Пользовательская страница входа для WordPress
Как переименовать wp-login.php, создать собственный URL-адрес для входа и защитить WordPress от автоматического перебора и атак ботов.
English version: Custom login page for WordPress
Настраиваемая страница входа в систему — отличный инструмент для уменьшения поверхности атаки и устранения регистрации спама. Это первое, что вы должны включить на только что установленном WordPress. Еще одна настоятельно рекомендуемая мера безопасности — переименование папки плагинов WordPress .
Почему это важно и почему это работает
Согласно нашим исследованиям в Cerber Lab , большинство хакерских инструментов и атак основаны на предположениях, что сайт-жертва на основе WordPress имеет страницу входа по умолчанию, а плагины расположены в папке по умолчанию. Хотя рекомендуется не использовать значения по умолчанию на любом веб-сайте, многие владельцы веб-сайтов игнорируют эти простые принципы, что позволяет хакерам успешно атаковать их. И именно поэтому хакеры так любят WordPress, и в любой момент времени мы видим сотни тысяч взломанных веб-сайтов.
Настройте свою пользовательскую страницу входа
WP Cerber позволяет легко и безопасно изменить URL-адрес входа в WordPress по умолчанию wp-login.php на любой нужный URL-адрес. Другими словами, вы можете настроить свою уникальную, известную вам пользовательскую страницу входа (пользовательский URL-адрес входа означает то же самое в этом контексте) и скрыть wp-login.php от злоумышленников, сканеров и ботов. Вам не нужно редактировать файл .htaccess или переименовывать файл wp-login.php. С WP Cerber вы можете настроить его в несколько кликов.
- Перейдите на страницу администрирования основных настроек плагина.
- Введите новый желаемый URL-адрес для входа в поле Пользовательский URL-адрес для входа и сохраните настройки. Вот и все.
- Если вы используете плагин для кэширования, добавьте новый URL-адрес для входа в список страниц, которые не нужно кэшировать.
- Убедитесь, что ваш новый URL-адрес для входа работает правильно, и вы можете использовать его для входа в систему. Сделайте это в окне браузера в режиме инкогнито. Не выходите из своего веб-сайта, пока не убедитесь, что ваш новый URL-адрес для входа работает правильно .
Custom WordPress login page settings
Как скрыть wp-login.php от ботов и сканеров
После того, как вы включили страницу входа в систему клиента, имеет смысл скрыть страницу входа в WordPress по умолчанию, чтобы предотвратить атаки на нее методом грубой силы. Для этого установите для параметра Обработка запросов аутентификации wp-login.php значение «Блокировать доступ к wp-login.php». При попытке доступа к странице WP Cerber отобразит стандартную страницу «404 Not Found». Есть только один недостаток, о котором вам следует подумать. Если злоумышленник достаточно умен, он может продолжить сканирование веб-сайта в поисках вашей настоящей страницы входа.
Как отключить wp-login.php
Еще один более продвинутый вариант, который вы должны рассмотреть, — это отключение wp-login.php без блокировки доступа к нему. Как это работает? Эта уникальная функция WP Cerber останавливает любые попытки аутентификации через wp-login.php. При попытке войти в систему WP Cerber имитирует ошибку неправильного пароля по умолчанию и прерывает процесс аутентификации пользователя. Неважно, какой пароль вводится; никто не может войти в систему даже с правильным паролем. Чтобы включить эту функцию, установите для параметра Обработка запросов аутентификации wp-login.php значение «Отклонить аутентификацию через wp-login.php».
Предостережение, которое следует помнить
Если вы или ваш пользователь забудете, что wp-login.php отключен и не может использоваться для входа в систему, вы или ваш пользователь никогда не сможете войти на веб-сайт и будете заблокированы после нескольких попыток использовать wp-login.php.
Если вы установили «Обработка запросов аутентификации wp-login.php» на любое значение, отличное от значения по умолчанию, вы можете использовать только свой собственный URL-адрес для входа. Ни /wp-login.php, ни /wp-admin/ больше нельзя использовать для входа в систему.
Важные вещи, которые вам нужно знать
- Если вы используете плагин кэширования, такой как W3 Total Cache или WP Super Cache, вам необходимо добавить слаг нового пользовательского URL-адреса входа в список страниц, которые не нужно кэшировать.
- Для многосайтовой установки WordPress новый URL-адрес входа устанавливается для всех сайтов по всему миру.
- Не удаляйте и не переименовывайте файл wp-login.php вручную. После обновления вашего WordPress до более новой версии, wp-login.php будет восстановлен и снова доступен для злоумышленников.
Обеспечьте безопасность с помощью двухфакторной аутентификации
Рассмотрите возможность включения 2FA для защиты учетных записей администраторов. Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации помимо имени пользователя и пароля.
Узнайте больше: Как включить двухфакторную аутентификацию для WordPress
Устранение неполадок с функцией «Пользовательский URL-адрес для входа»
Включение пользовательской страницы входа может привести к тому, что некоторые плагины перестанут работать. Если вы используете плагин для настройки страницы входа или плагин для входа в социальную сеть, возможно, такой плагин больше не работает. Чтобы устранить эту проблему, включите параметр «Отложить отрисовку пользовательской страницы входа». Подробнее об этой настройке .
Если вы настроили свой собственный URL-адрес для входа и через некоторое время забыли его, прежде всего, проверьте почтовый ящик администратора сайта, чтобы получить уведомление по электронной почте о вашем новом URL-адресе для входа или любой еженедельный отчет по электронной почте. В этих письмах вы можете увидеть свой собственный URL-адрес для входа. Если вы не можете найти такое электронное письмо, вам необходимо переустановить WP Cerber вручную, выполнив следующие действия.
- Удалите папку плагина /wp-cerber/ вручную с помощью FTP или любого файлового менеджера в панели управления хостингом.
- Войдите в свою панель управления WordPress, как обычно, используя URL-адрес по умолчанию /wp-login.php или другой способ, который вы использовали до включения пользовательского URL-адреса для входа.
- Установите и активируйте плагин WP Cerber Security как обычно.
- Перейдите на страницу основных настроек плагина.
- Проверьте поле Пользовательский URL-адрес для входа . Он отображает ваш пользовательский URL-адрес для входа, который вы должны использовать. Запомни это.
Следующие шаги, которые укрепят вашу безопасность WordPress
WP Cerber Security 4.5
WP Cerber Security 4.7.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.