Página de inicio de sesión personalizado para WordPress
Cómo cambiar el nombre de wp-login.php y proteger WordPress de ataques automatizados de fuerza bruta y bot. Es una gran herramienta para reducir la superficie de ataque y eliminar los registros de spam.
English version: Custom login page for WordPress
WP Cerber Security le permite cambiar de forma fácil y segura la página de inicio de sesión de WordPress predeterminada wp-login.php a lo que desee. En otras palabras, puede configurar su propia página de inicio de sesión personalizada (la URL de inicio de sesión personalizada significa lo mismo) y ocultar wp-login.php de los ataques automatizados. No es necesario editar el archivo .htaccess manualmente o cambiar el nombre de su archivo wp-login.php real. Con WP Cerber Security puedes hacerlo en varios clics.
- Ve a la página de administración de la configuración principal del complemento.
- Ingrese su nueva URL de inicio de sesión deseada en el campo URL de inicio de sesión personalizada y haga clic en Guardar configuración . Nota: la URL puede contener solo letras, números, guiones y guiones bajos.
- Una vez que haya cambiado la URL de inicio de sesión, el complemento enviará una nueva URL a los correos electrónicos configurados para notificaciones.
- Si utiliza un complemento de almacenamiento en caché, agregue su nueva dirección URL de inicio de sesión a la lista de páginas que no desea almacenar en caché.
- Asegúrese de que su nueva URL de inicio de sesión funciona correctamente y puede usarla para iniciar sesión. Hágalo en una ventana de incógnito del navegador. No cierre sesión en su sitio web hasta que verifique su nueva URL de inicio de sesión .
- Una vez que se haya asegurado de que su nueva URL de inicio de sesión funcione, marque Bloquear el acceso directo a wp-login.php y devuelva el error HTTP 404 No encontrado y haga clic en Guardar configuración .
- Se recomienda marcar Deshabilitar la redirección automática a la página de inicio de sesión cuando se solicite / wp-admin / una solicitud no autorizada.
- ¡Hecho!
Notas
- Si usa un complemento de almacenamiento en caché como W3 Total Cache o WP Super Cache , debe agregar el slug de la nueva URL de inicio de sesión personalizada a la lista de páginas que no desea almacenar en caché.
- Para WordPress, la URL de inicio de sesión de instalación multisitio se establecerá para todos los sitios globalmente.
- Nunca cambie el nombre del archivo wp-login.php directamente. Después de actualizar su WordPress a una versión más nueva, wp-login.php será accesible para los intrusos nuevamente.
Solución de problemas de la función URL de inicio de sesión personalizada
Si ha configurado su URL de inicio de sesión personalizada y después de un tiempo lo olvidó, en primer lugar, marque la casilla de correo electrónico del administrador del sitio para recibir un correo electrónico de notificación sobre su nueva URL de inicio de sesión o un informe semanal. En ese correo electrónico, puede encontrar su URL de inicio de sesión personalizada. Si no puede encontrar ese correo electrónico, debe volver a instalar el complemento manualmente siguiendo los pasos a continuación.
- Elimine la carpeta de complementos / wp-cerber / manualmente mediante FTP o cualquier Administrador de archivos (en su panel de control de hosting) que le proporcione su proveedor de hosting.
- Inicie sesión en su panel de WordPress como de costumbre usando la URL /wp-login.php predeterminada u otra forma que esté acostumbrado a usar.
- Instale y active el complemento WP Cerber Security nuevamente.
- Ve a la página de configuración principal del plugin.
- Compruebe el campo URL de inicio de sesión personalizado . Muestra la URL de inicio de sesión personalizada que debe utilizar. ¡Recuerdalo!
Vea también: Cómo ocultar wp-admin y wp-login.php de posibles ataques
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.