Пользовательская страница входа для WordPress
Как переименовать wp-login.php, создать собственный URL-адрес для входа и защитить WordPress от автоматизированных атак методом подбора паролей и атак ботов.
English version: Custom login page for WordPress
Функция пользовательской страницы входа — отличный инструмент для сокращения поверхности атаки и устранения спам-регистраций. Это первое, что вам следует включить на недавно установленном WordPress. Еще одна настоятельно рекомендуемая мера безопасности — переименование папки плагинов WordPress .
Почему это важно и почему это работает
Согласно нашим исследованиям в Cerber Lab , большинство хакерских инструментов и атак основаны на предположениях, что на веб-сайте жертвы, работающем на WordPress, есть страница входа по умолчанию, а плагины находятся в папке по умолчанию. Хотя рекомендуется не использовать значения по умолчанию на любом веб-сайте, многие владельцы веб-сайтов игнорируют эти простые принципы, позволяя хакерам успешно атаковать их. Вот почему хакеры так любят WordPress, и в любой момент времени мы видим сотни тысяч взломанных веб-сайтов.
Настройте свою собственную страницу входа
WP Cerber позволяет вам легко и безопасно изменить URL входа WordPress по умолчанию wp-login.php на любой нужный вам URL. Другими словами, вы можете настроить свою уникальную, известную вам пользовательскую страницу входа (пользовательский URL входа означает то же самое в этом контексте) и скрыть wp-login.php от злоумышленников, сканеров и ботов. Вам не нужно редактировать файл .htaccess или переименовывать файл wp-login.php. С WP Cerber вы можете настроить его в несколько кликов.
- Перейдите на страницу администратора основных настроек плагина.
- Введите новый желаемый URL-адрес входа в поле Пользовательский URL-адрес входа и сохраните настройки. Вот и все.
- Если вы используете плагин кэширования, добавьте новый URL-адрес входа в список страниц, которые не нужно кэшировать.
- Убедитесь, что ваш новый URL-адрес входа работает правильно, и вы можете использовать его для входа. Сделайте это в окне браузера в режиме инкогнито. Не выходите из своего веб-сайта, пока не убедитесь, что ваш новый URL-адрес входа работает правильно .
Custom WordPress login page settings
Как скрыть wp-login.php от ботов и сканеров
После включения страницы входа клиента имеет смысл скрыть страницу входа WordPress по умолчанию, чтобы предотвратить атаки методом подбора. Чтобы добиться этого, установите параметр Обработка запросов аутентификации wp-login.php на "Блокировать доступ к wp-login.php". При попытке доступа к странице WP Cerber отобразит стандартную страницу "404 Not Found". Есть только один недостаток, о котором вам следует подумать. Если злоумышленник достаточно умен, он может продолжить сканирование веб-сайта в поисках вашей настоящей страницы входа.
Как отключить wp-login.php
Другой более продвинутый вариант, который вам следует рассмотреть, — это отключение wp-login.php без блокировки доступа к нему. Как это работает? Эта уникальная функция WP Cerber останавливает любые попытки аутентификации через wp-login.php. При попытке входа в систему WP Cerber имитирует ошибку неправильного пароля по умолчанию и прерывает процесс аутентификации пользователя. Неважно, какой пароль введен; никто не сможет войти в систему даже с правильным паролем. Чтобы включить эту функцию, установите параметр Обработка запросов аутентификации wp-login.php на «Запретить аутентификацию через wp-login.php».
Предостережение, которое следует помнить
Если вы или ваш пользователь забудете, что wp-login.php отключен и не может быть использован для входа в систему, вы или ваш пользователь никогда не сможете войти на сайт и будете заблокированы после нескольких попыток использования wp-login.php.
Если вы установили "Обработка запросов аутентификации wp-login.php" на любое значение, отличное от значения по умолчанию, вы можете использовать только свой собственный URL-адрес входа. Ни /wp-login.php, ни /wp-admin/ больше не могут использоваться для входа.
Важные вещи, которые вам нужно знать
- Если вы используете плагин кэширования, такой как W3 Total Cache или WP Super Cache, вам необходимо добавить слаг нового пользовательского URL-адреса входа в список страниц, которые не нужно кэшировать.
- Для многосайтовой установки WordPress новый URL-адрес входа устанавливается для всех сайтов по всему миру.
- Не удаляйте и не переименовывайте файл wp-login.php вручную. После обновления WordPress до новой версии wp-login.php будет восстановлен и снова доступен для злоумышленников.
Повысьте безопасность с помощью двухфакторной аутентификации
Рассмотрите возможность включения 2FA для защиты учетных записей администраторов. Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации помимо имени пользователя и пароля.
Узнайте больше: Как включить двухфакторную аутентификацию для WordPress
Устранение неполадок функции пользовательского URL-адреса входа
Включение пользовательской страницы входа может привести к тому, что некоторые плагины перестанут работать. Если вы используете плагин настройки страницы входа или плагин входа через социальную сеть, возможно, такой плагин больше не работает. Чтобы исправить эту проблему, включите «Отложить отображение пользовательской страницы входа». Подробнее об этой настройке .
Если вы настроили свой пользовательский URL-адрес входа и через некоторое время забыли его, прежде всего, проверьте почтовый ящик администратора сайта на предмет уведомления о новом URL-адресе входа или еженедельного отчета по электронной почте. В этих письмах вы можете увидеть свой пользовательский URL-адрес входа. Если вы не можете найти такое письмо, вам необходимо вручную переустановить WP Cerber, выполнив следующие шаги.
- Удалите папку плагина /wp-cerber/ вручную с помощью FTP или любого файлового менеджера в панели управления хостингом.
- Войдите в панель управления WordPress как обычно, используя URL-адрес по умолчанию /wp-login.php или другой способ, который вы использовали до включения пользовательского URL-адреса входа.
- Установите и активируйте плагин WP Cerber Security как обычно.
- Перейдите на страницу основных настроек плагина.
- Проверьте поле Пользовательский URL входа . Он отображает ваш Пользовательский URL входа, который вам нужно использовать. Запомните его.
Следующие шаги, которые укрепят безопасность вашего WordPress
Узнайте больше об IP-адресе злоумышленника
WP Cerber Security 2.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.