club762.ruЧтобы добавить дополнительный уровень безопасности к своему WordPress-сайту, вы можете сменить URL-адрес для страницы входа в панель администратора. Делается это достаточно быстро.
Предотвратить взлом WordPress-сайта обычно несложно, если следовать рекомендациям. Одна из таких рекомендаций заключается в том, чтобы изменить базовый URL-адрес для входа в WordPress. В результате этого злоумышленникам придется приложить дополнительные усилия, чтобы войти в панель администратора WP. Смена URL-адреса для входа в WP помогает избежать брутфорс-атак с перебором паролей.
Плагины, позволяющие сменить URL для страницы входа в WordPress
Использование плагина – лучший способ смены URL-адреса для страницы входа. Вам не понадобится редактировать базовые файлы WordPress, что нередко ведет к проблемам с безопасностью.
- Rename wp-login.php
- WPS Hide Login
- Custom Login URL
Скрываем URL для входа в WordPress
Мы рассмотрим один плагин, с которым мы работали более 4 лет. С ним у нас не возникало проблем.
Шаг 1: Устанавливаем и активируем Rename wp-login.php
Вам нужно посетить страницу установки плагина из консоли WordPress. Найдите плагин Rename wp-login.php, установите его и активируйте.
Шаг 2: Устанавливаем новый URL для входа в WordPress
После активации плагина вы будете перенаправлены на страницу с постоянными ссылками. Прокрутите вниз и установите новый URL для входа в WordPress, после чего сохраните изменения.
Протестируйте свой скрытый URL
Посетите свои базовые URL-адреса (wp-admin & wp-login.php) и убедитесь в том, что они перестали быть активны. После чего перейдите по новому URL и попробуйте войти в консоль.
Подсказка
Убедитесь в том, что вы задали рандомный URL, после чего запишите его куда-либо, чтобы не забыть. Если вы вдруг забыли адрес, вы можете подключиться по FTP к серверу и деактивировать плагин, переименовав его папку, которая расположена в /wp-content/plugins (или переименовав всю папку с плагинами).
Источник: https://didgit.com
Спасибо! Сейчас это очень актуально. Боты ломают сайты последнее время.
Ага, я устал уже их IP-адреса вносить в черный список в cPanel.
Давно использую в том числе и для этих целей плагин WP Cerber.
Здравствуйте! Проблема: не получается сразу обе защиты установить — и двойной вход, и смену адреса.
Если меняю адрес страницы входа в файле wp-login.php и ставлю редирект в файле general-template.php на 404 страницу, ошибка 404 исправно появляется, но двойная авторизация по новому адресу не работает — не появляется форма.
Если оставляю стандартный wp-admin, она работает, но адрес-то старый ).
Мне нужно так: 1 блок защиты — другой адрес входа. Если его находят, то тогда появляется 2 блок — форма авторизации. Ну и дальше 3 блок — другое имя и сложный пароль формы WordPress. 3 блок я сделал. А вот 1 и 2 как-то с ног на голову работают и получается смешно: взломщик вводит домен/wp-admin — ему появляется форма, запускаемая через htaccess. Допустим он старается долго и взламывает её и тут ему показывается страница 404.
Вообще есть смысл обе защиты применять или один пойдёт или только один и можно настроить? Если же можно оба, то можете хотя бы дать направление, куда копать. Я так полагаю нужно где-то прописать, чтобы форма авторизации появлялась при новом адресе? Или может так и оставить? Получается обманка какая-то)
А плагины не пробовали?
Такие как, к примеру, WP Cerber — он умеет делать кастомную страницу логина и заодно двухфакторную аутентификацию на ней.
https://wordpress.org/plugins/wp-cerber/
Если нужно прямо в виде кода, то тогда вы можете распотрошить код плагина и посмотреть, как там все устроено)
Ещё раз здравствуйте, Дмитрий. Итак, докладываю:
Поставил дополнительно плагин Two Factor — теперь выходит дополнительная форма после стандартной формы WordPress. Советую его всем, кто будет читать этот комментарий — в нём можно выбрать 4 типа защиты: письмо на почту для входа, QR код, одноразовые цифровые пароли и ключ для HHTPS соединения.
All In One WP Security & Firewall поставил — удобная вещь, особенно в плане оценки защиты по баллам.
Ещё есть продвижение с формой от .htacces. В Clearfy сменил адрес входа на новый и при этом форма авторизации из файла .htaccess появляется. Единственный косяк — если в ней нажать не Ok, а Отмену, то подгружается стандартная форма входа в админку WordPress, только без css стилей. Как сделать так, чтобы она не появлялась?
Если эту проблему устранить, у меня получится 3 вход: форма .htaccess — форма WordPress — форма Two Factor. :)
Поскольку физически форму входа не убрать, только переместить на новый адрес, нужно будет все равно привязывать к кнопке Отмена редирект на другой, нужный вам адрес. Но в таком случае придется ковырять код самого движка, похоже.
Думаю, проблема всё же решена. Я проверил дальше вход и всё оказалось не так плачевно. Итак, я захожу на страницу входа -> появляется окно от .htaccess -> я нажимаю отмена -> появляется форма Wordpess -> я ввожу пароль и тут снова появляется форма от .htaccess и если я в нём снова нажимаю отмена, доступ блокируется. То есть по-любому код в неё вводить нужно. Так что всё в порядке.
Причём, хоть я адрес и поменял в плагине, форма от htaccess появляется и по новому адресу, и по wp-admin и заищищает их оба.
Тогда ок. Способ, конечно, достаточно неординарный, но главное, что все работает. :)