Security Blog

Página de login personalizada para WordPress

Como renomear wp-login.php, criar uma URL de login personalizada e proteger o WordPress contra ataques automatizados de força bruta e de bot.


English version: Custom login page for WordPress


O recurso de página de login personalizada é uma ótima ferramenta para reduzir a superfície de ataque e eliminar registros de spam. É a primeira coisa que você deve habilitar em um WordPress recém-instalado. Outra medida de segurança altamente recomendada é renomear a pasta de plugins do WordPress .

Por que é importante e por que funciona

De acordo com nossos estudos no Cerber Lab , a maioria das ferramentas e ataques de hackers são baseados em suposições de que o site da vítima com tecnologia WordPress tem a página de login padrão e os plug-ins estão localizados na pasta padrão. Embora seja recomendado não usar valores padrão em nenhum site, muitos proprietários de sites ignoram esses princípios simples, permitindo que hackers os ataquem com sucesso. E é por isso que os hackers amam tanto o WordPress e, a qualquer momento, vemos centenas de milhares de sites hackeados.

Configure sua página de login personalizada

WP Cerber permite que você altere com facilidade e segurança o URL de login padrão do WordPress wp-login.php para qualquer URL que você precisar. Em outras palavras, você pode configurar sua página de login personalizada exclusiva e conhecida (um URL de login personalizado significa o mesmo neste contexto) e ocultar wp-login.php de malfeitores, scanners e bots. Você não precisa editar o arquivo .htaccess ou renomear o arquivo wp-login.php. Com WP Cerber você pode configurá-lo em vários cliques.

  1. Vá para a página de administração das configurações principais do plugin.
  2. Insira o novo URL de login desejado no campo URL de login personalizado e salve as configurações. É isso.
  3. Se você usar um plug-in de cache, adicione seu novo URL de login à lista de páginas que não devem ser armazenadas em cache.
  4. Certifique-se de que seu novo URL de login funcione corretamente e você possa usá-lo para fazer login. Faça isso em uma janela anônima do navegador. Não saia do seu site até ter certeza de que seu novo URL de login funciona bem .
WordPress login security and custom login page settings

Custom WordPress login page settings

Como ocultar wp-login.php de bots e scanners

Depois de habilitar a página de login do cliente, faz sentido ocultar a página de login padrão do WordPress para evitar ataques de força bruta a ela. Para conseguir isso, defina a configuração Processando solicitações de autenticação wp-login.php como "Bloquear acesso a wp-login.php". Ao tentar acessar a página, WP Cerber renderizará a página padrão “404 Not Found”. Há apenas uma desvantagem em que você deve pensar. Se um invasor for inteligente o suficiente, ele poderá continuar verificando o site, procurando sua página de login real.

Como desabilitar wp-login.php

Outra opção mais avançada que você deve considerar é desabilitar o wp-login.php sem bloquear o acesso a ele. Como funciona? Este recurso exclusivo do WP Cerber interrompe qualquer tentativa de autenticação por meio de wp-login.php. Ao tentar fazer login, WP Cerber imita o erro de senha incorreta padrão e aborta o processo de autenticação do usuário. Não importa qual senha foi inserida; ninguém tem permissão para fazer login, mesmo com a senha correta. Para ativar esse recurso, defina a configuração Processando solicitações de autenticação wp-login.php como "Negar autenticação por meio de wp-login.php".

Um cuidado para lembrar

Se você ou seu usuário esquecerem que wp-login.php está desabilitado e não pode ser usado para fazer login, você ou seu usuário nunca conseguirão fazer login no site e serão bloqueados após várias tentativas de usar wp-login.php.

Se você definiu "Processando solicitações de autenticação wp-login.php" para qualquer valor diferente do padrão, você só poderá usar seu URL de login personalizado. Nem /wp-login.php nem /wp-admin/ podem mais ser usados para fazer login.

Coisas importantes que você precisa saber

  • Se você usar um plugin de cache como W3 Total Cache ou WP Super Cache você terá que adicionar o slug do novo URL de login personalizado à lista de páginas que não devem ser armazenadas em cache.
  • Para uma instalação multisite do WordPress, o novo URL de login é definido para todos os sites globalmente.
  • Não exclua ou renomeie o arquivo wp-login.php manualmente. Depois de atualizar seu WordPress para uma versão mais recente, wp-login.php será restaurado e estará acessível novamente para invasores.

Obtenha mais segurança com a autenticação de dois fatores

Considere ativar o 2FA para proteger as contas dos administradores. A autenticação de dois fatores fornece uma camada adicional de segurança que exige um segundo fator de identificação além de apenas nome de usuário e senha.

Saiba mais: Como habilitar a autenticação de dois fatores para WordPress

Solução de problemas do recurso URL de login personalizado

Ativar a página de login personalizada pode fazer com que alguns plug-ins parem de funcionar. Se você usar um plug-in de personalização de página de login ou um plug-in de login social, é possível que esse plug-in não funcione mais. Para corrigir esse problema, ative "Adiar a renderização da página de login personalizada". Leia mais sobre esta configuração .

Se você configurou seu URL de login personalizado e depois de um tempo esqueceu-o, primeiro verifique a caixa de e-mail do administrador do site para receber um e-mail de notificação sobre seu novo URL de login ou qualquer relatório semanal por e-mail. Nesses e-mails, você pode ver seu URL de login personalizado. Se você não conseguir encontrar esse e-mail, será necessário reinstalar o WP Cerber manualmente seguindo as etapas abaixo.

  1. Exclua a pasta do plugin /wp-cerber/ manualmente usando FTP ou qualquer gerenciador de arquivos no painel de controle de sua hospedagem.
  2. Faça login no painel do WordPress normalmente usando o URL padrão /wp-login.php ou outra forma que você usou antes de ativar o URL de login personalizado.
  3. Instale e ative o plugin WP Cerber Security normalmente.
  4. Vá para a página de configurações principais do plugin.
  5. Verifique o campo URL de login personalizado . Ele exibe o URL de login personalizado que você deve usar. Lembre se.

Próximas etapas que fortalecerão a segurança do WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments