Security Blog

Niestandardowa strona logowania do WordPress

Jak zmienić nazwę wp-login.php, utworzyć niestandardowy adres URL logowania i chronić WordPress przed automatycznymi atakami brute-force i botami.


English version: Custom login page for WordPress


Funkcja niestandardowej strony logowania jest doskonałym narzędziem do zmniejszania powierzchni ataku i eliminowania rejestracji spamowych. To pierwsza rzecz, którą powinieneś włączyć na nowo zainstalowanym WordPressie. Kolejnym wysoce zalecanym środkiem bezpieczeństwa jest zmiana nazwy folderu wtyczek WordPress .

Dlaczego to ma znaczenie i dlaczego to działa

Według naszych badań przeprowadzonych w Cerber Lab większość narzędzi i ataków hakerskich opiera się na założeniu, że ofiara witryny opartej na WordPressie ma domyślną stronę logowania, a wtyczki znajdują się w domyślnym folderze. Chociaż nie zaleca się używania wartości domyślnych w żadnej witrynie, wielu właścicieli witryn ignoruje te proste zasady, umożliwiając hakerom skuteczny atak. I dlatego hakerzy tak kochają WordPressa i w dowolnym momencie widzimy setki tysięcy zhakowanych stron internetowych.

Skonfiguruj niestandardową stronę logowania

WP Cerber umożliwia łatwą i bezpieczną zmianę domyślnego adresu URL logowania WordPress wp-login.php na dowolny potrzebny adres URL. Innymi słowy, możesz skonfigurować swoją unikalną, znaną Ci niestandardową stronę logowania (niestandardowy adres URL logowania oznacza to samo w tym kontekście) i ukryć plik wp-login.php przed złymi aktorami, skanerami i botami. Nie musisz edytować pliku .htaccess ani zmieniać nazwy pliku wp-login.php. Dzięki WP Cerber możesz skonfigurować go kilkoma kliknięciami.

  1. Przejdź do strony administratora ustawień głównych wtyczki.
  2. Wprowadź nowy żądany adres URL logowania w polu Niestandardowy adres URL logowania i zapisz ustawienia. Otóż to.
  3. Jeśli korzystasz z wtyczki buforującej, dodaj nowy adres URL logowania do listy stron, które nie mają być buforowane.
  4. Upewnij się, że Twój nowy adres URL logowania działa poprawnie i możesz się nim zalogować. Zrób to w oknie przeglądarki incognito. Nie wylogowuj się ze swojej witryny, dopóki nie upewnisz się, że nowy adres URL logowania działa prawidłowo .
WordPress login security and custom login page settings

Custom WordPress login page settings

Jak ukryć wp-login.php przed botami i skanerami

Po włączeniu strony logowania klienta warto ukryć domyślną stronę logowania WordPress, aby zapobiec atakom typu brute-force. Aby to osiągnąć, ustaw opcję Przetwarzanie żądań uwierzytelnienia wp-login.php na „Blokuj dostęp do wp-login.php”. Podczas próby uzyskania dostępu do strony WP Cerber wyświetli standardową stronę „404 Nie znaleziono”. Jest tylko jeden minus, o którym warto pomyśleć. Jeśli atakujący jest wystarczająco sprytny, może kontynuować skanowanie witryny w poszukiwaniu Twojej prawdziwej strony logowania.

Jak wyłączyć wp-login.php

Inną bardziej zaawansowaną opcją, którą powinieneś rozważyć, jest wyłączenie wp-login.php bez blokowania dostępu do niego. Jak to działa? Ta unikalna funkcja WP Cerber powstrzymuje wszelkie próby uwierzytelnienia za pośrednictwem wp-login.php. Podczas próby logowania WP Cerber naśladuje domyślny błąd nieprawidłowego hasła i przerywa proces uwierzytelniania użytkownika. Nie ma znaczenia, jakie hasło zostanie wprowadzone; nikt nie może się zalogować nawet przy użyciu prawidłowego hasła. Aby włączyć tę funkcję, ustaw opcję Przetwarzanie żądań uwierzytelnienia wp-login.php na „Odmów uwierzytelnienia przez wp-login.php”.

Przestroga, którą warto zapamiętać

Jeśli Ty lub Twój użytkownik zapomnicie, że wp-login.php jest wyłączony i nie można go używać do logowania, Ty lub Twój użytkownik nigdy nie będziecie mogli zalogować się do witryny i zostaniecie zablokowani po kilku próbach użycia wp-login.php.

Jeśli ustawiłeś opcję „Przetwarzanie żądań uwierzytelnienia wp-login.php” na inną wartość niż domyślna, możesz używać tylko niestandardowego adresu URL logowania. Ani /wp-login.php, ani /wp-admin/ nie mogą być już używane do logowania.

Ważne rzeczy, które musisz wiedzieć

  • Jeśli używasz wtyczki buforującej, takiej jak W3 Total Cache lub WP Super Cache, musisz dodać fragment nowego niestandardowego adresu URL logowania do listy stron, które nie mają być buforowane.
  • W przypadku instalacji WordPress na wielu serwerach nowy adres URL logowania jest ustawiany dla wszystkich witryn na całym świecie.
  • Nie usuwaj ani nie zmieniaj ręcznie nazwy pliku wp-login.php. Po zaktualizowaniu WordPressa do nowszej wersji, wp-login.php zostanie przywrócony i ponownie dostępny dla intruzów.

Zwiększ bezpieczeństwo dzięki uwierzytelnianiu dwuskładnikowemu

Rozważ włączenie 2FA w celu ochrony kont administratorów. Uwierzytelnianie dwuskładnikowe zapewnia dodatkową warstwę bezpieczeństwa wymagającą drugiego czynnika identyfikacji, innego niż tylko nazwa użytkownika i hasło.

Dowiedz się więcej: Jak włączyć uwierzytelnianie dwuskładnikowe w WordPress

Rozwiązywanie problemów z funkcją niestandardowego adresu URL logowania

Włączenie niestandardowej strony logowania może spowodować, że niektóre wtyczki przestaną działać. Jeśli korzystasz z wtyczki do dostosowywania strony logowania lub wtyczki do logowania w mediach społecznościowych, możliwe, że taka wtyczka już nie działa. Aby rozwiązać ten problem, włącz opcję „Odłóż renderowanie niestandardowej strony logowania”. Przeczytaj więcej o tym ustawieniu .

Jeśli ustawiłeś niestandardowy adres URL logowania i po pewnym czasie go zapomniałeś, przede wszystkim sprawdź skrzynkę e-mail administratora witryny, aby otrzymać wiadomość e-mail z powiadomieniem o nowym adresie URL logowania lub jakikolwiek tygodniowy raport e-mailowy. W tych e-mailach możesz zobaczyć swój niestandardowy adres URL logowania. Jeśli nie możesz znaleźć takiego e-maila, musisz ręcznie ponownie zainstalować WP Cerber, wykonując poniższe czynności.

  1. Usuń ręcznie folder wtyczki /wp-cerber/ za pomocą FTP lub dowolnego menedżera plików w panelu sterowania hostingu.
  2. Zaloguj się do panelu WordPress w zwykły sposób, używając domyślnego adresu URL /wp-login.php lub w inny sposób, którego używałeś przed włączeniem niestandardowego adresu URL logowania.
  3. Zainstaluj i aktywuj wtyczkę WP Cerber Security jak zwykle.
  4. Przejdź do strony Ustawienia główne wtyczki.
  5. Sprawdź pole Niestandardowy adres URL logowania . Wyświetla Twój niestandardowy adres URL logowania, którego musisz użyć. Pamiętam.

Kolejne kroki, które wzmocnią bezpieczeństwo Twojego WordPressa


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments