Как изменить адрес админки WordPress, чтобы скрыть страницу входа от взлома
Взлом админки WordPress является наиболее неприятным событием для владельца сайта, так как напрямую передаёт контроль над проектом злоумышленнику. И сегодня я покажу, как защитить свой сайт от этой опасности.
К сожалению, стандартная конфигурация WordPress не защищена от простого перебора логинов и паролей. Поэтому хакерские боты просто переходят по адресу атакуемый-сайт.ru/wp-login.php и начинают автоматический перебор.
Даже если вы используете очень сложный пароль, рано или поздно он может быть найден, плюс ко всему каждый запрос бота заставляет сервер выполнять ряд скриптов, сверяющих введенные данные с базой, что создает немалую нагрузку и может привести к подвисанию сайта или к превышению разрешенной хостинг-провайдером нагрузки на сервер.
Решается задача в 2 шага:
- Изменение стандартного адреса админки WordPress на произвольный, известный только вам.
- Запрет доступа к сайту всем, кто пытается открыть стандартную страницу входа в админку, им выдаем 403 ошибку (Forbidden).
Первый шаг повысит безопасность, а второй избавит от лишней нагрузки на сервер.
Как изменить адрес админки WordPress
За вход в панель администратора отвечает файл wp-login.php, он находится в корневой директории сайта.
Нам нужно взять этот файл и создать копию с другим именем, используя произвольный набор символов, чем более загадочным будет новое название, тем меньше шансов на взлом.
Например, назовем файл wp-biznessystem-ru-SDF54-login.php.
Не удаляйте стандартный файл, так как без него не будет работать кнопка «Выход» из админ панели.
Чтобы новая страница входа в админку заработала, в самом файле необходимо провести корректировку.
Можете править прямо на сервере, но удобнее скачать на компьютер и работать с текстовым редактором Notepad++ (или другим, привычным вам).
Найдите внутри и замените все названия старого файла (wp-login.
php) на новое (в примере wp-biznessystem-ru-SDF54-login.php).
Должно получиться 13 изменений.
Теперь сохраняем этот файл, возвращаем на хостинг и пробуем открыть админ панель по новому адресу.
Проверили, измененная страница входа работает, переходим к следующему шагу.
Как убрать доступ к стандартной админ панели
Теперь нам надо правильно отключить старую админ панель. Если просто удалить wp-login.php на хостинге, как я сказал выше, перестанет работать выход из админки, а это плохо, особенно, если вы пользуетесь общественным компьютером для работы с сайтом.
Кроме того, обращение к несуществующему файлу будет отдавать 404 ошибку (файл не найден). Роботу страницы 404 не нужна, а так как она является полноценной страницей сайта с большим объемом кода и, возможно, прикрученными скриптами и картинками – их отдача боту взломщику будет нагружать сервер.
Правильный подход — отдать 403 код с запретом доступа – это наименее ресурсозатратный серверный ответ, только его заслуживают хакеры.
(.*)$ — [F,L]
Скрипт выдает запрет доступа на любой запрос адресованный файлу wp-login.php, за исключением параметра logout (выход из адмики).
Хакеры будут получать 403 ошибку при попытке попасть в админ панель.
Особенность, с которой столкнетесь после изменения адреса админки
Когда мы выходим из панели управления, через кнопку «Выйти», сайт обращается к тому же самому файлу wp-login.php, а так как доступ к нему заблокирован для всех пользователей, нажатие кнопки выхода будет приводить к появлению страницы запрета доступа (403 Forbidden), а не к переходу на страницу авторизации.
Это никак не влияет на работоспособность сайта в других аспектах.
На этом закончим. Надеюсь, с переименованием админки ваша вебмастерская жизнь станет проще, так как отпадет проблема взлома, и будет время с головой окунуться в более интересные дела.
Страница входа WordPress – как изменить страницу авторизации
Главная » Улучшение и апгрейд WordPress
Улучшение и апгрейд WordPress
Автор Женя На чтение 3 мин.
Просмотров 539 Опубликовано
Безопасность блога всегда актуальная проблема для администраторов. В основном дополнительных регистраций не предусмотрено, помимо наемных копирйтеров и наемных сотрудников. Если вы один на сайте, то для безопасности лучше изменить страницу входа WordPress, потому что она стандартная.
Содержание
- В чем опасность адреса стандартной админ панели
- Как изменить страницу входа WordPress с помощью плагина Clearfy PRO
- Плагин WPS Hide Login для зашиты админки
- Easy Hide Login – скрыть страницу ввода логина и пароля маской
В чем опасность адреса стандартной админ панели
Форма входа с админкой по–умолчанию находятся на стандартных адресах wp-admin и wp-login, поэтому атаковать в первую очередь атакуют хакеры именно их, потому что эти страницы авторизации единственная защита сайта.
В основном их ломают с помощью брутфорса, то есть перебором имени и пароля пользователя.
Тем более в WordPress есть одна уязвимость – при правильном подборе одного из параметров он подсказывает, что остался только один параметр неправильный.
Как изменить страницу входа WordPress с помощью плагина Clearfy PRO
Плагин глобальной оптимизации WordPress Clearfy PRO умеет справляться с некоторыми проблемами безопасности, включая вход в WordPress, например маскировать страницу входа.
Заранее запомните как выглядит url, были случаи когда активировали этот пункт и забывали как прописан урл, приходилось удалять. После активации, если войти на wp-admin, то отобразится такая надпись.
Данный функционал не единственное достоинство КлеарфайПРО, а еще исправляет около 50 неисправностей WordPress, включая ненавистные replytocom.
Обзор на Clearfy PRO
Плагин WPS Hide Login для зашиты админки
Люблю короткие решения, дающие быстрый, понятный результат WPS Hide Login является таким. Устанавливается из репозитория WordPress либо из админки, выглядит так.
После переходим к настройкам инструмента.
- Переходим Внешний вид — Общие.
- Пролистываем страницу в самый низ.
- URL входа – та ссылка по которой будете вводить данные и заходить в админку.
- Redirection – если линк введен не правильно, то куда направить пользователя.
Easy Hide Login – скрыть страницу ввода логина и пароля маской
Интересное решение предложил разработчик Easy Hide Login, возможно даже правильнее чем у остальных. Предыдущие два инструмента правят само ядро WordPress и подменяют страницу входа, что не совсем правильно с точки зрения программинга на WP. Этот вариант просто делает маску через специальный служебный запрос начинающийся с вопросительного знака. Для начала ставим модуль, стандартно поиском.
Переходим настройки, находим одноименный раздел. Дальше вносим название слага, любую непонятную строку, не забываем ее скопировать и сохранить. Нажимаем для сохранения Submit, чтобы изменить страницу.
Теперь, чтобы войти в панель вордпресс, нужно ввести в адресной строке после названия домена знак вопроса и после него сохраненный слаг.
Если плагин работает, то произойдет редирект на страницу входа. Старые адреса будут отдавать 404 ошибку, что документ не найден. Каждый из методов имеет рабочий, но я советую Клеарфай , он не только защитит панель, служебные документы, но и оптимизирует весь блог.
Оцените автора
Как изменить URL-адрес страницы входа администратора WordPress по умолчанию
Как изменить URL-адрес страницы входа администратора WordPress по умолчаниюАтаки грубой силы обычно начинаются с попытки получить доступ к странице входа в систему администратора WordPress, чтобы получить учетные данные для входа. Хакеры получают полный контроль над информацией сайта, как только они получают данные для входа администратора. В этой статье показано, как использовать плагин WPS Hide Login для безопасного изменения URL-адреса страницы формы входа.
Чтобы установить и настроить плагин WPS Hide Login, выполните следующие действия:
- Войдите на свой сайт WordPress с учетной записью администратора.
- На панели инструментов на левой боковой панели нажмите «Плагины», а затем нажмите «Добавить новый».
Найдите « Плагин WPS Hide Login », нажмите «Установить», а затем нажмите «Активировать», чтобы активировать плагин:
На панели инструментов на левой боковой панели нажмите «Настройки», а затем нажмите «WPS Hide Login»:
Измените URL-адрес входа администратора по умолчанию на собственный URL-адрес, а затем нажмите «Сохранить изменения»:
- Выйдите из системы и войдите снова, используя новый URL-адрес страницы входа администратора WordPress.
Дополнительная информация
Для получения дополнительной информации о плагине WPS Hide Login посетите https://wordpress.org/plugins/wps-hide-login/
Get Managed WordPress Hosting
Подробности статьи
- Продукт: Все Счета
- Уровень: Новичок
Другие товары в этой категории
- Установка подключаемого модуля безопасности Wordfence
- Установка Akismet
- Установка и настройка форума bbPress на WordPress
- Установка и настройка WooCommerce
- Установка и настройка 2Checkout
- Настройка платежей PayPal для WordPress
- Установка и настройка подключаемого модуля Google XML Sitemaps
- Установка и настройка плагина Postie
- Отключение плагинов в WordPress
- Установка и настройка плагина системы комментариев Disqus
- Установка и настройка подключаемого модуля EWWW Image Optimizer
- Установка и настройка подключаемого модуля расширенного редактора TinyMCE
- Плагины WordPress A2 Hosting не рекомендует
- Исчезающие плагины WordPress
- Установка и использование подключаемого модуля P3
- Установка и настройка подключаемого модуля UpdraftPlus
- Установка и настройка плагина LiteSpeed Cache для WordPress
- Управление плагинами на управляемом WordPress 9 хостинга A20008
- Установка и использование подключаемого модуля Query Monitor
- Включение автоматических обновлений для плагинов WordPress
- Перевод сайта WordPress с помощью плагина GTranslate
- Настройка статистики сайта для WordPress
- Генератор карт сайта XML для WordPress
- Установка плагина Auto Image Alt Attribute в WordPress
- Установка плагина Online Users Stats для WordPress
- Создание истории действий пользователя для WordPress
- Мониторинг производительности базы данных MySQL в WordPress
- Срок действия логина для WordPress с истечением срока действия
- Очистка базы данных WordPress с помощью подключаемого модуля Advanced Database Cleaner
- Оптимизация базы данных WordPress
- Мониторинг Ошибка WordPress
- Клонировать контент в WordPress
- Переключение пользователей для WordPress
- Тестовая электронная почта для WordPress
- Страница гостевой книги для WordPress
- Встраивание шрифтов Adobe в сайты WordPress
- Система записи на прием для WordPress
- Прилепленное меню на WordPress
- Отображение случайных сообщений в WordPress
- Формы обзора сайта для WordPress
- Отключение обновлений плагинов
- Изменение шрифтов с помощью классического редактора WordPress
- Бесконечная прокрутка для WordPress
- Использование плагина Search Exclude для исключения записей WordPress и страниц в поиске
- Импорт пользователей из файла CSV в WordPress
- Создание юридических страниц в WordPress
- Ссылка WhatsApp на WordPress
- Предотвращение XSS-уязвимостей в WordPress
- Оптимизация сайтов WordPress с помощью WP Fastest Cache
- Сбросить содержимое в WordPress
- Ограничение попыток входа в систему WordPress
- Включение режима обслуживания в WordPress
- Удаление префикса категории из URL-адреса страницы WordPress
- Создание короткой ссылки в WordPress
- Заголовки безопасности HTTP в WordPress
- Отключить XML-RPC с помощью оптимизированного плагина A2 в WordPress
- Установка плагина BoldGrid Impression для WordPress
- Изменение URL-адреса страницы входа администратора WordPress по умолчанию
- Реализация двухфакторной аутентификации (2FA) для WordPress
- Установка Google Authenticator для WordPress
- Добавление корзины покупок PayPal в WordPress
- Оптимизация базы данных WordPress
- Повышение производительности WordPress
- Поддержка SVG в WordPress
- Темный режим для WordPress
- Показать всплывающее сообщение в WordPress
- Создание резервной копии WordPress с помощью плагина All-in-One WP Migration
- Создание динамических форм в WordPress
- Обновление плагина WordPress
- Баннер соответствия требованиям к файлам cookie в WordPress
- Администрирование базы данных WordPress с помощью плагина WP Data Access
- Настройка политик паролей для WordPress
- Отключить создание эскизов в WordPress
- Остановить WordPress от создания изображений разных размеров без плагина
- Избегайте обнуленных тем и плагинов WordPress
- Встраивание кодов JavaScript и HTML в WordPress
- Поиск и замена данных в WordPress
- Проверка регистрации пользователя для WordPress
- Настройка сжатия изображений в WordPress
- Защита от копирования контента в WordPress
- Отображение связанных сообщений в WordPress
- Блокировка сообщений в WordPress
- Отображение календаря событий в WordPress
- Преобразование WordPress в безголовый WordPress
- Настройка функции загрузки файлов в постах или страницах WordPress
- Отображение ленты Twitter в WordPress
- All-in-One (AISEO) SEO-рейтинг WordPress плагин
- Разрешить пользователям публиковать сообщения с помощью внешнего интерфейса WordPress
- Настройка меню администрирования WordPress и панели инструментов
- Средство проверки неработающих ссылок для WordPress
- MonsterInsights — плагин Google Analytics для WordPress
- Установка плагина расширения функции доставки WooCommerce
- Установка плагина Really Simple SSL для WordPress
Показать больше
Статьи по теме
- Заголовки безопасности HTTP в WordPress
- Установка плагина безопасности Wordfence
- Безопасность WordPress
Развивайте свой веб-бизнес
Подпишитесь, чтобы получать еженедельные советы, стратегии и новости, необходимые для развития вашей сети
бизнес.
Бесплатно. Отписаться в любое время.
Была ли эта статья полезной для вас? Тогда вам понравится наша поддержка. Испытайте преимущества хостинга A2 уже сегодня и получите предварительно защищенный и предварительно оптимизированный веб-сайт. Ознакомьтесь с нашими планами веб-хостинга сегодня.
Как создать собственный URL-адрес для входа в WordPress
По умолчанию каждая установка WordPress имеет два URL-адреса для входа: yourdomain.com/wp-admin.php и yourdomain.com/wp-login.php
- 1 Зачем менять URL-адрес входа в WordPress?
- 2 Как создать собственный URL-адрес для входа в WordPress
- 3 Как изменить URL-адрес входа в WordPress без плагина
- 4
Как изменить URL-адрес входа в WordPress с помощью плагина
- 4.
- 4.
- 5 Последние мысли
Зачем менять URL-адрес входа в WordPress?
Как я упоминал выше, существует множество проблем с безопасностью, которые могут возникнуть из-за того, что ваша страница входа открыта для публики. В частности, атаки грубой силы. Из-за повсеместного распространения WordPress такие атаки становятся все более и более распространенными. Одна из причин заключается в том, что обширный большинство пользователей WP используют /wp-admin для входа в систему.
И знаете что? Скорее всего, они войдут. Потому что люди (и я не говорю
- 123456
- Пароль
- 12345678
- QWERTY
- 12345
- 123456789
- пустьмайн
- 1234567
- футбольный мяч
- я люблю тебя
- администратор
И что еще хуже… большинство из них используются в сочетании с самыми избитыми клише, именем пользователя по умолчанию admin .
Если вы унаследовали сайт с именем пользователя admin , извините. Я был здесь. Честно говоря, я даже сделал это, потому что это легко и быстро. Но это крайне небезопасно. К счастью, вы можете изменить имя пользователя WordPress после его создания, хотя в документации сказано, что это невозможно.
Но это ни здесь, ни там. Неважно, какое у вас имя пользователя, если плохие парни не могут добраться до полей ввода, вопрос (почти) спорный. Если этого недостаточно, чтобы изменить URL-адрес входа в WordPress (или, по крайней мере, изменить имя пользователя), я не знаю, что это такое.
Может быть, пользовательский брендинг и совершенно новый способ входа в систему? Кстати, клиентам нравятся экраны входа в систему, адаптированные к их бизнесу и бренду. Независимо от причины изменения, вот как это сделать.
Как создать собственный URL-адрес для входа в WordPress
youtube.com/embed/3cFBmtzJZB8?feature=oembed» frameborder=»0″ allow=»accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture» allowfullscreen=»»> Подпишитесь на наш канал Youtube
Как изменить URL-адрес входа в WordPress без плагина
Не надо. Использовать плагин.
Это может показаться грубым, но изменение URL-адреса входа в WordPress без плагина может быть не лучшей идеей. Вы может это сделать. Но не стоит . Когда вы полностью меняете URL-адрес входа в WordPress без плагина, вы начинаете возиться с файлами WP Core, и это вроде большое нет-нет. В Кодексе WP.org есть документация по созданию совершенно новой страницы входа с использованием хуков для изоляции полей входа. Но есть причина, по которой они не включают его, чтобы полностью изменить его.
Теперь, как правило, я предлагаю делать все, что можно, без плагина. Это имеет тенденцию экономить немного памяти сервера, процессов, пропускной способности и возможного устранения неполадок.
Кроме того, он может многому научить вас о том, как работает CMS. На этот раз, однако, это плагины полностью.
Как изменить URL-адрес входа в WordPress с помощью плагина
Более безопасный и лучший способ изменить URL-адрес входа в WordPress — использовать плагин. Их довольно много (iThemes Security работает как обфускатор входа в систему, а также как полный пакет безопасности), но более легкий вариант — WPS Hide Login. Это, безусловно, золотой стандарт процесса. Он делает одно дело, и делает это хорошо.
После установки и активации у вас появится новая опция в общих настройках, в которой вы можете просто ввести новый слаг, который вы хотите, чтобы поля входа в систему жили. Перейти к любому S Настройки > Общие или Настройки > WPS Скрыть логин , чтобы изменить его. Оба они ведут вас в одно и то же место.
Все, что вам нужно сделать, это ввести новый URL-адрес для входа и нажать кнопку Сохранить изменения .
Обратите внимание, что он также запрещает доступ к каталогам wp-login.php и wp-admin для людей, не подключенных к сети. Другими словами, вы можете получить к ним доступ, если вы вошли в систему. В противном случае вы получите ошибку 404.
Когда вы или вошли в систему, вы видите только панель инструментов.
Однако, когда вы перейдете к недавно измененному URL-адресу входа в WordPress, вы должны увидеть знакомый сайт (каламбур).
Две вещи, о которых нужно помнить
Во-первых, в тот момент, когда вы активируете этот плагин, у вас не будет доступа к старым экранам входа в систему. По умолчанию WPS Hide Login приведет вас к /логин для записи . Это произойдет сразу после активации, даже до того, как вы войдете в свои настройки, чтобы настроить его самостоятельно. Пожалуйста, помните это. И если вы изменили URL, пожалуйста, помните и об этом. В противном случае, я думаю, у вас будет пара проблем со входом в систему.
В конце концов, вы пытаетесь облегчить жизнь своей команде/клиентам и усложнить задачу хакерам. Вы не хотите запирать себя на своем собственном сайте.
Во-вторых, когда и если вы деактивируете плагин, ваш сайт немедленно вернется к использованию wp-admin и wp-login.php в качестве точки входа для пользователей . Таким образом, вы не испортите базу данных и не заблокируете кого-либо, если решите, что не хотите идти по этому пути.
Заключительные мысли
Несмотря на то, что сама концепция изменения одного из самых фундаментальных элементов WordPress может показаться сложной, надеюсь, вы видели, что все, что для этого требуется, — это несколько щелчков мыши благодаря усилиям некоторых действительно фантастических разработчиков. Как я уже сказал выше, вполне возможно изменить URL-адрес входа в WordPress без плагина, но это действительно не лучшая практика. В файлах Core слишком много факторов, которые нужно учитывать, и всякий раз, когда вам нужно изменить их, а также базу данных, использование плагина, безусловно, является более безопасным выбором.