Página de login personalizada para WordPress
Como renomear wp-login.php, criar uma URL de login personalizada e proteger o WordPress de ataques automatizados de força bruta e bots.
English version: Custom login page for WordPress
O recurso de página de login personalizada é uma ótima ferramenta para reduzir a superfície de ataque e eliminar registros de spam. É a primeira coisa que você deve habilitar em um WordPress recém-instalado. Outra medida de segurança altamente recomendada é renomear a pasta de plugins do WordPress .
Por que é importante e por que funciona
De acordo com nossos estudos no Cerber Lab , a maioria das ferramentas e ataques de hackers são baseados em suposições de que um site com WordPress da vítima tem a página de login padrão e os plugins estão localizados na pasta padrão. Embora seja recomendado não usar valores padrão em nenhum site, muitos proprietários de sites ignoram esses princípios simples, permitindo que hackers os ataquem com sucesso. E é por isso que os hackers amam tanto o WordPress e, a qualquer momento, vemos centenas de milhares de sites hackeados.
Configure sua página de login personalizada
O WP Cerber permite que você altere com facilidade e segurança a URL de login padrão do WordPress wp-login.php para qualquer URL que você precisar. Em outras palavras, você pode configurar sua página de login personalizada exclusiva e conhecida por você (uma URL de login personalizada significa o mesmo neste contexto) e ocultar wp-login.php de atores mal-intencionados, scanners e bots. Você não precisa editar o arquivo .htaccess ou renomear o arquivo wp-login.php. Com o WP Cerber, você pode configurá-lo em vários cliques.
- Vá para a página de administração das configurações principais do plugin.
- Insira sua nova URL de login desejada no campo Custom login URL e salve as configurações. É isso.
- Se você usar um plugin de cache, adicione seu novo URL de login à lista de páginas que não devem ser armazenadas em cache.
- Certifique-se de que sua nova URL de login funcione corretamente e que você possa usá-la para fazer login. Faça isso em uma janela anônima do navegador. Não saia do seu site até ter certeza de que sua nova URL de login funcione bem .
Custom WordPress login page settings
Como ocultar wp-login.php de bots e scanners
Depois de habilitar a página de login do cliente, faz sentido ocultar a página de login padrão do WordPress para evitar ataques de força bruta. Para fazer isso, defina a configuração Processing wp-login.php authentication requests como "Block access to wp-login.php". Ao tentar acessar a página, o WP Cerber renderizará a página padrão "404 Not Found". Há apenas uma desvantagem que você deve pensar. Se um invasor for inteligente o suficiente, ele pode continuar escaneando o site, procurando por sua página de login real.
Como desabilitar wp-login.php
Outra opção mais avançada que você deve considerar é desabilitar o wp-login.php sem bloquear o acesso a ele. Como funciona? Este recurso exclusivo do WP Cerber interrompe qualquer tentativa de autenticação por meio do wp-login.php. Ao tentar fazer login, o WP Cerber imita o erro de senha incorreta padrão e aborta o processo de autenticação do usuário. Não importa qual senha é inserida; ninguém tem permissão para fazer login, mesmo com a senha correta. Para habilitar este recurso, defina a configuração Processing wp-login.php authentication requests como "Deny authentication through wp-login.php".
Um cuidado a lembrar
Se você ou seu usuário esquecer que wp-login.php está desabilitado e não pode ser usado para efetuar login, você ou seu usuário nunca conseguirão efetuar login no site e serão bloqueados após várias tentativas de usar wp-login.php.
Se você tiver definido "Processando solicitações de autenticação wp-login.php" para qualquer valor diferente do padrão, você só poderá usar sua URL de login personalizada. Nem /wp-login.php nem /wp-admin/ podem ser usados para fazer login mais.
Coisas importantes que você precisa saber
- Se você usar um plugin de cache como W3 Total Cache ou WP Super Cache, você terá que adicionar o slug do novo URL de login personalizado à lista de páginas que não serão armazenadas em cache.
- Para uma instalação multisite do WordPress, a nova URL de login é definida para todos os sites globalmente.
- Não exclua ou renomeie o arquivo wp-login.php manualmente. Após atualizar seu WordPress para uma versão mais nova, o wp-login.php será restaurado e estará acessível para intrusos novamente.
Obtenha mais segurança com a autenticação de dois fatores
Considere habilitar 2FA para proteger as contas dos administradores. A autenticação de dois fatores fornece uma camada adicional de segurança, exigindo um segundo fator de identificação além de apenas um nome de usuário e senha.
Saiba mais: Como habilitar a autenticação de dois fatores para WordPress
Solução de problemas do recurso URL de login personalizado
Habilitar a página de login personalizada pode fazer com que alguns plugins parem de funcionar. Se você usa um plugin de personalização de página de login ou um plugin de login social, é possível que tal plugin não funcione mais. Para corrigir esse problema, habilite "Adiar renderização da página de login personalizada". Leia mais sobre essa configuração .
Se você configurou sua URL de login personalizada e depois de um tempo esqueceu, primeiro, verifique a caixa de e-mail do administrador do site para um e-mail de notificação sobre sua nova URL de login ou qualquer relatório semanal por e-mail. Nesses e-mails, você pode ver sua URL de login personalizada. Se você não conseguir encontrar esse e-mail, precisará reinstalar o WP Cerber manualmente seguindo os passos abaixo.
- Exclua a pasta do plugin /wp-cerber/ manualmente usando FTP ou qualquer gerenciador de arquivos no seu painel de controle de hospedagem.
- Efetue login no seu painel do WordPress normalmente usando a URL padrão /wp-login.php ou outra forma que você costumava usar antes de habilitar a URL de login personalizada.
- Instale e ative o plugin WP Cerber Security como de costume.
- Vá para a página de configurações principais do plugin.
- Verifique o campo Custom login URL . Ele exibe seu Custom login URL que você tem que usar. Lembre-se dele.
Próximos passos que fortalecerão a segurança do seu WordPress
Limitar tentativas de login sem um plugin?
WP Cerber Security 2.7.2
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.