Пользовательская страница входа в WordPress
Как переименовать wp-login.php, создать собственный URL-адрес для входа и защитить WordPress от автоматического перебора и атак ботов.
English version: Custom login page for WordPress
Функция настраиваемой страницы входа — отличный инструмент для уменьшения поверхности атаки и устранения спам-регистраций. Это первое, что вам следует включить в только что установленном WordPress. Еще одна настоятельно рекомендуемая мера безопасности — переименование папки плагинов WordPress .
Почему это важно и почему это работает
Согласно нашим исследованиям в Cerber Lab , большинство хакерских инструментов и атак основаны на предположении, что веб-сайт жертвы на базе WordPress имеет страницу входа по умолчанию, а плагины расположены в папке по умолчанию. Хотя не рекомендуется использовать значения по умолчанию ни на одном веб-сайте, многие владельцы веб-сайтов игнорируют эти простые принципы, что позволяет хакерам успешно атаковать их. И именно поэтому хакеры так любят WordPress, и в любой момент времени мы видим сотни тысяч взломанных веб-сайтов.
Настройте собственную страницу входа
WP Cerber позволяет вам легко и безопасно изменить URL-адрес входа в WordPress по умолчанию wp-login.php на любой URL-адрес, который вам нужен. Другими словами, вы можете настроить свою уникальную, известную вам пользовательскую страницу входа (пользовательский URL-адрес входа в этом контексте означает то же самое) и скрыть wp-login.php от злоумышленников, сканеров и ботов. Вам не нужно редактировать файл .htaccess или переименовывать файл wp-login.php. С WP Cerber вы можете настроить его в несколько кликов.
- Перейдите на страницу администратора основных настроек плагина.
- Введите новый желаемый URL-адрес для входа в поле «Пользовательский URL-адрес для входа» и сохраните настройки. Вот и все.
- Если вы используете плагин кеширования, добавьте новый URL-адрес для входа в список страниц, которые не нужно кэшировать.
- Убедитесь, что ваш новый URL-адрес для входа работает правильно и вы можете использовать его для входа в систему. Сделайте это в окне браузера в режиме инкогнито. Не выходите из своего веб-сайта, пока не убедитесь, что ваш новый URL-адрес для входа работает правильно .
Custom WordPress login page settings
Как скрыть wp-login.php от ботов и сканеров
После того, как вы включили страницу входа в систему клиента, имеет смысл скрыть страницу входа в WordPress по умолчанию, чтобы предотвратить атаки методом перебора. Для этого установите для параметра «Обработка запросов аутентификации wp-login.php» значение «Блокировать доступ к wp-login.php». При попытке доступа к странице WP Cerber отображает стандартную страницу «404 не найдено». Есть только один недостаток, о котором вам следует подумать. Если злоумышленник достаточно умен, он может продолжить сканирование веб-сайта в поисках вашей настоящей страницы входа.
Как отключить wp-login.php
Еще один более продвинутый вариант, который вам следует рассмотреть, — это отключение wp-login.php без блокировки доступа к нему. Как это работает? Эта уникальная функция WP Cerber останавливает любые попытки аутентификации через wp-login.php. При попытке войти в систему WP Cerber имитирует ошибку неправильного пароля по умолчанию и прерывает процесс аутентификации пользователя. Не имеет значения, какой пароль введен; никому не разрешено войти в систему даже с правильным паролем. Чтобы включить эту функцию, установите для параметра «Обработка запросов аутентификации wp-login.php» значение «Запретить аутентификацию через wp-login.php».
Предостережение, которое следует помнить
Если вы или ваш пользователь забудете, что wp-login.php отключен и не может использоваться для входа в систему, вы или ваш пользователь никогда не сможете войти на сайт и будете заблокированы после нескольких попыток использовать wp-login.php.
Если вы установили для параметра «Обработка запросов аутентификации wp-login.php» любое значение, отличное от значения по умолчанию, вы можете использовать только свой собственный URL-адрес для входа. Ни /wp-login.php, ни /wp-admin/ больше нельзя использовать для входа в систему.
Важные вещи, которые вам нужно знать
- Если вы используете плагин кеширования, такой как W3 Total Cache или WP Super Cache, вам необходимо добавить фрагмент нового пользовательского URL-адреса входа в список страниц, которые не кэшируются.
- При многосайтовой установке WordPress новый URL-адрес входа устанавливается для всех сайтов по всему миру.
- Не удаляйте и не переименовывайте файл wp-login.php вручную. После обновления вашего WordPress до более новой версии wp-login.php будет восстановлен и снова доступен для злоумышленников.
Сделайте его более безопасным с помощью двухфакторной аутентификации
Рассмотрите возможность включения 2FA для защиты учетных записей администраторов. Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации, помимо имени пользователя и пароля.
Узнайте больше: Как включить двухфакторную аутентификацию для WordPress
Устранение неполадок с функцией «Пользовательский URL-адрес входа»
Включение пользовательской страницы входа может привести к тому, что некоторые плагины перестанут работать. Если вы используете плагин для настройки страницы входа или плагин для входа в социальную сеть, возможно, такой плагин больше не работает. Чтобы устранить эту проблему, включите «Отложить отрисовку пользовательской страницы входа». Подробнее об этой настройке читайте .
Если вы настроили свой собственный URL-адрес для входа и через некоторое время забыли его, прежде всего проверьте ящик электронной почты администратора сайта на наличие уведомления по электронной почте о вашем новом URL-адресе для входа или любого еженедельного отчета по электронной почте. В этих электронных письмах вы можете увидеть свой собственный URL-адрес для входа. Если вы не можете найти такое письмо, вам необходимо переустановить WP Cerber вручную, выполнив следующие действия.
- Удалите папку плагина /wp-cerber/ вручную, используя FTP или любой файловый менеджер в панели управления хостингом.
- Войдите в свою панель управления WordPress, как обычно, используя URL-адрес /wp-login.php по умолчанию или другой способ, который вы использовали до включения пользовательского URL-адреса для входа.
- Установите и активируйте плагин WP Cerber Security как обычно.
- Перейдите на страницу основных настроек плагина.
- Проверьте поле «Пользовательский URL-адрес для входа» . Он отображает ваш собственный URL-адрес для входа, который вы должны использовать. Запомни это.
Следующие шаги, которые укрепят вашу безопасность WordPress
WP Cerber Security 1.7
WP Cerber Security 1.8
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.