Пользовательская страница входа для WordPress
Как переименовать файл wp-login.php, создать собственный URL-адрес для входа и защитить WordPress от автоматических атак методом перебора паролей и бот-атак.
English version: Custom login page for WordPress
Функция создания настраиваемой страницы входа — отличный инструмент для уменьшения поверхности атаки и предотвращения спам-регистраций. Это первое, что следует включить при новой установке WordPress. Еще одна настоятельно рекомендуемая мера безопасности — переименование папки плагинов WordPress .
Почему это важно и почему это работает
Согласно нашим исследованиям в Cerber Lab , большинство хакерских инструментов и атак основаны на предположении, что на сайте жертвы, работающем на WordPress, используется стандартная страница входа, а плагины находятся в папке по умолчанию. Хотя использование значений по умолчанию на любом веб-сайте не рекомендуется, многие владельцы сайтов игнорируют эти простые принципы, позволяя хакерам успешно атаковать их. Именно поэтому хакеры так любят WordPress, и в любой момент времени мы видим сотни тысяч взломанных сайтов.
Настройте собственную страницу входа в систему.
WP Cerber позволяет легко и безопасно изменить стандартный URL-адрес страницы входа в WordPress wp-login.php на любой необходимый вам URL. Другими словами, вы можете настроить свою уникальную, известную вам пользовательскую страницу входа (пользовательский URL-адрес в данном контексте означает то же самое) и скрыть wp-login.php от злоумышленников, сканеров и ботов. Вам не нужно редактировать файл .htaccess или переименовывать файл wp-login.php. С WP Cerber вы можете настроить это всего за несколько кликов.
- Перейдите на главную страницу настроек плагина в административной панели.
- Введите желаемый новый URL-адрес для входа в систему в поле «Пользовательский URL-адрес для входа» и сохраните настройки. Вот и всё.
- Если вы используете плагин кэширования, добавьте новый URL-адрес страницы входа в систему в список страниц, которые не следует кэшировать.
- Убедитесь, что ваш новый URL-адрес для входа работает правильно и вы можете использовать его для авторизации. Сделайте это в режиме инкогнито. Не выходите из системы, пока не убедитесь, что ваш новый URL-адрес для входа работает корректно .
Custom WordPress login page settings
Как скрыть файл wp-login.php от ботов и сканеров
После включения страницы входа для клиентов имеет смысл скрыть стандартную страницу входа WordPress, чтобы предотвратить атаки методом перебора паролей. Для этого установите параметр «Обработка запросов аутентификации wp-login.php » в значение «Блокировать доступ к wp-login.php». При попытке доступа к странице WP Cerber отобразит стандартную страницу «404 Not Found». Однако есть один недостаток, о котором следует помнить. Если злоумышленник достаточно умен, он может продолжить сканирование веб-сайта в поисках вашей настоящей страницы входа.
Как отключить wp-login.php
Ещё один, более продвинутый вариант, который стоит рассмотреть, — это отключение wp-login.php без блокировки доступа к нему. Как это работает? Эта уникальная функция WP Cerber блокирует любые попытки аутентификации через wp-login.php. При попытке входа WP Cerber имитирует стандартную ошибку неверного пароля и прерывает процесс аутентификации пользователя. Неважно, какой пароль введен; никто не сможет войти в систему, даже с правильным паролем. Чтобы включить эту функцию, установите параметр «Обработка запросов аутентификации wp-login.php » в значение «Запретить аутентификацию через wp-login.php».
Предостережение, которое следует помнить.
Если вы или ваш пользователь забудете, что wp-login.php отключен и не может использоваться для входа в систему, вы или ваш пользователь никогда не сможете войти на веб-сайт и будете заблокированы после нескольких попыток использования wp-login.php.
Если вы установили параметр "Обработка запросов аутентификации wp-login.php" на значение, отличное от значения по умолчанию, вы можете использовать только свой собственный URL-адрес для входа. Ни /wp-login.php, ни /wp-admin/ больше нельзя использовать для входа в систему.
Важная информация, которую вам необходимо знать.
- Если вы используете плагин кэширования, такой как W3 Total Cache или WP Super Cache, вам необходимо добавить URL-адрес новой пользовательской страницы входа в систему в список страниц, которые не следует кэшировать.
- В многосайтовой установке WordPress новый URL-адрес для входа в систему устанавливается для всех сайтов глобально.
- Не удаляйте и не переименовывайте файл wp-login.php вручную. После обновления WordPress до более новой версии файл wp-login.php будет восстановлен и снова станет доступен для злоумышленников.
Повысьте уровень безопасности с помощью двухфакторной аутентификации.
Рекомендуется включить двухфакторную аутентификацию для защиты учетных записей администраторов. Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности, требуя второго фактора идентификации помимо имени пользователя и пароля.
Узнайте больше: Как включить двухфакторную аутентификацию в WordPress
Устранение неполадок с функцией пользовательского URL-адреса для входа в систему
Включение пользовательской страницы входа может привести к тому, что некоторые плагины перестанут работать. Если вы используете плагин для настройки страницы входа или плагин для входа через социальные сети, возможно, такой плагин перестанет работать. Чтобы исправить эту проблему, включите параметр «Отложить отрисовку пользовательской страницы входа». Подробнее об этом параметре можно прочитать здесь .
Если вы настроили свой пользовательский URL-адрес для входа и через некоторое время забыли его, прежде всего проверьте почтовый ящик администратора сайта на наличие уведомлений о новом URL-адресе для входа или еженедельных отчетов. В этих письмах вы можете увидеть свой пользовательский URL-адрес для входа. Если вы не можете найти такое письмо, вам необходимо переустановить WP Cerber вручную, выполнив следующие шаги.
- Удалите папку плагина /wp-cerber/ вручную с помощью FTP или любого файлового менеджера в панели управления хостингом.
- Войдите в панель управления WordPress как обычно, используя стандартный URL-адрес /wp-login.php или другой способ, который вы использовали до включения пользовательского URL-адреса для входа.
- Установите и активируйте плагин WP Cerber Security как обычно.
- Перейдите на главную страницу настроек плагина.
- Отметьте поле «Пользовательский URL-адрес для входа» . В нем отображается ваш пользовательский URL-адрес для входа, который вы должны использовать. Запомните его.
Следующие шаги, которые укрепят безопасность вашего WordPress.
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.