Security Blog
Posted By Gregory

Página de login personalizada para WordPress

Como renomear wp-login.php, criar um URL de login personalizado e proteger o WordPress contra ataques automatizados de força bruta e bot.


English version: Custom login page for WordPress


O recurso de página de login personalizada é uma ótima ferramenta para reduzir a superfície de ataque e eliminar registros de spam. É a primeira coisa que você deve ativar em um WordPress recém-instalado. Outra medida de segurança altamente recomendada é renomear a pasta de plugins do WordPress .

Por que é importante e por que funciona

De acordo com nossos estudos no Cerber Lab , a maioria das ferramentas e ataques de hackers são baseados em suposições de que um site da vítima desenvolvido com WordPress tem a página de login padrão e os plug-ins estão localizados na pasta padrão. Embora seja recomendado não usar valores padrão em nenhum site, muitos proprietários de sites ignoram esses princípios simples, permitindo que os hackers os ataquem com sucesso. E é por isso que os hackers adoram o WordPress e, a qualquer momento, vemos centenas de milhares de sites invadidos.

Configure sua página de login personalizada

O WP Cerber permite que você altere com facilidade e segurança o URL de login padrão do WordPress wp-login.php para qualquer URL que você precisar. Em outras palavras, você pode configurar sua página de login personalizada única e conhecida por você (uma URL de login personalizada significa o mesmo neste contexto) e ocultar wp-login.php de agentes mal-intencionados, scanners e bots. Você não precisa editar o arquivo .htaccess ou renomear o arquivo wp-login.php. Com o WP Cerber você pode configurá-lo em vários cliques.

  1. Vá para a página de administração das configurações principais do plug-in.
  2. Insira o novo URL de login desejado no campo URL de login personalizado e salve as configurações. É isso.
  3. Se você usar um plug-in de cache, adicione seu novo URL de login à lista de páginas que não devem ser armazenadas em cache.
  4. Certifique-se de que seu novo URL de login funcione corretamente e que você possa usá-lo para fazer login. Faça isso em uma janela anônima do navegador. Não saia do seu site até ter certeza de que sua nova URL de login funciona bem .
WordPress login security and custom login page settings

Custom WordPress login page settings

Como ocultar wp-login.php de bots e scanners

Depois de habilitar a página de login do cliente, faz sentido ocultar a página de login padrão do WordPress para evitar a montagem de ataques de força bruta nela. Para conseguir isso, defina a configuração Processando solicitações de autenticação wp-login.php como "Bloquear acesso a wp-login.php". Ao tentar acessar a página, o WP Cerber renderizará a página padrão "404 Not Found". Há apenas uma desvantagem em que você deve pensar. Se um invasor for inteligente o suficiente, ele pode continuar verificando o site, procurando sua página de login real.

Como desabilitar wp-login.php

Outra opção mais avançada que você deve considerar é desativar o wp-login.php sem bloquear o acesso a ele. Como funciona? Este recurso exclusivo do WP Cerber interrompe qualquer tentativa de autenticação por meio do wp-login.php. Ao tentar fazer login, o WP Cerber imita o erro padrão de senha incorreta e interrompe o processo de autenticação do usuário. Não importa qual senha é digitada; ninguém tem permissão para fazer login, mesmo com a senha correta. Para habilitar esse recurso, defina Processando solicitações de autenticação wp-login.php como "Negar autenticação por meio de wp-login.php".

Há uma desvantagem que você precisa levar em consideração: se você ou seu usuário esquecer que o wp-login.php não funciona mais como esperado, você ou eles nunca poderão fazer login e serão bloqueados após várias tentativas fazer isso.

Coisas importantes que você precisa saber

  • Se você usar um plug-in de cache como W3 Total Cache ou WP Super Cache , precisará adicionar o slug do novo URL de login personalizado à lista de páginas que não devem ser armazenadas em cache.
  • Para uma instalação multisite do WordPress, o novo URL de login é definido para todos os sites globalmente.
  • Não exclua ou renomeie o arquivo wp-login.php manualmente. Depois de atualizar seu WordPress para uma versão mais recente, o wp-login.php será restaurado e ficará acessível para intrusos novamente.

Obtenha mais segurança com autenticação de dois fatores

Considere ativar o 2FA para proteger as contas dos administradores. A autenticação de dois fatores fornece uma camada adicional de segurança, exigindo um segundo fator de identificação além de apenas um nome de usuário e senha.

Saiba mais: Como ativar a autenticação de dois fatores para WordPress

Solução de problemas do recurso de URL de login personalizado

Habilitar a página de login personalizada pode fazer com que alguns plugins parem de funcionar. Se você usar um plug-in de personalização de página de login ou um plug-in de login social, é possível que esse plug-in não funcione mais. Para corrigir esse problema, ative "Adiar a renderização da página de login personalizada". Leia mais sobre esta configuração .

Se você configurou seu URL de login personalizado e depois de um tempo o esqueceu, primeiro verifique a caixa de e-mail do administrador do site para obter um e-mail de notificação sobre seu novo URL de login ou qualquer relatório semanal por e-mail. Nesses e-mails, você pode ver sua URL de login personalizada. Se você não conseguir encontrá-los, será necessário reinstalar o plug-in manualmente seguindo as etapas abaixo.

  1. Exclua a pasta do plug-in /wp-cerber/ manualmente usando FTP ou qualquer gerenciador de arquivos em seu painel de controle de hospedagem.
  2. Faça login no painel do WordPress como de costume usando o URL /wp-login.php padrão ou outra maneira que você costumava usar antes de ativar o URL de login personalizado.
  3. Instale e ative o plug-in WP Cerber Security como de costume.
  4. Vá para a página de configurações principais do plug-in.
  5. Verifique o campo URL de login personalizado . Ele exibe sua URL de login personalizada que você deve usar. Lembre se.

Próximas etapas que fortalecerão a segurança do seu WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to ChrisW
Cancel Reply