownika, klikając na Nowe hasło: „Generuj hasło”.
  5. Przeglądarka zapamiętała błędnie wpisane hasło i podmienia je, kiedy próbujesz wpisać poprawne. Wyczyść cache przeglądarki lub przejdź na stronę logowania przez okno incognito / okno prywatne.
  6. Ktoś włamał Ci się do konta (być może z powodu zbyt oczywistych danych logowania) i zmienił hasło.  W takim przypadku nadal jest szansa na odzyskanie witryny. Na początku spróbuj zresetować hasło podając swój login lub adres mailowy. Jeśli to się nie uda, a posiadasz dostęp do swojego konta FTP, możesz zmienić swoje hasło w inny sposób. W serwisie 500sekund.pl znajdziesz artykuł, podpowiadający jak to zrobić.

Mam nadzieję, że ewentualne problemy podczas logowania były tymczasowe i udało Ci się finalnie zalogować do panelu (kokpitu) WP. Zapisz login i hasło do swojego panelu w bezpiecznym miejscu i pod żadnym pozorem nie podawaj go nikomu. Jeżeli zlecasz komuś pracę nad Twoją stroną, obowiązkowo przed ich przekazaniem i po skończonej pracy zmień wszystkie hasła aby ta osoba nie miała późniejszego dostępu do Twojej witryny.

Resetowanie hasła

Czasami każdemu może zdarzyć się zapomnieć login lub hasło do swojej strony. WP wyposażony jest w mechanizm, który pomoże Ci odzyskać do niej dostęp. Na początku przejdź do strony logowania, a następnie skorzystaj z opcji resetu hasła:

Po podaniu poprawnych danych na Twoją skrzynkę powinna przyjść wiadomość o temacie „[Nazwa witryny] Ustawianie nowego hasła”. W treści maila znajdziesz informację podobną do poniższej:

Teraz wystarczy, że klikniesz w link z maila, przejdziesz do strony, pozwalającej na zapisanie wygenerowanego hasła lub podanie własnego. Wybierzesz to co będzie dla Ciebie dogodniejsze, zanotujesz nowe hasło w bezpiecznym miejscu i klikniesz na „Zapisz nowe hasło”.

Po poprawnej zmianie hasła otrzymasz kolejnego maila z informacją, że zostało ono zmienione.

Mam nadzieję, że udało Ci się bezproblemowo dokonać resetu hasła. Gdyby jednak okazało się, że usługa wysyłki wiadomości nie działa na Twoim serwerze, jedynym wyjściem jest zresetowanie hasła w bazie danych. Jest to działanie wymagające elementarnej wiedzy na temat phpmyadmina i baz danych MySQL. Posiadam artykuł w ramach Treści Premium, który to zagadnienie tłumaczy, jednak nie jest on częścią kursu „WordPress dla Ciebie” skierowanego dla początkujących. Jeśli chcesz, możesz tam przejść i wykupić dodatkowy dostęp do artykułów dla zaawansowanych. Mam nadzieję, że nie będziesz miał mi tego za złe.

W ramach tego kursu pojawi się kilka linków kierujących do Treści Premium.

Tu znajdziesz artykuł tłumaczący jak zresetować hasło w bazie danych.

Kwestie bezpieczeństwa

Zakładam, że udało Ci się zalogować do kokpitu, a do tego rozdziału trafiłeś, ponieważ chcesz zadbać o bezpieczeństwo i nie dopuścić do sytuacji, w której Twoja strona trafi w niepowołane ręce.

Rozdział ten nie jest pełnym przewodnikiem jak uczynić WP bezpieczniejszym ale przy okazji logowania do strony chciałbym zaproponować Ci kilka rozwiązań, które pomogą zabezpieczyć witrynę przed najprostszymi atakami. Całość zawarłem w 10 bardzo ogólnych punktach. Rozwinięcie i instrukcję krok po kroku znajdziesz w kolejnych rozdziałach.

Troszcząc się o bezpieczeństwo WP warto zwrócić uwagę na kilka istotnych szczegółów:

  1. Czy wpisujesz na stronie logowania jako nazwę użytkownika „admin” lub czy widnieje w prawym górnym rogu kokpitu przywitanie „Witaj, admin”. Jeśli tak to znaczy, że używasz domyślnego loginu, który warto zmienić. Pozostawienie domyślnego loginu sprawia, że ktoś – kto chce dostać się do Twojej strony – musi zgadnąć tylko hasło, bo login nie jest owiany żadną tajemnicą. Login można zmienić w panelu phpmyadmin (najlepiej wcześniej zrobić kopię zapasową bazy) lub dodać nowego użytkownika z uprawnieniami administratora, następnie zalogować się na jego konto i usunąć domyślnego użytkownika o nazwie „admin” przypisując wszystkie jego treści do nowoutworzonego konta.
  2. Nie należy udostępniać nikomu loginu i hasła do strony. W przypadku zlecenia prac na witrynie osobie z zewnątrz, każdorazowo zmieniaj dane – najlepiej nie tylko do udostępnianego konta, ale także dane do bazy danych, FTP – o ile te również były przekazywane.
  3. Hasło, które zawiera Twoje imię i rok urodzenia (albo aktualny rok) nie jest hasłem skomplikowanym i nie trzeba być hackerem, aby dostać się do Twojego konta. Każde wykorzystywane przez Ciebie hasło powinno zawierać duże i małe litery oraz jakiś znak specjalny. Dokonując resetu hasła WP podpowie Ci, czy jest ono wystarczająco trudne.
  4. Jeśli często zdarzają się próby włamania na witrynę poprzez stronę logowania, warto zablokować wszystkie numery IP, za wyjątkiem tych używanych przez autorów witryny. Być może w sieci znajdziesz poradę aby zainstalować wtyczki Limit Login Attempts Reload lub Wordfence Security. Pamiętaj jednak, że instalacja jakiejkolwiek wtyczki nie załatwi raz na zawsze kwestii bezpieczeństwa. Co prawda może być pomocą w zlokalizowaniu problemu (infekcji strony), jednak środowisko pracujące z WordPressem odradza ich używanie, bo zainfekowana wtyczka bezpieczeństwa może ukryć przed Tobą informację o infekcji i dać złudne poczucie bezpieczeństwa.
  5. Staraj się zawsze mieć aktualną wersję WP, wtyczek oraz motywu.
  6. Dobrą praktyką jest wprowadzenie weryfikacji dwuetapowej. WP posiada wtyczkę, która taką funkcjonalność zapewnia. Jest to Google Authenticator.
  7. Z poziomu pliku wp-config.php można wyłączyć edytor plików motywu. Z jednej strony: podniesie to poziom bezpieczeństwa, z drugiej: uniemożliwi szybką edycję plików (i korzystanie z wygodnego przejścia do pliku dzięki wprowadzeniu adresu własnej strony do okna personalizacji na początku tej lekcji). Decyzję dotyczącą tego rozwiązania musisz podjąć samodzielnie.
  8. Warto zainstalować dla strony certyfikat SSL, który pozwoli na szyfrowane połączenie nie tylko podczas logowania do kokpitu, ale także przy każdej innej operacji na stronie, włącznie z podawaniem wrażliwych danych poprzez formularz kontaktowy.
  9. Zadbaj o częste kopie zapasowe – nie tylko te wykonywane domyślnie przez Twój hosting, ale także te, które wykonasz samodzielnie i będziesz przechowywać na swoim dysku lub w chmurze. Dzięki temu – gdyby doszło do wstrzyknięcia złośliwego kodu PHP – będziesz mógł przywrócić świeżą kopię zapasową. Przywrócenie czystej kopii rzecz jasna nie jest rozwiązaniem problemu bezpieczeństwa, ale może być powrotem do stanu przed infekcją i dobrym początkiem dbania o bezpieczeństwo Twojej strony.
  10. Zachowaj zdrowy rozsądek. Instalowanie dziesiątek wtyczek, które mają zadbać o Twoje bezpieczeństwo, może bardziej zaszkodzić niż pomóc. Zadbaj o podstawowe, najprostsze zasady bezpieczeństwa. Wtedy witryna, której jesteś właścicielem, będzie dobrze chroniona.

Problemy z dostępem do panelu zarządzania stroną

Niektóre hostingi stosują dodatkowe zabezpieczenie w postaci okna dialogowego, do którego należy wpisać dodatkowe dane, aby załadować stronę logowania. Okno może wyglądać w ten sposób lub podobnie:

Gdy przy próbie wejścia do panelu administracyjnego Twojej strony, pojawi się takie okno, mam dla Ciebie trzy porady:

  1. Przyjrzyj się dokładnie, czy w komunikacie wewnątrz okna nie znajduje się informacja, co należy wpisać w pole „nazwa użytkownika” oraz „hasło”. Czasami jest tam dokładna instrukcja postępowania.
  2. Gdyby się okazało, że nie ma żadnych wskazówek, wpisz „admin” w oba pola i spróbuj się zalogować. Jeśli to nie pomoże, wpisz „atthost” i ponów próbę – ten dostawca hostingu również stosuje tego typu zabezpieczenie.
  3. Jeśli zastosowanie się do powyższych porad nie odniesie skutku, zadzwoń do BOK firmy hostingowej, gdzie przechowywana jest Twoja strona lub napisz do nich maila. To najprawdopodobniej ta firma, która wysłała Ci ostatnią fakturę za hosting. Zwykle możesz liczyć na szybką odpowiedź.

Niektórzy administratorzy w celu dodatkowego zabezpieczenia WP postanawiają zmienić domyślny adres panelu zarządzania. Wykorzystują do tego wtyczki, np. Protect Your Admin lub HC Custom WP-Admin URL. Najprościej zorientować się, że tego typu wtyczka jest używana logując się poprzez klienta FTP na serwer i odnajdując w katalogu /wp-content/plugins/ podkatalog o nazwie „protect-wp-admin” lub „hc-custom-wp-admin-url”. Kiedy znajdziemy katalog wtyczki odpowiedzialny za modyfikację wp-admina, wystarczy zmienić jego nazwę np. na „protect-wp-admin-wylaczona” albo „hc-custom-wp-admin-url-niedzialaj”. W ten sposób deaktywujemy wtyczkę i będziemy mogli zalogować się pod klasyczny adres strony logowania.

Jeśli dotychczas udawało Ci się wchodzić na stronę logowania, a pewnego dnia nagle przy próbie logowania pojawiła Ci się informacja: „Strona nie została znaleziona”, to bardzo możliwe, że Twoja firma hostingowa miała z tym coś wspólnego.

Sytuacja, z którą spotkałem się osobiście, była związana ze zmianą przez administratorów pewnej firmy hostingowej nazwy pliku odpowiadającego za wyświetlenie strony logowania. Logując się poprzez klienta FTP na serwer, bardzo szybko można zorientować się, że dotychczasowy plik wp-login.php nosi teraz nazwę wp-login.php.blocked.

Dlaczego firma hostingowa podjęła decyzję o samodzielnej zmianie nazwy? Najczęstszym powodem są wielokrotne (zbyt częste) próby zalogowania się do serwisu naszej strony internetowej, polegające na złamaniu hasła – najczęściej wykorzystujące listę popularnych haseł.

Rozwiązaniem tego problemu jest umieszczenie w pliku .htaccess reguły:

<FilesMatch wp-login.php>
Order Allow,Deny
Allow from 000.000.000.000
Deny from all
</FilesMatch>

Zamiast zer należy wstawić swój numer IP. Dzięki temu logując się ze swojego domu/biura ze stałym połączeniem internetowym możemy mieć pewność, że nikt inny nie będzie mógł zobaczyć strony logowania.

To rozwiązanie nie sprawdza się, kiedy mamy dynamiczny numer IP.

O bezpieczeństwie przy utrzymaniu stron uruchomionych na WordPressie można byłoby napisać cały osobny kurs. Ponieważ są to tematy wykraczające poza zakres podstawowy obsługi WP, dlatego chciałem Ci tylko wskazać dwa miejsca w sieci, w których możesz przeczytać o dobrych praktykach bezpieczeństwa. Zapewniam, że ich autorzy stawiają temat bezpieczeństwa na pierwszym miejscu:

Pierwszym źródłem jakie chcę Ci pokazać jest kompendium wiedzy na temat zabezpieczeń przygotowane przez The Camels

Drugim – równie ważnym – jest prezentacja Krzyśka Dróżdża


Przejdź do 2 lekcji   

Jeśli znalazłeś literówkę, daj mi znać, zaznaczając ten tekst i naciskającCtrl+Enter.

UDOSTĘPNIJ