Niestandardowa strona logowania dla WordPressa
Jak zmienić nazwę pliku wp-login.php, utworzyć niestandardowy adres URL logowania i zabezpieczyć WordPressa przed zautomatyzowanymi atakami siłowymi i botami.
English version: Custom login page for WordPress
Funkcja niestandardowej strony logowania to doskonałe narzędzie do ograniczania powierzchni ataku i eliminowania rejestracji spamowych. To pierwsza rzecz, którą należy włączyć po zainstalowaniu WordPressa. Innym wysoce zalecanym środkiem bezpieczeństwa jest zmiana nazwy folderu wtyczek WordPressa .
Dlaczego to ważne i dlaczego to działa
Według naszych badań w Cerber Lab , większość narzędzi i ataków hakerskich opiera się na założeniu, że strona internetowa ofiary oparta na WordPressie ma domyślną stronę logowania, a wtyczki znajdują się w folderze domyślnym. Chociaż zaleca się nieużywanie wartości domyślnych na żadnej stronie internetowej, wielu właścicieli stron ignoruje te proste zasady, co pozwala hakerom na skuteczne ataki. Właśnie dlatego hakerzy tak uwielbiają WordPressa i w dowolnym momencie jesteśmy świadkami setek tysięcy zhakowanych stron internetowych.
Skonfiguruj swoją niestandardową stronę logowania
WP Cerber umożliwia łatwą i bezpieczną zmianę domyślnego adresu URL logowania WordPress wp-login.php na dowolny inny adres URL. Innymi słowy, możesz skonfigurować swoją unikalną, znaną Ci stronę logowania (niestandardowy adres URL logowania oznacza to samo w tym kontekście) i ukryć plik wp-login.php przed atakami, skanerami i botami. Nie musisz edytować pliku .htaccess ani zmieniać nazwy pliku wp-login.php. Z WP Cerber możesz to skonfigurować kilkoma kliknięciami.
- Przejdź do strony administracyjnej głównych ustawień wtyczki.
- Wpisz nowy, wybrany adres URL logowania w polu „Niestandardowy adres URL logowania” i zapisz ustawienia. To wszystko.
- Jeśli używasz wtyczki buforującej, dodaj nowy adres URL logowania do listy stron, których nie chcesz buforować.
- Upewnij się, że nowy adres URL logowania działa poprawnie i możesz się za jego pomocą zalogować. Zrób to w oknie przeglądarki w trybie incognito. Nie wylogowuj się ze swojej witryny, dopóki nie upewnisz się, że nowy adres URL logowania działa prawidłowo .
Custom WordPress login page settings
Jak ukryć plik wp-login.php przed botami i skanerami
Po włączeniu strony logowania klienta, warto ukryć domyślną stronę logowania WordPress, aby zapobiec licznym atakom brute force. Aby to osiągnąć, ustaw opcję „ Przetwarzanie żądań uwierzytelniania wp-login.php ” na „Zablokuj dostęp do wp-login.php”. Podczas próby dostępu do strony, WP Cerber wyświetli standardową stronę „404 Not Found”. Jest tylko jedna wada, o której warto pamiętać. Jeśli atakujący jest wystarczająco sprytny, może kontynuować skanowanie witryny w poszukiwaniu prawdziwej strony logowania.
Jak wyłączyć wp-login.php
Inną, bardziej zaawansowaną opcją, którą warto rozważyć, jest wyłączenie pliku wp-login.php bez blokowania do niego dostępu. Jak to działa? Ta unikalna funkcja WP Cerber blokuje wszelkie próby uwierzytelnienia za pomocą pliku wp-login.php. Podczas próby logowania WP Cerber imituje domyślny błąd nieprawidłowego hasła i przerywa proces uwierzytelniania użytkownika. Nie ma znaczenia, jakie hasło zostanie wprowadzone; nikt nie będzie mógł się zalogować, nawet jeśli poda prawidłowe hasło. Aby włączyć tę funkcję, ustaw opcję „ Przetwarzanie żądań uwierzytelniania wp-login.php ” na „Odmów uwierzytelniania za pomocą pliku wp-login.php”.
Ostrzeżenie, o którym należy pamiętać
Jeśli Ty lub Twój użytkownik zapomnicie, że wp-login.php jest wyłączony i nie można go używać do logowania, Ty lub Twój użytkownik nigdy nie będziecie mogli zalogować się do witryny i zostaniecie zablokowani po kilku próbach użycia wp-login.php.
Jeśli ustawiłeś parametr „Przetwarzanie żądań uwierzytelniania wp-login.php” na wartość inną niż domyślna, możesz używać tylko własnego adresu URL logowania. Ani /wp-login.php, ani /wp-admin/ nie mogą być już używane do logowania.
Ważne rzeczy, które musisz wiedzieć
- Jeśli używasz wtyczki buforującej, np. W3 Total Cache lub WP Super Cache, musisz dodać adres URL nowego, niestandardowego adresu URL logowania do listy stron, których nie chcesz buforować.
- W przypadku instalacji WordPress Multisite nowy adres URL logowania jest ustawiany globalnie dla wszystkich witryn.
- Nie usuwaj pliku wp-login.php ani nie zmieniaj jego nazwy ręcznie. Po aktualizacji WordPressa do nowszej wersji, plik wp-login.php zostanie przywrócony i ponownie będzie dostępny dla intruzów.
Zwiększ bezpieczeństwo dzięki uwierzytelnianiu dwuskładnikowemu
Rozważ włączenie uwierzytelniania dwuskładnikowego (2FA), aby chronić konta administratorów. Uwierzytelnianie dwuskładnikowe zapewnia dodatkową warstwę bezpieczeństwa, wymagającą drugiego czynnika identyfikacji, wykraczającego poza samą nazwę użytkownika i hasło.
Dowiedz się więcej: Jak włączyć uwierzytelnianie dwuskładnikowe w WordPressie
Rozwiązywanie problemów z funkcją niestandardowego adresu URL logowania
Włączenie niestandardowej strony logowania może spowodować, że niektóre wtyczki przestaną działać. Jeśli używasz wtyczki do dostosowywania strony logowania lub wtyczki do logowania społecznościowego, istnieje prawdopodobieństwo, że taka wtyczka przestanie działać. Aby rozwiązać ten problem, włącz opcję „Opóźnij renderowanie niestandardowej strony logowania”. Dowiedz się więcej o tym ustawieniu .
Jeśli skonfigurowałeś/aś swój niestandardowy adres URL logowania i po pewnym czasie go zapomniałeś/aś, najpierw sprawdź skrzynkę e-mail administratora witryny, aby uzyskać powiadomienie o nowym adresie URL logowania lub cotygodniowy raport. W tych wiadomościach e-mail znajdziesz swój niestandardowy adres URL logowania. Jeśli nie możesz go znaleźć, musisz ręcznie ponownie zainstalować WP Cerber, wykonując poniższe kroki.
- Usuń folder wtyczki /wp-cerber/ ręcznie, korzystając z protokołu FTP lub dowolnego Menedżera plików w panelu sterowania hostingiem.
- Zaloguj się do pulpitu WordPress jak zwykle, używając domyślnego adresu URL /wp-login.php lub innej metody używanej przed włączeniem niestandardowego adresu URL logowania.
- Zainstaluj i aktywuj wtyczkę WP Cerber Security jak zwykle.
- Przejdź do strony głównych ustawień wtyczki.
- Zaznacz pole „Niestandardowy adres URL logowania” . Wyświetla ono Twój niestandardowy adres URL logowania, którego musisz użyć. Zapamiętaj go.
Następne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.