Как исправить проблему входа в систему администратора WordPress
17 февраля 2023 г.Чтобы усилить безопасность на вашем веб-сайте WordPress, вам нужен механизм двухфакторной аутентификации (2FA) для обеспечения аппроксимации личности, а также капча для предотвращения неистовства печально известных ботов на странице входа wp-admin
( или любой другой эквивалент). С учетом сказанного существует Wordfence, ведущий игрок в области безопасности WordPress, который может предоставить функцию двухфакторной аутентификации для вашего веб-сайта WordPress.
Попутно вы решили использовать Cloudflare Turnstile, недавно выпущенный, но многообещающий сервис Captcha из-за его удобного и более конфиденциального подхода. Вы включили их обе в соответствии с инструкциями и решили выйти из своей учетной записи администратора, чтобы протестировать службы, но затем .
Проблема
На первый взгляд кажется, что сервисы работают. Cloudflare Turnstile появляется на странице входа, и попытка входа приводит к двухфакторной аутентификации на вашем экране. Вы вводите код двухфакторной аутентификации и ожидаете, что вас перенаправят на панель инструментов WordPress, но перенаправление оказалось неожиданным.
Вы снова перенаправлены на страницу входа с сообщением об ошибке от Cloudflare Turnstile:
Please verify that you are human.
Вы думаете, что код 2FA был введен неправильно, или турникет Cloudflare каким-то образом ошибочно распознал запрос как бот и решил повторить попытку, но, к сожалению, результат тот же. На данный момент вы застряли в цикле входа в систему и полностью заблокированы для панели администратора WordPress.
Что происходит, когда турникет Cloudflare отключен?
Поскольку сообщение об ошибке исходит от Cloudflare Turnstile, возможно, отключение этой службы Captcha может решить проблему. Однако, не имея доступа к панели инструментов WordPress, вы решили вместо этого отключить ее на панели инструментов Cloudflare. На панели управления Cloudflare Turnstile Analytics вы видите заметный всплеск синих значений — нерешенных запросов Captcha. Отметка времени совпадает с тем, когда вы начинаете сталкиваться с проблемой.
Дело в том, что здесь нет тривиального способа отключить турникет Cloudflare, поэтому вы решаете сменить секретный ключ. После смены вы все еще сталкиваетесь с той же петлей на сайте входа в WordPress. Распространение изменения может занять некоторое время, по крайней мере, вы так думали. Это верно, но примерно через 15 минут изменение распространяется, и вы видите это сообщение об ошибке Cloudflare Turnstile при обновлении страницы входа в WordPress.
Invalid domain. Contact the Site Administrator if this problem persists.
Теперь вы даже не можете перейти на экран кода 2FA. Ваше имя пользователя и пароль не могут быть отправлены, так как Cloudflare Turnstile полностью блокирует процесс входа в систему после смены секретного ключа по соображениям безопасности. Почему-то проблема стала еще хуже, чем раньше.
Выполняйте административные операции WordPress, но не через панель администратора, возможно ли это?
По большому счету, это может быть проблемой и для других сервисов проверки подлинности. На данный момент точно известно, что Wordfence 2FA и турникет Cloudflare несовместимы и вызывают хаос. Целью является отключение этих служб и возврат сайта WordPress в известное и исправное состояние, но это кажется невозможным, если панель администратора заблокирована, или нет?
Резервное копирование и восстановление WordPress тривиально из панели администратора с помощью плагинов, например, All-in-One WP Migration. Этот путь сейчас недоступен. Восстановление моментального снимка инфраструктуры — еще один вариант, но что, если у вас его нет? Как насчет прямого доступа и изменения содержимого WordPress на уровне файловой системы? Если ваш сайт WordPress полностью управляется третьей стороной, вы можете иметь ограниченный контроль над веб-сервером. Однако, если у вашего хостинг-провайдера WordPress есть такая возможность или вы размещаете самостоятельно, вы можете подключиться по SSH напрямую к серверу и изменить установку WordPress через панель администратора.
Устраните цикл входа в систему, отключив плагины WordPress через SSH
По аналогии с предыдущей статьей: разместите бесплатный сайт WordPress с Google Cloud и Cloudflare, предположим, что ваш сайт WordPress размещен в Google Cloud с использованием WordPress, сертифицированного Bitnami и Automattic на вычислительном движке, тогда есть готовый и безопасный способ SSH к веб-серверу через панель инструментов Google Cloud Compute Engine (отмечена желтым цветом на рисунке ниже).
Безопасный сеанс SSH полностью управляется Google Cloud, поэтому вам не нужно беспокоиться о какой-либо конфигурации. Через некоторое время терминал вашей виртуальной машины (Compute Engine).
Ваш терминал может напоминать или наоборот в зависимости от конфигурации виртуальной машины. Для готовой установки от Bitnami все должно быть таким же.
Цель состоит в том, чтобы выяснить, где на вашем веб-сервере находятся плагины WordPress (Wordfence и Cloudflare Turnstile), и отключить их оттуда. С учетом сказанного выполните следующие команды:
# Move to where the plugin folder locates
cd ../bitnami/stack/wordpress/wp-content
# Rename an existing, "broken" folder to disable the plugins
sudo mv plugins plugins-old
На данный момент все ваши плагины отключены, но не беспокойтесь, их можно будет восстановить позже. Не закрывайте окно SSH, но давайте пока отложим это в сторону.
Затем вернитесь на страницу входа в систему администратора WordPress (wp-admin
или любые другие эквиваленты). Поскольку и Wordfence 2FA, и турникет Cloudflare отключены, вы можете без проблем войти в панель администратора WordPress. Как только вы окажетесь на панели инструментов, ваш браузер сохранит сеанс входа в систему и выдержит обновление страницы, поэтому не выходите из этого шага.
Теперь вернитесь в окно Compute Engine SSH и выполните следующую команду.
sudo mv plugins-old plugins
Если вы переименуете папку plugins-old
обратно в исходную, теперь ваш сайт WordPress обнаружит наличие плагинов и применит их соответствующим образом, включая проблемную ошибку цикла входа в систему. Обновление панели администратора может отразить изменения. Тем не менее, поскольку ваш сеанс входа в систему все еще существует, вы можете просто отключить двухфакторную аутентификацию Wordfence и турникет Cloudflare в панели администратора WordPress. Проблема решена, и цикл входа в систему больше не существует!< /p>
Заключение
Wordfence и Cloudflare Turnstile — отличные сервисы для улучшения безопасности WordPress. Тем не менее, в частности, с Wordfence 2FA, похоже, есть проблемы, связанные с его взаимодействием со службой Captcha в целом или, по крайней мере, в определенном наборе условий.
* Несовместимо с безопасностью входа в Wordfence 2FA * 2FA конфликтует с плагинами reCAPTCHA
Если вы можете подключиться к веб-серверу по SSH, это препятствие, поскольку вы используете хостинг у полностью управляемого провайдера. Если у вас есть доступ, используя SSH и напрямую изменяя файлы на веб-сервере, проблема может быть решена относительно легко. Надеюсь, это руководство поможет вам восстановить веб-сайт за считанные минуты.
Заинтересованы в веб-разработке, ИТ-контенте и многом другом? Другие мои статьи могут быть вам полезны!
- Как создать резервную копию Microsoft 365 с помощью Synology Active Backup? а>
- Графический процессор AMD лучше, чем Nvidia в Linux? Это зависит 🐞
Также давайте подключаться!
Оригинал