Página de login personalizada para WordPress
Como renomear wp-login.php, criar uma URL de login personalizada e proteger o WordPress contra ataques automatizados de força bruta e de bot.
English version: Custom login page for WordPress
O recurso de página de login personalizada é uma ótima ferramenta para reduzir a superfície de ataque e eliminar registros de spam. É a primeira coisa que você deve habilitar em um WordPress recém-instalado. Outra medida de segurança altamente recomendada é renomear a pasta de plugins do WordPress .
Por que é importante e por que funciona
De acordo com nossos estudos no Cerber Lab , a maioria das ferramentas e ataques de hackers são baseados em suposições de que o site da vítima com tecnologia WordPress tem a página de login padrão e os plug-ins estão localizados na pasta padrão. Embora seja recomendado não usar valores padrão em nenhum site, muitos proprietários de sites ignoram esses princípios simples, permitindo que hackers os ataquem com sucesso. E é por isso que os hackers amam tanto o WordPress e, a qualquer momento, vemos centenas de milhares de sites hackeados.
Configure sua página de login personalizada
WP Cerber permite que você altere com facilidade e segurança o URL de login padrão do WordPress wp-login.php para qualquer URL que você precisar. Em outras palavras, você pode configurar sua página de login personalizada exclusiva e conhecida (um URL de login personalizado significa o mesmo neste contexto) e ocultar wp-login.php de malfeitores, scanners e bots. Você não precisa editar o arquivo .htaccess ou renomear o arquivo wp-login.php. Com WP Cerber você pode configurá-lo em vários cliques.
- Vá para a página de administração das configurações principais do plugin.
- Insira o novo URL de login desejado no campo URL de login personalizado e salve as configurações. É isso.
- Se você usar um plug-in de cache, adicione seu novo URL de login à lista de páginas que não devem ser armazenadas em cache.
- Certifique-se de que seu novo URL de login funcione corretamente e você possa usá-lo para fazer login. Faça isso em uma janela anônima do navegador. Não saia do seu site até ter certeza de que seu novo URL de login funciona bem .
Custom WordPress login page settings
Como ocultar wp-login.php de bots e scanners
Depois de habilitar a página de login do cliente, faz sentido ocultar a página de login padrão do WordPress para evitar ataques de força bruta a ela. Para conseguir isso, defina a configuração Processando solicitações de autenticação wp-login.php como "Bloquear acesso a wp-login.php". Ao tentar acessar a página, WP Cerber renderizará a página padrão “404 Not Found”. Há apenas uma desvantagem em que você deve pensar. Se um invasor for inteligente o suficiente, ele poderá continuar verificando o site, procurando sua página de login real.
Como desabilitar wp-login.php
Outra opção mais avançada que você deve considerar é desabilitar o wp-login.php sem bloquear o acesso a ele. Como funciona? Este recurso exclusivo do WP Cerber interrompe qualquer tentativa de autenticação por meio de wp-login.php. Ao tentar fazer login, WP Cerber imita o erro de senha incorreta padrão e aborta o processo de autenticação do usuário. Não importa qual senha foi inserida; ninguém tem permissão para fazer login, mesmo com a senha correta. Para ativar esse recurso, defina a configuração Processando solicitações de autenticação wp-login.php como "Negar autenticação por meio de wp-login.php".
Um cuidado para lembrar
Se você ou seu usuário esquecerem que wp-login.php está desabilitado e não pode ser usado para fazer login, você ou seu usuário nunca conseguirão fazer login no site e serão bloqueados após várias tentativas de usar wp-login.php.
Se você definiu "Processando solicitações de autenticação wp-login.php" para qualquer valor diferente do padrão, você só poderá usar seu URL de login personalizado. Nem /wp-login.php nem /wp-admin/ podem mais ser usados para fazer login.
Coisas importantes que você precisa saber
- Se você usar um plugin de cache como W3 Total Cache ou WP Super Cache você terá que adicionar o slug do novo URL de login personalizado à lista de páginas que não devem ser armazenadas em cache.
- Para uma instalação multisite do WordPress, o novo URL de login é definido para todos os sites globalmente.
- Não exclua ou renomeie o arquivo wp-login.php manualmente. Depois de atualizar seu WordPress para uma versão mais recente, wp-login.php será restaurado e estará acessível novamente para invasores.
Obtenha mais segurança com a autenticação de dois fatores
Considere ativar o 2FA para proteger as contas dos administradores. A autenticação de dois fatores fornece uma camada adicional de segurança que exige um segundo fator de identificação além de apenas nome de usuário e senha.
Saiba mais: Como habilitar a autenticação de dois fatores para WordPress
Solução de problemas do recurso URL de login personalizado
Ativar a página de login personalizada pode fazer com que alguns plug-ins parem de funcionar. Se você usar um plug-in de personalização de página de login ou um plug-in de login social, é possível que esse plug-in não funcione mais. Para corrigir esse problema, ative "Adiar a renderização da página de login personalizada". Leia mais sobre esta configuração .
Se você configurou seu URL de login personalizado e depois de um tempo esqueceu-o, primeiro verifique a caixa de e-mail do administrador do site para receber um e-mail de notificação sobre seu novo URL de login ou qualquer relatório semanal por e-mail. Nesses e-mails, você pode ver seu URL de login personalizado. Se você não conseguir encontrar esse e-mail, será necessário reinstalar o WP Cerber manualmente seguindo as etapas abaixo.
- Exclua a pasta do plugin /wp-cerber/ manualmente usando FTP ou qualquer gerenciador de arquivos no painel de controle de sua hospedagem.
- Faça login no painel do WordPress normalmente usando o URL padrão /wp-login.php ou outra forma que você usou antes de ativar o URL de login personalizado.
- Instale e ative o plugin WP Cerber Security normalmente.
- Vá para a página de configurações principais do plugin.
- Verifique o campo URL de login personalizado . Ele exibe o URL de login personalizado que você deve usar. Lembre se.
Próximas etapas que fortalecerão a segurança do WordPress
Saiba mais sobre o IP do intruso
WP Cerber Security 2.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.