Página de login personalizada para WordPress
Como renomear o arquivo wp-login.php, criar uma URL de login personalizada e proteger o WordPress contra ataques automatizados de força bruta e bots.
English version: Custom login page for WordPress
O recurso de página de login personalizada é uma ótima ferramenta para reduzir a superfície de ataque e eliminar cadastros de spam. É a primeira coisa que você deve habilitar em uma instalação nova do WordPress. Outra medida de segurança altamente recomendada é renomear a pasta de plugins do WordPress .
Por que isso importa e por que funciona
De acordo com nossos estudos no Cerber Lab , a maioria das ferramentas e ataques de hackers se baseia na premissa de que um site WordPress vítima possui a página de login padrão e que os plugins estão localizados na pasta padrão. Embora seja recomendável não usar valores padrão em nenhum site, muitos proprietários ignoram esses princípios básicos, permitindo que hackers os ataquem com sucesso. É por isso que os hackers adoram o WordPress e, a qualquer momento, vemos centenas de milhares de sites invadidos.
Configure sua página de login personalizada.
O WP Cerber permite que você altere de forma fácil e segura a URL de login padrão do WordPress , wp-login.php, para qualquer URL que você precisar. Em outras palavras, você pode configurar uma página de login personalizada e exclusiva (uma URL de login personalizada tem o mesmo significado neste contexto) e ocultar wp-login.php de invasores, scanners e bots. Você não precisa editar o arquivo .htaccess nem renomear o arquivo wp-login.php. Com o WP Cerber, você pode configurá-lo em poucos cliques.
- Acesse a página de administração das Configurações Principais do plugin.
- Insira o novo URL de login desejado no campo "URL de login personalizado" e salve as configurações. Pronto.
- Se você utiliza um plugin de cache, adicione o seu novo URL de login à lista de páginas que não devem ser armazenadas em cache.
- Certifique-se de que seu novo URL de login funciona corretamente e que você consegue usá-lo para fazer login. Faça isso em uma janela anônima do navegador. Não saia do site até ter certeza de que seu novo URL de login está funcionando corretamente .
Custom WordPress login page settings
Como ocultar o arquivo wp-login.php de bots e scanners
Depois de ativar a página de login do cliente, é recomendável ocultar a página de login padrão do WordPress para evitar ataques de força bruta. Para isso, defina a configuração " Processando solicitações de autenticação wp-login.php " como "Bloquear acesso a wp-login.php". Ao tentar acessar a página, o WP Cerber exibirá a página padrão "404 Não encontrado". Há apenas uma desvantagem a considerar: se um invasor for inteligente o suficiente, ele poderá continuar a varredura do site, procurando pela sua página de login real.
Como desativar wp-login.php
Outra opção mais avançada que você pode considerar é desativar o wp-login.php sem bloquear o acesso a ele. Como funciona? Esse recurso exclusivo do WP Cerber impede qualquer tentativa de autenticação por meio do wp-login.php. Ao tentar fazer login, o WP Cerber simula o erro padrão de senha incorreta e interrompe o processo de autenticação do usuário. Não importa qual senha seja digitada; ninguém poderá fazer login, mesmo com a senha correta. Para ativar esse recurso, defina a configuração " Processando solicitações de autenticação do wp-login.php " como "Negar autenticação por meio do wp-login.php".
Uma precaução a lembrar
Se você ou seu usuário se esquecerem de que o wp-login.php está desativado e não pode ser usado para fazer login, vocês nunca conseguirão acessar o site e ficarão bloqueados após várias tentativas de usar o wp-login.php.
Se você configurou "Processando solicitações de autenticação wp-login.php" para um valor diferente do padrão, você só poderá usar sua URL de login personalizada. Nem /wp-login.php nem /wp-admin/ poderão mais ser usados para fazer login.
Coisas importantes que você precisa saber
- Se você utiliza um plugin de cache como o W3 Total Cache ou o WP Super Cache, você precisa adicionar o slug da nova URL de login personalizada à lista de páginas que não devem ser armazenadas em cache.
- Em uma instalação WordPress multisite, o novo URL de login é definido para todos os sites globalmente.
- Não exclua nem renomeie o arquivo wp-login.php manualmente. Após atualizar o WordPress para uma versão mais recente, o arquivo wp-login.php será restaurado e ficará acessível novamente para invasores.
Aumente a segurança com a autenticação de dois fatores.
Considere habilitar a autenticação de dois fatores (2FA) para proteger as contas dos administradores. A autenticação de dois fatores oferece uma camada adicional de segurança, exigindo um segundo fator de identificação além do nome de usuário e da senha.
Saiba mais: Como ativar a autenticação de dois fatores no WordPress
Solução de problemas da funcionalidade de URL de login personalizada
Habilitar a página de login personalizada pode fazer com que alguns plugins parem de funcionar. Se você usa um plugin de personalização da página de login ou um plugin de login social, é possível que ele pare de funcionar. Para corrigir esse problema, habilite a opção "Adiar a renderização da página de login personalizada". Saiba mais sobre essa configuração .
Se você configurou seu URL de login personalizado e depois de um tempo o esqueceu, verifique primeiro a caixa de entrada do administrador do site em busca de uma notificação sobre seu novo URL de login ou algum relatório semanal por e-mail. Nesses e-mails, você encontrará seu URL de login personalizado. Caso não encontre esse e-mail, será necessário reinstalar o WP Cerber manualmente, seguindo os passos abaixo.
- Exclua manualmente a pasta do plugin /wp-cerber/ usando FTP ou qualquer gerenciador de arquivos no painel de controle da sua hospedagem.
- Faça login no painel do WordPress normalmente, usando o URL padrão /wp-login.php ou outro método que você utilizava antes de ativar o URL de login personalizado.
- Instale e ative o plugin WP Cerber Security como de costume.
- Acesse a página de Configurações Principais do plugin.
- Verifique o campo "URL de login personalizada" . Ele exibe a URL de login personalizada que você deve usar. Lembre-se dela.
Próximos passos para fortalecer a segurança do seu WordPress
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.