Página de login personalizada para WordPress
Como renomear wp-login.php, criar um URL de login personalizado e proteger o WordPress contra ataques automatizados de força bruta e bot.
English version: Custom login page for WordPress
O recurso de página de login personalizada é uma ótima ferramenta para reduzir a superfície de ataque e eliminar registros de spam. É a primeira coisa que você deve ativar em um WordPress recém-instalado. Outra medida de segurança altamente recomendada é renomear a pasta de plugins do WordPress .
Por que é importante e por que funciona
De acordo com nossos estudos no Cerber Lab , a maioria das ferramentas e ataques de hackers são baseados em suposições de que um site da vítima desenvolvido com WordPress tem a página de login padrão e os plug-ins estão localizados na pasta padrão. Embora seja recomendado não usar valores padrão em nenhum site, muitos proprietários de sites ignoram esses princípios simples, permitindo que os hackers os ataquem com sucesso. E é por isso que os hackers adoram o WordPress e, a qualquer momento, vemos centenas de milhares de sites invadidos.
Configure sua página de login personalizada
O WP Cerber permite que você altere com facilidade e segurança o URL de login padrão do WordPress wp-login.php para qualquer URL que você precisar. Em outras palavras, você pode configurar sua página de login personalizada única e conhecida por você (uma URL de login personalizada significa o mesmo neste contexto) e ocultar wp-login.php de agentes mal-intencionados, scanners e bots. Você não precisa editar o arquivo .htaccess ou renomear o arquivo wp-login.php. Com o WP Cerber você pode configurá-lo em vários cliques.
- Vá para a página de administração das configurações principais do plug-in.
- Insira o novo URL de login desejado no campo URL de login personalizado e salve as configurações. É isso.
- Se você usar um plug-in de cache, adicione seu novo URL de login à lista de páginas que não devem ser armazenadas em cache.
- Certifique-se de que seu novo URL de login funcione corretamente e que você possa usá-lo para fazer login. Faça isso em uma janela anônima do navegador. Não saia do seu site até ter certeza de que sua nova URL de login funciona bem .
Custom WordPress login page settings
Como ocultar wp-login.php de bots e scanners
Depois de habilitar a página de login do cliente, faz sentido ocultar a página de login padrão do WordPress para evitar a montagem de ataques de força bruta nela. Para conseguir isso, defina a configuração Processando solicitações de autenticação wp-login.php como "Bloquear acesso a wp-login.php". Ao tentar acessar a página, o WP Cerber renderizará a página padrão "404 Not Found". Há apenas uma desvantagem em que você deve pensar. Se um invasor for inteligente o suficiente, ele pode continuar verificando o site, procurando sua página de login real.
Como desabilitar wp-login.php
Outra opção mais avançada que você deve considerar é desativar o wp-login.php sem bloquear o acesso a ele. Como funciona? Este recurso exclusivo do WP Cerber interrompe qualquer tentativa de autenticação por meio do wp-login.php. Ao tentar fazer login, o WP Cerber imita o erro padrão de senha incorreta e interrompe o processo de autenticação do usuário. Não importa qual senha é digitada; ninguém tem permissão para fazer login, mesmo com a senha correta. Para habilitar esse recurso, defina Processando solicitações de autenticação wp-login.php como "Negar autenticação por meio de wp-login.php".
Um cuidado para lembrar
Se você ou seu usuário esquecer que wp-login.php está desabilitado e não pode ser usado para fazer login, você ou seu usuário nunca será capaz de fazer login no site e será bloqueado após várias tentativas de usar wp-login.php.
Se você definiu "Processando solicitações de autenticação wp-login.php" para qualquer valor diferente do padrão, você só pode usar seu URL de login personalizado. Nem /wp-login.php nem /wp-admin/ podem ser usados para fazer login.
Coisas importantes que você precisa saber
- Se você usar um plug-in de cache como W3 Total Cache ou WP Super Cache, precisará adicionar o slug do novo URL de login personalizado à lista de páginas que não devem ser armazenadas em cache.
- Para uma instalação multisite do WordPress, o novo URL de login é definido para todos os sites globalmente.
- Não exclua ou renomeie o arquivo wp-login.php manualmente. Depois de atualizar seu WordPress para uma versão mais recente, o wp-login.php será restaurado e ficará acessível para intrusos novamente.
Obtenha mais segurança com autenticação de dois fatores
Considere ativar o 2FA para proteger as contas dos administradores. A autenticação de dois fatores fornece uma camada adicional de segurança, exigindo um segundo fator de identificação além de apenas um nome de usuário e senha.
Saiba mais: Como ativar a autenticação de dois fatores para WordPress
Solução de problemas do recurso de URL de login personalizado
Habilitar a página de login personalizada pode fazer com que alguns plugins parem de funcionar. Se você usar um plug-in de personalização de página de login ou um plug-in de login social, é possível que esse plug-in não funcione mais. Para corrigir esse problema, ative "Adiar a renderização da página de login personalizada". Leia mais sobre esta configuração .
Se você configurou seu URL de login personalizado e depois de um tempo o esqueceu, primeiro verifique a caixa de e-mail do administrador do site para obter um e-mail de notificação sobre seu novo URL de login ou qualquer relatório semanal por e-mail. Nesses e-mails, você pode ver sua URL de login personalizada. Se você não conseguir encontrar esse e-mail, precisará reinstalar o WP Cerber manualmente seguindo as etapas abaixo.
- Exclua a pasta do plug-in /wp-cerber/ manualmente usando FTP ou qualquer gerenciador de arquivos em seu painel de controle de hospedagem.
- Faça login no painel do WordPress como de costume usando o URL /wp-login.php padrão ou outra maneira que você costumava usar antes de ativar o URL de login personalizado.
- Instale e ative o plug-in WP Cerber Security como de costume.
- Vá para a página de configurações principais do plug-in.
- Verifique o campo URL de login personalizado . Ele exibe sua URL de login personalizada que você deve usar. Lembre se.
Próximas etapas que fortalecerão a segurança do seu WordPress
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.