Security Blog
Posted By Gregory

Niestandardowa strona logowania do WordPress

Jak zmienić nazwę wp-login.php, utworzyć niestandardowy adres URL logowania i chronić WordPress przed zautomatyzowanymi atakami typu brute-force i botami.


English version: Custom login page for WordPress


Funkcja niestandardowej strony logowania jest doskonałym narzędziem do zmniejszania obszaru ataku i eliminowania rejestracji spamu. To pierwsza rzecz, którą powinieneś włączyć na nowo zainstalowanym WordPressie. Innym wysoce zalecanym środkiem bezpieczeństwa jest zmiana nazwy folderu wtyczek WordPress .

Dlaczego to ma znaczenie i dlaczego to działa

Według naszych badań przeprowadzonych w Cerber Lab większość narzędzi i ataków hakerskich opiera się na założeniu, że strona internetowa ofiary oparta na WordPressie ma domyślną stronę logowania, a wtyczki znajdują się w domyślnym folderze. Chociaż zaleca się, aby nie używać wartości domyślnych w żadnej witrynie, wielu właścicieli witryn ignoruje te proste zasady, umożliwiając hakerom skuteczny atak. I dlatego hakerzy tak kochają WordPressa i w dowolnym momencie widzimy setki tysięcy zhakowanych stron internetowych.

Skonfiguruj swoją niestandardową stronę logowania

WP Cerber umożliwia łatwą i bezpieczną zmianę domyślnego adresu URL logowania WordPress wp-login.php na dowolny adres URL, którego potrzebujesz. Innymi słowy, możesz skonfigurować swoją unikalną, znaną ci niestandardową stronę logowania (niestandardowy adres URL logowania oznacza w tym kontekście to samo) i ukryć wp-login.php przed złymi aktorami, skanerami i botami. Nie musisz edytować pliku .htaccess ani zmieniać nazwy pliku wp-login.php. Dzięki WP Cerber możesz skonfigurować go za pomocą kilku kliknięć.

  1. Przejdź do strony administratora ustawień głównych wtyczki.
  2. Wprowadź nowy żądany adres URL logowania w polu Niestandardowy adres URL logowania i zapisz ustawienia. Otóż to.
  3. Jeśli używasz wtyczki buforującej, dodaj nowy adres URL logowania do listy stron, które nie mają być buforowane.
  4. Upewnij się, że nowy adres URL logowania działa poprawnie i możesz go użyć do zalogowania się. Zrób to w oknie przeglądarki incognito. Nie wylogowuj się ze swojej witryny, dopóki nie upewnisz się, że nowy adres URL logowania działa prawidłowo .
WordPress login security and custom login page settings

Custom WordPress login page settings

Jak ukryć wp-login.php przed botami i skanerami

Po włączeniu strony logowania klienta warto ukryć domyślną stronę logowania WordPress, aby zapobiec montowaniu na niej ataków siłowych. Aby to osiągnąć, ustaw Przetwarzanie żądań uwierzytelnienia wp-login.php na „Zablokuj dostęp do wp-login.php”. Podczas próby uzyskania dostępu do strony WP Cerber wyświetli standardową stronę „404 Not Found”. Jest tylko jeden minus, o którym powinieneś pomyśleć. Jeśli osoba atakująca jest wystarczająco sprytna, może kontynuować skanowanie witryny w poszukiwaniu Twojej prawdziwej strony logowania.

Jak wyłączyć wp-login.php

Inną bardziej zaawansowaną opcją, którą powinieneś rozważyć, jest wyłączenie wp-login.php bez blokowania dostępu do niego. Jak to działa? Ta unikalna funkcja WP Cerber zatrzymuje wszelkie próby uwierzytelnienia przez wp-login.php. Podczas próby zalogowania WP Cerber naśladuje domyślny błąd nieprawidłowego hasła i przerywa proces uwierzytelniania użytkownika. Nie ma znaczenia, jakie hasło zostanie wprowadzone; nikt nie może się zalogować nawet z poprawnym hasłem. Aby włączyć tę funkcję, ustaw Przetwarzanie żądań uwierzytelnienia wp-login.php na „Odmów uwierzytelnienia przez wp-login.php”.

Należy wziąć pod uwagę pewną wadę: jeśli Ty lub Twój użytkownik zapomnicie, że wp-login.php nie działa już zgodnie z oczekiwaniami, nigdy nie będziecie mogli się zalogować i zostaniecie zablokowani po kilku próbach aby to zrobić.

Ważne rzeczy, które musisz wiedzieć

  • Jeśli używasz wtyczki do buforowania, takiej jak W3 Total Cache lub WP Super Cache , musisz dodać nowy niestandardowy adres URL logowania do listy stron, które nie mają być buforowane.
  • W przypadku instalacji WordPress na wielu serwerach nowy adres URL logowania jest ustawiany dla wszystkich witryn na całym świecie.
  • Nie usuwaj ręcznie ani nie zmieniaj nazwy pliku wp-login.php. Po zaktualizowaniu WordPressa do nowszej wersji, wp-login.php zostanie przywrócony i ponownie będzie dostępny dla intruzów.

Zwiększ bezpieczeństwo dzięki uwierzytelnianiu dwuskładnikowemu

Rozważ włączenie 2FA w celu ochrony kont administratorów. Uwierzytelnianie dwuskładnikowe zapewnia dodatkową warstwę bezpieczeństwa wymagającą drugiego czynnika identyfikacji poza samą nazwą użytkownika i hasłem.

Dowiedz się więcej: Jak włączyć uwierzytelnianie dwuskładnikowe dla WordPress

Rozwiązywanie problemów z funkcją niestandardowego adresu URL logowania

Włączenie niestandardowej strony logowania może spowodować, że niektóre wtyczki przestaną działać. Jeśli używasz wtyczki do dostosowywania strony logowania lub wtyczki do logowania społecznościowego, możliwe, że taka wtyczka już nie działa. Aby rozwiązać ten problem, włącz opcję „Odrocz renderowanie niestandardowej strony logowania”. Przeczytaj więcej o tym ustawieniu .

Jeśli skonfigurowałeś niestandardowy adres URL logowania i po pewnym czasie go zapomniałeś, przede wszystkim sprawdź skrzynkę e-mail administratora witryny, aby otrzymać wiadomość e-mail z powiadomieniem o nowym adresie URL logowania lub jakimkolwiek tygodniowym raportem e-mail. W tych e-mailach możesz zobaczyć swój niestandardowy adres URL logowania. Jeśli nie możesz ich znaleźć, musisz ponownie zainstalować wtyczkę ręcznie, wykonując poniższe czynności.

  1. Usuń folder wtyczki /wp-cerber/ ręcznie za pomocą FTP lub dowolnego menedżera plików w panelu sterowania hostingu.
  2. Zaloguj się do pulpitu nawigacyjnego WordPress jak zwykle, używając domyślnego adresu URL /wp-login.php lub w inny sposób, którego używałeś przed włączeniem niestandardowego adresu URL logowania.
  3. Zainstaluj i aktywuj wtyczkę WP Cerber Security jak zwykle.
  4. Przejdź do strony głównych ustawień wtyczki.
  5. Sprawdź pole Niestandardowy adres URL logowania . Wyświetla Twój niestandardowy adres URL logowania, którego musisz użyć. Pamiętam.

Kolejne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to ChrisW
Cancel Reply