Security Blog

Пользовательская страница входа в WordPress

Как переименовать wp-login.php, создать собственный URL-адрес для входа и защитить WordPress от автоматического перебора и атак ботов.


English version: Custom login page for WordPress


Функция настраиваемой страницы входа — отличный инструмент для уменьшения поверхности атаки и устранения спам-регистраций. Это первое, что вам следует включить в только что установленном WordPress. Еще одна настоятельно рекомендуемая мера безопасности — переименование папки плагинов WordPress .

Почему это важно и почему это работает

Согласно нашим исследованиям в Cerber Lab , большинство хакерских инструментов и атак основаны на предположении, что веб-сайт жертвы на базе WordPress имеет страницу входа по умолчанию, а плагины расположены в папке по умолчанию. Хотя не рекомендуется использовать значения по умолчанию ни на одном веб-сайте, многие владельцы веб-сайтов игнорируют эти простые принципы, что позволяет хакерам успешно атаковать их. И именно поэтому хакеры так любят WordPress, и в любой момент времени мы видим сотни тысяч взломанных веб-сайтов.

Настройте собственную страницу входа

WP Cerber позволяет вам легко и безопасно изменить URL-адрес входа в WordPress по умолчанию wp-login.php на любой URL-адрес, который вам нужен. Другими словами, вы можете настроить свою уникальную, известную вам пользовательскую страницу входа (пользовательский URL-адрес входа в этом контексте означает то же самое) и скрыть wp-login.php от злоумышленников, сканеров и ботов. Вам не нужно редактировать файл .htaccess или переименовывать файл wp-login.php. С WP Cerber вы можете настроить его в несколько кликов.

  1. Перейдите на страницу администратора основных настроек плагина.
  2. Введите новый желаемый URL-адрес для входа в поле «Пользовательский URL-адрес для входа» и сохраните настройки. Вот и все.
  3. Если вы используете плагин кеширования, добавьте новый URL-адрес для входа в список страниц, которые не нужно кэшировать.
  4. Убедитесь, что ваш новый URL-адрес для входа работает правильно и вы можете использовать его для входа в систему. Сделайте это в окне браузера в режиме инкогнито. Не выходите из своего веб-сайта, пока не убедитесь, что ваш новый URL-адрес для входа работает правильно .
WordPress login security and custom login page settings

Custom WordPress login page settings

Как скрыть wp-login.php от ботов и сканеров

После того, как вы включили страницу входа в систему клиента, имеет смысл скрыть страницу входа в WordPress по умолчанию, чтобы предотвратить атаки методом перебора. Для этого установите для параметра «Обработка запросов аутентификации wp-login.php» значение «Блокировать доступ к wp-login.php». При попытке доступа к странице WP Cerber отображает стандартную страницу «404 не найдено». Есть только один недостаток, о котором вам следует подумать. Если злоумышленник достаточно умен, он может продолжить сканирование веб-сайта в поисках вашей настоящей страницы входа.

Как отключить wp-login.php

Еще один более продвинутый вариант, который вам следует рассмотреть, — это отключение wp-login.php без блокировки доступа к нему. Как это работает? Эта уникальная функция WP Cerber останавливает любые попытки аутентификации через wp-login.php. При попытке войти в систему WP Cerber имитирует ошибку неправильного пароля по умолчанию и прерывает процесс аутентификации пользователя. Не имеет значения, какой пароль введен; никому не разрешено войти в систему даже с правильным паролем. Чтобы включить эту функцию, установите для параметра «Обработка запросов аутентификации wp-login.php» значение «Запретить аутентификацию через wp-login.php».

Предостережение, которое следует помнить

Если вы или ваш пользователь забудете, что wp-login.php отключен и не может использоваться для входа в систему, вы или ваш пользователь никогда не сможете войти на сайт и будете заблокированы после нескольких попыток использовать wp-login.php.

Если вы установили для параметра «Обработка запросов аутентификации wp-login.php» любое значение, отличное от значения по умолчанию, вы можете использовать только свой собственный URL-адрес для входа. Ни /wp-login.php, ни /wp-admin/ больше нельзя использовать для входа в систему.

Важные вещи, которые вам нужно знать

  • Если вы используете плагин кеширования, такой как W3 Total Cache или WP Super Cache, вам необходимо добавить фрагмент нового пользовательского URL-адреса входа в список страниц, которые не кэшируются.
  • При многосайтовой установке WordPress новый URL-адрес входа устанавливается для всех сайтов по всему миру.
  • Не удаляйте и не переименовывайте файл wp-login.php вручную. После обновления вашего WordPress до более новой версии wp-login.php будет восстановлен и снова доступен для злоумышленников.

Сделайте его более безопасным с помощью двухфакторной аутентификации

Рассмотрите возможность включения 2FA для защиты учетных записей администраторов. Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации, помимо имени пользователя и пароля.

Узнайте больше: Как включить двухфакторную аутентификацию для WordPress

Устранение неполадок с функцией «Пользовательский URL-адрес входа»

Включение пользовательской страницы входа может привести к тому, что некоторые плагины перестанут работать. Если вы используете плагин для настройки страницы входа или плагин для входа в социальную сеть, возможно, такой плагин больше не работает. Чтобы устранить эту проблему, включите «Отложить отрисовку пользовательской страницы входа». Подробнее об этой настройке читайте .

Если вы настроили свой собственный URL-адрес для входа и через некоторое время забыли его, прежде всего проверьте ящик электронной почты администратора сайта на наличие уведомления по электронной почте о вашем новом URL-адресе для входа или любого еженедельного отчета по электронной почте. В этих электронных письмах вы можете увидеть свой собственный URL-адрес для входа. Если вы не можете найти такое письмо, вам необходимо переустановить WP Cerber вручную, выполнив следующие действия.

  1. Удалите папку плагина /wp-cerber/ вручную, используя FTP или любой файловый менеджер в панели управления хостингом.
  2. Войдите в свою панель управления WordPress, как обычно, используя URL-адрес /wp-login.php по умолчанию или другой способ, который вы использовали до включения пользовательского URL-адреса для входа.
  3. Установите и активируйте плагин WP Cerber Security как обычно.
  4. Перейдите на страницу основных настроек плагина.
  5. Проверьте поле «Пользовательский URL-адрес для входа» . Он отображает ваш собственный URL-адрес для входа, который вы должны использовать. Запомни это.

Следующие шаги, которые укрепят вашу безопасность WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments