Security Blog

Пользовательская страница входа для WordPress

Как переименовать wp-login.php, создать собственный URL-адрес для входа и защитить WordPress от автоматического перебора и атак ботов.


English version: Custom login page for WordPress


Настраиваемая страница входа в систему — отличный инструмент для уменьшения поверхности атаки и устранения регистрации спама. Это первое, что вы должны включить на только что установленном WordPress. Еще одна настоятельно рекомендуемая мера безопасности — переименование папки плагинов WordPress .

Почему это важно и почему это работает

Согласно нашим исследованиям в Cerber Lab , большинство хакерских инструментов и атак основаны на предположениях, что сайт-жертва на основе WordPress имеет страницу входа по умолчанию, а плагины расположены в папке по умолчанию. Хотя рекомендуется не использовать значения по умолчанию на любом веб-сайте, многие владельцы веб-сайтов игнорируют эти простые принципы, что позволяет хакерам успешно атаковать их. И именно поэтому хакеры так любят WordPress, и в любой момент времени мы видим сотни тысяч взломанных веб-сайтов.

Настройте свою пользовательскую страницу входа

WP Cerber позволяет легко и безопасно изменить URL-адрес входа в WordPress по умолчанию wp-login.php на любой нужный URL-адрес. Другими словами, вы можете настроить свою уникальную, известную вам пользовательскую страницу входа (пользовательский URL-адрес входа означает то же самое в этом контексте) и скрыть wp-login.php от злоумышленников, сканеров и ботов. Вам не нужно редактировать файл .htaccess или переименовывать файл wp-login.php. С WP Cerber вы можете настроить его в несколько кликов.

  1. Перейдите на страницу администрирования основных настроек плагина.
  2. Введите новый желаемый URL-адрес для входа в поле Пользовательский URL-адрес для входа и сохраните настройки. Вот и все.
  3. Если вы используете плагин для кэширования, добавьте новый URL-адрес для входа в список страниц, которые не нужно кэшировать.
  4. Убедитесь, что ваш новый URL-адрес для входа работает правильно, и вы можете использовать его для входа в систему. Сделайте это в окне браузера в режиме инкогнито. Не выходите из своего веб-сайта, пока не убедитесь, что ваш новый URL-адрес для входа работает правильно .
WordPress login security and custom login page settings

Custom WordPress login page settings

Как скрыть wp-login.php от ботов и сканеров

После того, как вы включили страницу входа в систему клиента, имеет смысл скрыть страницу входа в WordPress по умолчанию, чтобы предотвратить атаки на нее методом грубой силы. Для этого установите для параметра Обработка запросов аутентификации wp-login.php значение «Блокировать доступ к wp-login.php». При попытке доступа к странице WP Cerber отобразит стандартную страницу «404 Not Found». Есть только один недостаток, о котором вам следует подумать. Если злоумышленник достаточно умен, он может продолжить сканирование веб-сайта в поисках вашей настоящей страницы входа.

Как отключить wp-login.php

Еще один более продвинутый вариант, который вы должны рассмотреть, — это отключение wp-login.php без блокировки доступа к нему. Как это работает? Эта уникальная функция WP Cerber останавливает любые попытки аутентификации через wp-login.php. При попытке войти в систему WP Cerber имитирует ошибку неправильного пароля по умолчанию и прерывает процесс аутентификации пользователя. Неважно, какой пароль вводится; никто не может войти в систему даже с правильным паролем. Чтобы включить эту функцию, установите для параметра Обработка запросов аутентификации wp-login.php значение «Отклонить аутентификацию через wp-login.php».

Предостережение, которое следует помнить

Если вы или ваш пользователь забудете, что wp-login.php отключен и не может использоваться для входа в систему, вы или ваш пользователь никогда не сможете войти на веб-сайт и будете заблокированы после нескольких попыток использовать wp-login.php.

Если вы установили «Обработка запросов аутентификации wp-login.php» на любое значение, отличное от значения по умолчанию, вы можете использовать только свой собственный URL-адрес для входа. Ни /wp-login.php, ни /wp-admin/ больше нельзя использовать для входа в систему.

Важные вещи, которые вам нужно знать

  • Если вы используете плагин кэширования, такой как W3 Total Cache или WP Super Cache, вам необходимо добавить слаг нового пользовательского URL-адреса входа в список страниц, которые не нужно кэшировать.
  • Для многосайтовой установки WordPress новый URL-адрес входа устанавливается для всех сайтов по всему миру.
  • Не удаляйте и не переименовывайте файл wp-login.php вручную. После обновления вашего WordPress до более новой версии, wp-login.php будет восстановлен и снова доступен для злоумышленников.

Обеспечьте безопасность с помощью двухфакторной аутентификации

Рассмотрите возможность включения 2FA для защиты учетных записей администраторов. Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации помимо имени пользователя и пароля.

Узнайте больше: Как включить двухфакторную аутентификацию для WordPress

Устранение неполадок с функцией «Пользовательский URL-адрес для входа»

Включение пользовательской страницы входа может привести к тому, что некоторые плагины перестанут работать. Если вы используете плагин для настройки страницы входа или плагин для входа в социальную сеть, возможно, такой плагин больше не работает. Чтобы устранить эту проблему, включите параметр «Отложить отрисовку пользовательской страницы входа». Подробнее об этой настройке .

Если вы настроили свой собственный URL-адрес для входа и через некоторое время забыли его, прежде всего, проверьте почтовый ящик администратора сайта, чтобы получить уведомление по электронной почте о вашем новом URL-адресе для входа или любой еженедельный отчет по электронной почте. В этих письмах вы можете увидеть свой собственный URL-адрес для входа. Если вы не можете найти такое электронное письмо, вам необходимо переустановить WP Cerber вручную, выполнив следующие действия.

  1. Удалите папку плагина /wp-cerber/ вручную с помощью FTP или любого файлового менеджера в панели управления хостингом.
  2. Войдите в свою панель управления WordPress, как обычно, используя URL-адрес по умолчанию /wp-login.php или другой способ, который вы использовали до включения пользовательского URL-адреса для входа.
  3. Установите и активируйте плагин WP Cerber Security как обычно.
  4. Перейдите на страницу основных настроек плагина.
  5. Проверьте поле Пользовательский URL-адрес для входа . Он отображает ваш пользовательский URL-адрес для входа, который вы должны использовать. Запомни это.

Следующие шаги, которые укрепят вашу безопасность WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments

Leave a Reply to Tmart
Cancel Reply