На всех сайтах вордпресс авторизация в админке осуществляется по адресу wp-admin, а далее на wp-login. Логично предположить что для взлома сайта уже есть начальная информация, лучше изменить страницу входа WordPress.
Содержание
- Изменить вход в плагине Change wp-admin login
- Скрыть админпанель с помощью ClearfyPRO
- Меняем файлы движка и function php
Изменить вход в плагине Change wp-admin login
Очень маленький плагин Change wp-admin login, позволяющий изменить страницу входа, находится стандартным поиском WordPress.
Теперь переходим в Настройки — Постоянные ссылки, внизу появится новый раздел. Задаем url как вам хочется.
Отмечу что после изменения страницы, автозаполнение формы работать не будет, потому что это уже другой документ – заранее восстановите логин и пароль.
При попытке зайти по старому адресу формы авторизации, получим такой ответ системы. Если введем стандартный wp-login, то получим 404 ошибку, то есть не существующий урл.
Если хотите сделать другие способы зайти в админку, то читайте статью. В ней разобраны 3 направления включая социальные сети.
Скрыть админпанель с помощью ClearfyPRO
В Clearfy в разделе безопасность, можно скрыть страницу входа в WordPress, потому что разработчики заботятся о сохранности данных пользователя.
- Переходим в раздел «Защита».
- Включаем переключатель.
- Вносим желаемый новый url.
- Ниже есть автоматически созданные варианты, чтобы поместить их в поле. Эти комбинации никогда не повторяются и при каждой перезагрузке, они будут меняться. Это как дополнение, чтобы вы не думали что написать.
Как вы знаете Клеарфай умеет не только менять страницу входа в панель WordPress, но улучшает SEO блога по еще 49 пунктам, например как убрать дубли nextpage. Дарю читателям промокод на приобретение.
Clearfy -15%
Меняем файлы движка и function php
Не буду описывать, но способов много, все требуют правки очень важных файлов, поэтому приведу список почему не стоит применять ручные методы.
- WP-login.php – важнейший файл ядра WordPress, при обновлении или копировании изменения сотрутся, это в лучшем случае, а в худшем сайт перестанет работать.
- Htaccess – другие предлагают править серверный документ htaccess. Не трогайте его, он создан для управления сервером, а не создания защиты административной зоны. Долго не сможете зайти, потому что авторизация будет закэширована на сервере и в браузере.
- Установка больших кусков кода в function php – не все умеют править код, поэтому не советую вставлять огромные функции. Будет полезно почитать, как из-за кривых настроек мошенники узнают логин и пароль.
Используйте плагины WordPress из статьи, ресурс тормозить не будет, потому что они распространяют свое действие только на страницу входа.
Пожалуйста, оцените материал:
Давно занимаюсь и разрабатываю сайты на WordPress. Считаю что лучшего решения для ведения бизнеса не найти, поэтому считаю долгом делиться информацией с остальными.
Здравствуйте, уважаемые друзья. Сегодня речь пойдёт о безопасности в интернете. Точнее говоря, о том, как изменить страницу входа в административную панель WordPress. Это позволит избавиться от назойливых ботов, нагружающих сервер и стремящихся взломать ваш сайт. И от всех злоумышленников, желающих завладеть вашим сайтом.
Все администраторы блогов и сайтов знают, как важно обеспечить надёжную защиту сайта. Владельцы сайтов на платформе Вордпресс не исключение.
Мы уже говорили о том, что первым делом после установки движка нужно изменить логин и пароль администратора. Это повысит надёжность вашего ресурса. Плюсом к этому можно подключить двухуровневую защиту на входе в амин панель сайта. Такой рубеж, вообще, сложно пробить.
Но, при этом страница доступа в административную панель остаётся доступной всем. И это очень плохо. Так как подсев на эту страницу, с подбором паролей, злобный бот в несколько раз увеличивает нагрузку на сайт. При этом в зависимости от вашего хостинга, сайт может рухнуть, и будет недоступен некоторое время.
Содержание
- Доступ в админ панель WordPress стандартными путями.
- Как изменить страницу входа в админ панель Вордпресс.
- Как настроить редирект (перенаправление) с wp-admin и wp-login.php.
Для того чтобы перейти в административную панель сайта Вордпресс, как правило, к адресу (url) сайта добавляется wp-admin.
Вид такой ссылки:
http://domen.ru/wp-admin
Введя такой адрес, любой желающий перейдёт на страницу входа в админ панель. И, может, методом подбора пытаться получить доступ к сайту.
В интернете много информации по поводу редиректа со страницы wp-admin. Информация полезная и позволяет отсеять таких любопытных посетителей, которые не знаю, что доступ на страницу входа в административную панель WordPress осуществляется по следующему адресу:
http://domen.ru/wp-login.php
И предыдущий скриншот наглядно демонстрирует этот url. Так как после перехода по адресу http://domen.ru/wp-admin происходит переадресация на страницу входа wp- http://domen.ru/login.php?pass=1
И вот этот самый адрес знают и атакуют злобные боты.
А, значит, нам нужно изменить страницу входа и правильно настроить перенаправление.
Как изменить страницу входа в админ панель Вордпресс.
Для этого нам потребуется стандартный файл, отвечающий за вывод формы доступа к админ панели: wp-login.php.
Шаг 1.
Открываете содержимое вашего сайта, через файловый менеджер или через ftp-соединение. И копируете файл wp-login.php к себе на компьютер.
Шаг 2.
— Переименовываете файл, имя подбираете так, чтобы вам было удобно использовать его для входа в админ панель, но при этом оно должно быть довольно сложным для подбора. В качестве примера я переименовал этот файл в 123.php (вы так не делайте).
— Открываете файл в редакторе кода Notepad++.
— Нажимаете комбинацию клавиш CTRL+F (поиск и замена).
— Перейдите к закладке «Заменить», в поле «Найти» введите wp-login.php, а в поле «Заменить на» введите название файла (в моём примере – это 123.php) и нажмите кнопку «Заменить всё».
Всего должно быть 12 замен.
— Сохраняете изменения в файле.
— Копируете файл обратно на хостинг.
Всё. Теперь доступ на страницу входа в админи панель доступен по адресу:
http://domen.ru/123.php
Но, он также доступен и по старым адресам:
http://domen.ru/wp-admin
http://domen.ru/login.php
А, значит, нужно исключить доступ к странице входа по старым адресам.
ОБНОВЛЕНИЕ: с версии WordPress 5.7.1 старая страница входа перестала работать, для её восстановления нужно содержимое нового файла wp-login.php скопировать в ваш файл-страницы входа и провести замену, как описано выше. При последующих обновлениях, если страница входа перестанет работать, порядок её восстановления аналогичный.
Как настроить редирект (перенаправление) с wp-admin и wp-login.php.
Для того чтобы по старым адресам страница входа в админ панель была недоступна и при этом не выдавала ошибку 404, нужно настроить простой редирект на главную страницу сайта.
Для настройки редиректа будем использовать файл функции темы (functions.php). Но, при этом, если вы смените тему, то редирект перестанет работать. Это вы должны помнить. В качестве альтернативы можно использовать плагин и тогда ваши доработки будут не тронуты при смене темы. Как создать такой плагин читайте здесь.
Предупреждение: перед началом работ сделайте резервную копию файла functions.php.
Итак, открываете административную панель Вордпресс – «Внешний вид» – «Редактор» – «Функции темы». Пролистывайте файл вниз. Внизу этого файла будет либо окончание функции (}), либо закрытие кода php (?>).
Если у вас заканчивается файл (?>), значит, удаляете эти символы и вставляете функции редиректа. Если файл заканчивается очередной функцией, то ниже этой функции вставляете предложенные ниже коды.
Редирект с wp-admin:
/*редирект с wp-admin*/
add_action( 'init', 'blockusers_init' );
function blockusers_init() {
if ( is_admin() && ! current_user_can( 'administrator' ) &&
! ( defined( 'DOING_AJAX' ) && DOING_AJAX ) ) {
wp_redirect( home_url() );
exit;
}
}
После добавления этой функции, при вводе адреса http://domen.ru/wp-admin будет происходить переадресация на главную страницу http://domen.ru. У этого кода есть особенность, если кроме админа на сайте есть авторы и редакторы, тогда код нужно дополнить.
Редирект с wp-login.php:
/*редирект с wp-login.php*/
function redirect_login_page() {
$page_viewed = basename($_SERVER['REQUEST_URI']);
if( $page_viewed == "wp-login.php?pass=1" ) {
wp_redirect( home_url() );
exit;
}
}
add_action('init','redirect_login_page');
А эта функция не даст добраться к странице входа по адресу http://domen.ru/wp-login.php. Потому как тоже будет перенаправлять на главную страницу сайта, всех желающих перейти по этому адресу.
Редирект при нажатии на кнопку «Выйти»:
/*редирект после выхода из админ панели*/
function logout_page() {
$login_page = home_url( 'wp-admin' );
wp_redirect( $login_page . "?loggedout=true" );
exit;
}
add_action('wp_logout','logout_page');
Это нужно только для зарегистрированных пользователей. Чтобы после выхода в адресной строке не оставалось информационного мусора. Наглядно я показываю это в видеоуроке.
В итоге ваш файл функции темы будет выглядеть так:
Можете смело проверять. Попасть на страницу входа и в административную панель вы сможете только по адресу домена и имени файла, который вы создали в начале урока. В моём случае это 123.php.
Единственный момент, если ваш сайт установлен не в корневой папке, тогда после входа вы не будете перенаправляться в админ панель, а будете оставаться на главной странице сайта. При этом административная панель станет доступна в верхней части экрана (как обычно после авторизации и работе с сайтом).
А теперь предлагаю посмотреть наглядную инструкцию в видеоформате.
На этом я заканчиваю. Устанавливайте защиту на свои сайты и спите спокойно. Безусловно, если будут вопросы, обращайтесь в комментариях, я постараюсь помочь. Также советую обратить внимание на плагин Clearfy, который поможет защитить ваш сайт и устранить ещё два десятка ошибок.
Друзья, желаю вам удачи и хорошего настроения. До встречи в новых статьях.
С уважением, Максим Зайцев.
Если вы измените стандартную страницу входа на сайт wp-login.php на что-нибудь уникальное, злоумышленник не сможет подобрать логин и пароль к вашему сайту, так как он не найдет страницу, где можно это сделать.
В этой статье вы узнаете, как можно изменить страницу входа в админку Вордпресс и заблокировать доступ к стандартной странице входа wp-login.php с помощью плагина.
Плагины, которые могут изменить адрес страницы авторизации на сайте, можно разделить на 2 группы:
- Плагины, которые выполняют только эту задачу,
- Большие плагины безопасности, которые помогают не только с этой проблемой, но и со многими другими.
Как это можно сделать вручную с помощью кода без использования плагинов читайте здесь.
Содержание:
- WPS Hide Login
- WP Hide & Security Enhancer
- Cerber Limit Login Attempts
- All In One WP Security & Firewall
- iThemes Security (бывший Better WP Security)
WPS Hide Login
Легкий плагин, который меняет адрес страницы логина на сайт, и закрывает доступ к wp-login.php и wp-admin. Он не меняет название или содержание файлов в ядре Вордпресс, и не добавляет правила в .htaccess.
Плагин перехватывает обращение к wp-login.php или wp-admin и направляет запрос на новую страницу. После удаления плагина страница входа на сайт возвращается на wp-login.php.
WP Hide & Security Enhancer
Кроме страниц входа на сайт, плагин скрывает файлы ядра Вордпресс, пути к плагинам и темам и другие факты использования Вордпресс.
Cerber Limit Login Attempts
Плагин для ограничения попыток авторизации на сайте с функцией смены адреса страницы авторизации. Ограничивает использование XML-RPC или требует использование cookies для авторизации.
У плагина есть черные и белые списки, он может сообщать о событиях на сайте через е-мейл.
All In One WP Security & Firewall
Большой плагин безопасности сайта, в котором есть функция изменения страницы авторизации.
Переносит страницу входа на любую другую, ставит ошибку 404 на стандартную страницу wp-login.php.
iThemes Security (бывший Better WP Security)
Еще один большой плагин, в котором среди множества функций есть функция изменения страницы логина на сайт. Переносит страницу авторизации на любую другую и ставит переадресацию стандартной страницы wp-login.php на страницу 404 или на любую другую.
Заключение
Чтобы усилить безопасность сайта и защититься от других видов атак, используйте другие техники безопасности.
В Руководстве по безопасности Вордпресс все основные техники защиты сайта. Читайте и используйте на своем сайте.
Читайте также:
2 Способа изменить страницу входа в админку Вордпресс без использования плагинов
Надеюсь, статья была полезна. Оставляйте комментарии.
Содержание
- Зачем прятать вход в админку в WordPress
- Изменение страницы входа в Clearfy Pro
- Замена стандартного wp-admin плагином WPS Hade Login
Стандартный вход в административную панель WordPress осуществляется по двум адресам: https://site.ru/wp-admin и https://site.ru/wp-login.php, где site.ru – имя вашего сайта.
Об этом знают и злоумышленника, которые запускают вредоносное программы для подбора пароля от вашей админки. Результатом такой хакерской атаки может быть медленная работа сайта или еще хуже взлом ресурса.
Как еще можно попасть в панель управления сайтом, я писал в статье как зайти в админку WordPress и что делать, если забыли пароль
Конечно, можно создать надежный пароль, чтобы хоть как-то противостоять несанкционированному доступу, но нагрузка на сайт от этого не уменьшится. Здесь нужно решать проблему на корню, а именно – менять стандартный вход админки на свое название.
Начнем с самого быстрого способа изменения страницы входа в панель администратора WordPress.
Изменение страницы входа в Clearfy Pro
Большинство веб-мастеров уже повсеместно использую универсальный плагин Clearfy Pro, который решает множество задач, в том числе и защиту блога. Все преимущества этого плагина есть на официальном сайте разработчиков. Перейдем сразу к действиям.
Заходим в административную панель WordPress, в меню ищем Clearfy Pro, нажимаем на название, чтобы зайти. В окне плагина выбираем «Защита», включаем триггер «Спрятать wp-login.php» и вводим новое название второй половины адреса админки.
Обратите внимание, система предлагает уже сгенерированные имена. Можно воспользоваться автоматически сформированным названием, либо придумать свое. Только не используйте распространенные символы и словосочетания: 12345, 777, qaz, qwerty, login, admin и тому подобные. Вредоносные боты уже давно имеют базу с такими названиями и в первую очередь осуществляют подбор именно ним.
После всех действий проматываем в самый конец списка вкладки защиты и нажимаем «Сохранить изменения».
Теперь, при попытке входа в админ-панель по адресу https://site.ru/wp-admin/ — будет перенаправление на главную страницу сайта, а если попытаться войти через https://site.ru/wp-login.php — то появится ошибка с запретом доступа.
Замена стандартного wp-admin плагином WPS Hade Login
Установка WPS Hade Login – это бесплатное решение изменения страницы входа в административную панель WordPress. Плагин имеет более 1 миллиона скачиваний и много положительных отзывов.
В консоли находим пункт «Плагины» — выбираем «Добавить новый» и в строке поиска вводим WPS Hade Login. Плагин будет первым в списке, устанавливаем его и активируем.
Далее нужно настроить замену стандартного wp-admin на придуманное нами новое имя. В меню настроек находим наш плагин, кликаем на него и проматываем в самый низ. Меням URL входа на свой и задаем страницу, на которую будет перенаправлен злоумышленник, пытаясь зайти по стандартному wp-login.php.
Теперь вход в панель управления сайтом будет осуществляться по адресу, который знаете только вы. А если злоумышленник попытается попасть в админку стандартным путем с указанием имени вашего сайта — то увидит окно с несуществующей страницей.
Your WordPress address and site address (or URL) are very important as they reference both the address of your site on the web and the location of your site’s files and admin screens.
There are many reasons why you might need or want to change your WordPress URL. Perhaps you’re changing domains, moving to a subdomain, updating from www to non-www, moving files around, or even migrating from HTTP to HTTPS.
Whatever the case may be, there are a few options you have when it comes to changing the URL, some more advanced than others.
In this guide, we’ll show you the different methods you can use to change the URL of your WordPress installation and your WordPress site URL, which are two different things.
Prefer to watch the video version?
Change WordPress URL via the Admin Dashboard
The first and most common method is to change your WordPress URL directly from within the admin dashboard. In the admin menu, go to Settings > General to access the general settings screen. You can then update the following:
- WordPress Address (URL): The address to reach your site.
- Site Address (URL): The address of your WordPress core files.
Both should match unless you are giving WordPress its own directory. Remember that after you click Save Changes, your WordPress dashboard is now only accessible via the new URL. So be sure to check that you’ve entered the right URL.
If you do accidentally enter the wrong URL, you can override the settings in the admin screens by editing your wp-config.php file (was see the next method below).
Note: If the fields above are grayed out, it is most likely because you already have hard-coded values in your wp-config.php file. In which case, jump to the next method.
If you’re creating a fresh WordPress installation on Kinsta hosting, you will be given a temporary URL, such as sitename.kinsta.cloud. You can use the directions above to update the address.
You might also need to clear your WordPress cache after updating the URLs, otherwise you might receive a redirect error. If you’re a Kinsta client, you can clear your cache from the MyKinsta dashboard under the Tools section for your site.
Change WordPress URL in wp-config.php File
The second most common way to change your WordPress URL is in your wp-config.php file. It is important to note that values in wp-config.php override the settings in your WordPress admin screens.
If the fields aren’t editable (as seen below), it is most likely because they are hard-coded in this file.
The wp-config.php file is typically located in the root directory of your WordPress site and can be accessed via FTP, SSH, or WP-CLI.
In your wp-config.php file, add these two lines somewhere above the line that tells you to stop editing:
define( 'WP_HOME', 'http://yoursiteurl.com' );
define( 'WP_SITEURL', 'http://yoursiteurl.com' );Save your wp-config.php file and close it.
When you go to the General settings screen in your WordPress admin, you’ll see that those two fields are now grayed out. You can’t edit them unless you remove those two lines from wp-config.php.
If you want access to those settings in your dashboard again, all you need to do is remove them from your wp-config.php file.
Change WordPress URL Directly in Database
A third method you can use to change your WordPress URL is directly in the WordPress database. To do this, you use phpMyAdmin (which is accessible from your MyKinsta dashboard). This is usually done as a last resort.
In phpMyAdmin, click on your database on the left-hand side. Then scroll down and click on the “wp_options” table. If your database has a different prefix it might be named slightly differently, such as wp56_options.
Then find the site url and home fields. Double click in the option_value field for each and type in the new URL.
Your changes will automatically be saved.
Change WordPress URL With WP-CLI
A fourth option is to use the WordPress Command Line Interface (WP-CLI) to access your site and edit the URL.
You’ll need SSH access to your site (which is provided to all Kinsta customers) and you’ll need to be familiar with the process for accessing your site using WP-CLI.
If you are unfamiliar with WP-CLI you can check out our in-depth post on managing WordPress from the terminal.
The commands to edit your URL are as follows:
wp option update home 'http://yoursiteurl.com'
wp option update siteurl 'http://yoursiteurl.com'Change WordPress Login URL
Sometimes you might want to change the URL for your WordPress login but not for the live site.
Your login URL is normally your domain name followed by /wp-admin or /wp-login. But it’s possible to change it to something simpler to provide a better user experience for your users and clients or to brand your site admin and remove obvious reference to WordPress.
You can change the WordPress login URL manually or by installing a plugin.
Redirection After Changing WordPress Urls
After you change your WordPress URLs, you need to make sure that anyone using the old URL is redirected to the new URL and doesn’t get an error.
If you’re with Kinsta, you can set up redirection using MyKinsta. Follow our knowledgebase guide to redirection to learn how to do it and read our guide to redirect best practices to avoid redirect errors like ‘too many redirects‘ and find out how to set it up so it doesn’t impact your site’s performance.
You might also need to add redirects for individual posts or pages, although wildcard redirection is more likely.
If you’re not with Kinsta, find out if your hosting provider lets you set up wildcard redirection in your control panel.
Alternatively, you could use a plugin like Redirection to set up a wildcard redirection from your old domain name to your new one.
If you’re running Yoast premium on your site and you need to edit the URL of individual posts or pages, the plugin will automatically set up redirects for you, so you don’t need to do this manually. It also allows you to set up Regex redirects which you can use when you change your site URL, if you know what you’re doing. Our in-depth guide to redirects explains how Regex redirects work.
Summary
If you need to change your WordPress URL because you’ve switched domains or you’re transferring to HTTPS, you have a number of methods you can use to do it.
You can change the settings in the WordPress admin, hardcode them in your wp-config.php file, edit the database, or use WP-CLI. Work through the methods above to find the one that works for your site, and you’ll have your new WordPress URL working in no time.
Get all your applications, databases and WordPress sites online and under one roof. Our feature-packed, high-performance cloud platform includes:
- Easy setup and management in the MyKinsta dashboard
- 24/7 expert support
- The best Google Cloud Platform hardware and network, powered by Kubernetes for maximum scalability
- An enterprise-level Cloudflare integration for speed and security
- Global audience reach with up to 35 data centers and 275 PoPs worldwide
Test it yourself with $20 off your first month of Application Hosting or Database Hosting. Explore our plans or talk to sales to find your best fit.
Your WordPress address and site address (or URL) are very important as they reference both the address of your site on the web and the location of your site’s files and admin screens.
There are many reasons why you might need or want to change your WordPress URL. Perhaps you’re changing domains, moving to a subdomain, updating from www to non-www, moving files around, or even migrating from HTTP to HTTPS.
Whatever the case may be, there are a few options you have when it comes to changing the URL, some more advanced than others.
In this guide, we’ll show you the different methods you can use to change the URL of your WordPress installation and your WordPress site URL, which are two different things.
Prefer to watch the video version?
Change WordPress URL via the Admin Dashboard
The first and most common method is to change your WordPress URL directly from within the admin dashboard. In the admin menu, go to Settings > General to access the general settings screen. You can then update the following:
- WordPress Address (URL): The address to reach your site.
- Site Address (URL): The address of your WordPress core files.
Both should match unless you are giving WordPress its own directory. Remember that after you click Save Changes, your WordPress dashboard is now only accessible via the new URL. So be sure to check that you’ve entered the right URL.
If you do accidentally enter the wrong URL, you can override the settings in the admin screens by editing your wp-config.php file (was see the next method below).
Note: If the fields above are grayed out, it is most likely because you already have hard-coded values in your wp-config.php file. In which case, jump to the next method.
If you’re creating a fresh WordPress installation on Kinsta hosting, you will be given a temporary URL, such as sitename.kinsta.cloud. You can use the directions above to update the address.
You might also need to clear your WordPress cache after updating the URLs, otherwise you might receive a redirect error. If you’re a Kinsta client, you can clear your cache from the MyKinsta dashboard under the Tools section for your site.
Change WordPress URL in wp-config.php File
The second most common way to change your WordPress URL is in your wp-config.php file. It is important to note that values in wp-config.php override the settings in your WordPress admin screens.
If the fields aren’t editable (as seen below), it is most likely because they are hard-coded in this file.
The wp-config.php file is typically located in the root directory of your WordPress site and can be accessed via FTP, SSH, or WP-CLI.
In your wp-config.php file, add these two lines somewhere above the line that tells you to stop editing:
define( 'WP_HOME', 'http://yoursiteurl.com' );
define( 'WP_SITEURL', 'http://yoursiteurl.com' );Save your wp-config.php file and close it.
When you go to the General settings screen in your WordPress admin, you’ll see that those two fields are now grayed out. You can’t edit them unless you remove those two lines from wp-config.php.
If you want access to those settings in your dashboard again, all you need to do is remove them from your wp-config.php file.
Change WordPress URL Directly in Database
A third method you can use to change your WordPress URL is directly in the WordPress database. To do this, you use phpMyAdmin (which is accessible from your MyKinsta dashboard). This is usually done as a last resort.
In phpMyAdmin, click on your database on the left-hand side. Then scroll down and click on the “wp_options” table. If your database has a different prefix it might be named slightly differently, such as wp56_options.
Then find the site url and home fields. Double click in the option_value field for each and type in the new URL.
Your changes will automatically be saved.
Change WordPress URL With WP-CLI
A fourth option is to use the WordPress Command Line Interface (WP-CLI) to access your site and edit the URL.
You’ll need SSH access to your site (which is provided to all Kinsta customers) and you’ll need to be familiar with the process for accessing your site using WP-CLI.
If you are unfamiliar with WP-CLI you can check out our in-depth post on managing WordPress from the terminal.
The commands to edit your URL are as follows:
wp option update home 'http://yoursiteurl.com'
wp option update siteurl 'http://yoursiteurl.com'Change WordPress Login URL
Sometimes you might want to change the URL for your WordPress login but not for the live site.
Your login URL is normally your domain name followed by /wp-admin or /wp-login. But it’s possible to change it to something simpler to provide a better user experience for your users and clients or to brand your site admin and remove obvious reference to WordPress.
You can change the WordPress login URL manually or by installing a plugin.
Redirection After Changing WordPress Urls
After you change your WordPress URLs, you need to make sure that anyone using the old URL is redirected to the new URL and doesn’t get an error.
If you’re with Kinsta, you can set up redirection using MyKinsta. Follow our knowledgebase guide to redirection to learn how to do it and read our guide to redirect best practices to avoid redirect errors like ‘too many redirects‘ and find out how to set it up so it doesn’t impact your site’s performance.
You might also need to add redirects for individual posts or pages, although wildcard redirection is more likely.
If you’re not with Kinsta, find out if your hosting provider lets you set up wildcard redirection in your control panel.
Alternatively, you could use a plugin like Redirection to set up a wildcard redirection from your old domain name to your new one.
If you’re running Yoast premium on your site and you need to edit the URL of individual posts or pages, the plugin will automatically set up redirects for you, so you don’t need to do this manually. It also allows you to set up Regex redirects which you can use when you change your site URL, if you know what you’re doing. Our in-depth guide to redirects explains how Regex redirects work.
Summary
If you need to change your WordPress URL because you’ve switched domains or you’re transferring to HTTPS, you have a number of methods you can use to do it.
You can change the settings in the WordPress admin, hardcode them in your wp-config.php file, edit the database, or use WP-CLI. Work through the methods above to find the one that works for your site, and you’ll have your new WordPress URL working in no time.
Get all your applications, databases and WordPress sites online and under one roof. Our feature-packed, high-performance cloud platform includes:
- Easy setup and management in the MyKinsta dashboard
- 24/7 expert support
- The best Google Cloud Platform hardware and network, powered by Kubernetes for maximum scalability
- An enterprise-level Cloudflare integration for speed and security
- Global audience reach with up to 35 data centers and 275 PoPs worldwide
Test it yourself with $20 off your first month of Application Hosting or Database Hosting. Explore our plans or talk to sales to find your best fit.
Доброго времени суток!
В этой статье я бы хотел рассказать про двенадцать шагов по защите админки WordPress.
Вообще, безопасность, самая популярная тема, но ней очень многие пренебрегают.
С WordPress очень легко создать блог или веб-сайт.
Тем не менее, бывают случаи (число которых увеличивается с каждым днем), когда люди страдают из-за того, что не обращают внимания на функции безопасности веб-сайта или блога WordPress.
Есть масса случаев, когда вы заглядываете на сайты фрилансеров, где сайты и блоги людей взламывают, и они просят помочь им.
Эти инциденты показывают, что, когда вы не обращаете внимания на безопасность своего веб-сайта WordPress, есть вероятность, что он может быть атакован хакерами.
Чтобы избежать этих случаев, вам необходимо защитить свою админку WordPress и страницу входа в систему.
В этой статье я собираюсь предоставить вам информацию о способах и шагах по защите самой сложной области вашего сайта WordPress, «административной области WordPress».
Давайте начнем.
Почему разумно изменить URL-адрес страницы входа
URL-адрес вашей страницы входа в WordPress (или «URL-адрес администратора») — это веб-адрес, который вы посещаете, когда хотите получить доступ к внутренней части вашего веб-сайта.
Вы знаете эту страницу — если вы не настроите страницу входа, она будет выглядеть примерно так …
По умолчанию все сайты WordPress используют идентичные структуры URL-адресов для этой страницы.
Например, если домен вашего веб-сайта «www.mysite.com», вы можете войти в систему, посетив «www.mysite.com/wp-login.php» или «www.mysite.com/wp-admin».
Это позволяет легко запомнить, как получить доступ к вашему сайту.
Однако недостатком является то, что любой, кто знает о WordPress первое, может быстро найти вашу страницу входа.
Как только они его обнаружат, хакеры могут попытаться взломать его.
С другой стороны, если вы измените URL-адрес на что-то, что трудно угадать, вы замедляете работу тех же хакеров, затрудняя поиск вашей страницы входа.
Кроме того, изменение URL-адреса страницы входа имеет дополнительное преимущество, так как оно может устранить значительный расход ресурсов ботов на ваш сайт.
1. Измените имя пользователя администратора по умолчанию и выберите надежный пароль.
Если вы устанавливаете WordPress, никогда не позволяйте учетной записи администратора по умолчанию быть как «admin».
Это настолько предсказуемо, чтобы попытаться провести атаку перебором паролей или любую другую атаку.
Выберите надежный пароль
Здесь, даже если вы измените свое имя пользователя «admin» как «iamadmin», это может создать чертовски большую разницу и избавить вас от множества проблем.
Но не используйте это имя, это пример, чтобы показать, как изменение имени администратора может иметь значение.
Что касается паролей, всегда следуйте руководству WordPress.
Когда вы вводите пароль под полем ввода, он показывает, насколько надежен ваш пароль.
Всегда делайте свой пароль надежным в этом отношении.
Теперь, даже если ваш веб-сайт не предоставляет хакеру никаких финансовых привилегий, это не мешает хакеру попытаться получить доступ к вашему сайту.
Позвольте мне представить вам простой сценарий, который довольно часто встречается на сайтах WordPress.
Взгляните на рисунок ниже:
Атака перебором паролей админки WordPress
Как видите, попытки взлома одного веб-сайта WordPress совершаются за один день.
Итак, как видно из рисунка, все попытки блокировки нацелены на имя пользователя «admin».
Итак, я думаю, что здесь я изложил свою точку зрения.
Возникает вопрос, почему они продолжают попытки?
Одна из наиболее ведущих и наиболее преобладающих причин заключается в том, что «WordPress не имеет запретительного основного правила ни для одного из атакующих».
Так что, если вы ничего не сделаете, они не перестанут пытаться.
Это подводит нас к следующему пункту.
2. Создайте настраиваемые ссылки для входа
Совершенно очевидно, что для доступа к административной панели WordPress все, что нужно сделать, это ввести URL-адрес сайта с «/wp-login.php» на конце.
Теперь, если вы использовали один и тот же пароль более чем в одном месте, и он оказался под угрозой, хакеру будет легко взломать ваш сайт.
Плагин под названием «Stealth Login» позволяет создавать пользовательские URL-адреса для входа, выхода, администрирования и регистрации для вашего блога WordPress.
Вы также можете включить «Скрытый режим», который предотвратит прямой доступ пользователей к «wp-login.php».
Затем вы можете установить более загадочный URL-адрес для входа.
Это не обеспечит идеальной защиты вашего веб-сайта, но если кому-то удастся взломать ваш пароль, им будет сложно найти, где на самом деле войти в систему.
Это также предотвращает доступ любых ботов, которые используются для злонамеренных действий, к вашему файлу «wp-login.php», пытаясь прорваться.
Изменить URL для входа
3. Ограничьте количество попыток входа в систему
В конце предыдущего пункта я сказал, что WordPress не запрещает никому из пользователей безуспешно пытаться войти в учетную запись.
Следовательно, вы должны ограничить вход в свою административную область и заблокировать пользователя.
Например на какое то определенное время, иначе он будет бесконечно пытаться угадать доступы для вашего блога или сайта WordPress.
Для этой цели вы можете использовать такие плагины, как Wordfence Security, WP Limit Login Attempts и Login LockDown.
Ниже приведен снимок экрана с WP Limit Login, поскольку я в настоящее время его использую и вам рекомендую.
Итак, когда вы вводите неправильные учетные данные, это выглядит так:
Ограничить попытки входа в систему
Запрет на слишком много попыток входа
Перейдем к следующему пункту:
4. Принудительно использовать SSL на страницах входа и в области администратора
Бывают случаи, когда вы входите на свой сайт WordPress через общедоступную сеть.
Это один из случаев, когда вы можете подвергнуться атаке «Man-in-the-middle attacks».
Хакеры могут прослушивать трафик и получать доступ к вашему HTTP-запросу.
Получив доступ к вашему запросу в WordPress, они смогут увидеть ваши учетные данные WordPress в виде обычного текста.
Этого можно избежать, используя вход через SSL. Вход через SSL позволяет вашему сайту WordPress быть доступным через HTTPS.
Обычно ваши услуги хостинга предоставляют это в вашей подписке.
Если нет, то вам нужно купить сертификат SSL и установить его на сервере вашего сайта.
Возможно, вы захотите проверить некоторые варианты в некоторых магазинах сертификатов SSL, таких как Cheap SSL Shop.
Если у вашего веб-сайта уже есть сертификат SSL и он работает по протоколу HTTPS, откройте файл «wp-config.php» и отредактируйте его, вставив следующий код:
// Используйте SSL (HTTPS) для страницы входа в систему.
define('FORCE_SSL_LOGIN', true);
// Используйте SSL (HTTPS) для всей административной области.
define('FORCE_SSL_ADMIN', true);
Константа «FORCE_SSL_LOGIN» гарантирует, что страница входа открывается только по HTTPS.
И константа «FORCE_SSL_LOGIN» ставит на второе место безопасное соединение во всей админке WordPress.
5. Защита паролем каталога «wp-admin»
Нет ничего плохого в наличии двух паролей.
Это просто добавляет еще один уровень безопасности в вашу админку WordPress.
Также это можно сделать с помощью плагина под названием «AskApache Password Protect».
Он шифрует ваш пароль и создает файл «.htpasswd», а также устанавливает правильные разрешения для файлов с повышенной безопасностью для всех.
Вы также можете использовать защиту паролем cPanel для каталога, если вы используете веб-хост cPanel для защиты каталога «wp-admin» паролем.
Защита паролем админки WordPress
6. Установите CAPTCHA на странице входа
Использование CAPTCHA в области администрирования может снизить количество попыток взлома, поскольку это предотвращает автоматические сценарии перебора паролей или любую другую автоматическую возможность атаки на вашу страницу входа.
Перейдите на панель управления, затем в «Плагины — Добавить новый» и введите «CAPTCHA».
Вы получите множество плагинов WordPress для включения CAPTCHA на странице входа в систему.
В настоящее время я использую плагин Captcha от BestWebSoft.
У этого плагина более 7 000 активных установок и хороший рейтинг.
Этот плагин создает новую область на вашей странице входа.
Простая активация этого плагина создаст изображение CAPTCHA, без которого никто не сможет войти в систему, даже зная имя пользователя и пароль.
Это эффективно блокирует автоматизированные атаки методом перебора паролей.
Взгляните на приведенный скриншот утилиты плагина.
Использование CAPTCHA для входа в систему
Помимо этого, вы также можете выбрать плагины капчи, такие как «Really Simple CAPTCHA», «Login No Captcha reCAPTCHA» и «Captcha Code».
7. Удалите сообщение об ошибке на странице входа в систему
Когда вы вводите неправильный пароль или неверное имя пользователя, вы получаете сообщение об ошибке на странице входа.
Поэтому, если хакер делает что-то правильно, сообщение об ошибке поможет ему определить это.
Поэтому вам следует полностью удалить это сообщение об ошибке.
Открой свой файл «functions.php», найдя его в папке вашей темы и вставьте следующий код:
add_filter('login_errors',create_function('$a', "return null;"));
Плагин «Secure WordPress» также выполняет это и имеет другие функции. И вот результат:
Удалите сообщения об ошибках входа в систему
8. Разрешить вход только с определенных IP-адресов
Прежде чем продолжить этот момент, я хочу внести ясность.
Я рекомендую этот шаг только тем, у кого статический IP-адрес.
Если вы знаете свой IP-адрес, добавьте его в белый список, используя файл «.htaccess» из вашей папки «wp-admin».
Тем не менее, вы можете разрешить многим IP-адресам входить в вашу админку, но все же я рекомендую только владельцам статических IP-адресов.
Чтобы внести IP-адрес в белый список, вам нужно открыть папку «wp-admin», отредактировать файл с именем «.htaccess» и просто добавить следующие коды:
order deny, allow # Замените 99.99.99.99 на желаемый IP-адрес allow from 99.99.99.99 # Разрешите большему количеству IP-адресов доступ к области wp-admin, расскомментировав строку ниже и отредактировав IP-адрес # allow from 98.98.98.98 deny from all
Как видите, измените 99.99.99.99 на желаемый IP-адрес, аналогично и для второго IP-адреса.
Если вы не добавите IP-адрес и они попытаются получить доступ к вашей админке, они получат следующее сообщение:
Заблокировать доступ по IP-адресу
9. Добавьте дополнительный уровень с помощью двухфакторной аутентификации
Вы можете использовать двухфакторную аутентификацию, чтобы добавить дополнительный уровень безопасности в админку WordPress.
Чтобы применить его на своем веб-сайте, вам просто нужно установить и активировать плагин.
При поиске двухфакторной аутентификации на странице плагинов веб-сайта WordPress вы увидите следующие результаты:
Плагины двухфакторной аутентификации
10. Используйте зашифрованный пароль для входа
Если у вас не включен SSL, этот метод пригодится.
Существует плагин, который позволяет вам выполнять эту работу, и он называется «Semisecure Login Reimagined».
«Semisecure Login Reimagined» повышает безопасность процесса входа в систему с помощью открытого ключа RSA для шифрования пароля на стороне клиента, когда пользователь входит в систему.
Затем сервер расшифровывает зашифрованный пароль с помощью закрытого ключа.
Для включения шифрования требуется JavaScript.
11. Одноразовый пароль
Плагин «WP-OTP» позволяет вам войти в свой блог WordPress, используя пароли, действительные только для одного сеанса.
Одноразовые пароли предотвращают кражу вашего основного пароля WordPress в менее надежных средах, таких как интернет-кафе, например, с помощью клавиатурных шпионов.
12. Обновите WordPress до последней версии
И последнее, но не менее важное — это оставаться в курсе последних версий WordPress, потому что после выпуска каждой версии WordPress также выпускает ошибки и эксплойты предыдущей версии, что подвергает вашу админ-панель риску, если вы не обновитесь.
Подведем итоги этой статьи
WordPress очень прост в использовании, и поэтому он всем нравится.
Но мы забываем, что эта простота функциональности может быть жестокой, если кто-то другой обнаружит доступ к вашему сайту.
Итак, я рекомендую выполнить все шаги, которые я упомянул выше в статье.
Кроме того, использовать эту технику на удивление просто.
Фактически, это займет у вас всего несколько минут, если вы воспользуетесь правильным инструментом.
Установив такой плагин, как «WPS Hide Login», вы можете изменить URL-адрес своей страницы входа в настройках панели управления и увидеть, как изменения вступят в силу немедленно.
Знаете ли вы какие-либо альтернативные способы найти логин администратора WordPress?
Если у вас возникнут какие-либо проблемы, просто дайте мне знать через комментарии, и я помогу вам решить эту проблему.
На этой ноте я буду заканчивать.
Не забудьте подписаться на рассылку новых статей по WordPress.
До скорых встреч и берегите себя!
Оцените статью:
(+1 баллов, 1 оценок)
Загрузка…
Занимаюсь созданием сайтов на WordPress более 7 лет. Работал в нескольких веб-студиях, да и сейчас работаю. Иногда подрабатываю на фрилансе — как на нашем, так и на зарубежном. Везде зарекомендовал себя очень хорошо. Если нужен сайт на WordPress, шаблон для сайта или лендинг — не стесняйтесь, пишите. Рад буду помочь!
Хотите сделать первый для защиты своего сайта? Первым делом опытные веб-мастера советуют начать с защиты страницы входа WordPress. Разберем как это сделать.
Админ панель ВордПресс позволяет выполнять большую часть управления сайтом. С ее помощью вы можете создавать/редактировать контент, устанавливать/удалять плагины, работать с зарегистрированными пользователями, получать какую-то статистику по работе сайта и пр.
Зачем прятать админку?
По умолчанию, в WordPress для входа в административную панель используются следующие адреса:
https://site.ru/wp-admin/ https://site.ru/wp-login.php
Вроде бы ничего страшного, правда? Но, к сожалению, существует зловредное программное обеспечение, которое, зная адрес вашей админки, может внести вред работе всего сайта. Например, запустить подбор паролей и получить доступ к управлению всем сайтом.
Существует несколько способов добиться того, чтобы вход в админ-панель вашего сайта осуществлялся по другому, заданному вами, адресу. Будем использовать решения, которые решат задачу в один клик. Вам не придется писать ни одной строчки кода, а достаточно будет просто установить/активировать и указать нужный адрес.
Плагин Rename wp-login.php
Итак, после установки и активации плагина Rename wp-login.php, сразу “перекинет” на страницу Настройки > Постоянные ссылки, где Вы сможете вписать тот адрес, по которому необходимо будет заходить в администраторскую панель.
По умолчанию плагин предлагает вход в админку по адресу
http://site.ru/login
Теперь, пытаясь перейти по адресу
http://site.ru/wp-login.php
Вы получите 404 ошибку, т.е. что страница недоступна.
Вы можете задать произвольную ссылку, например, 12345 или secret-area.
Конечно, защита сайта не ограничивается только переименованием адреса входа в админ-панель, но в комплексе с другими решениями поможет защитить ваш сайт от нехорошего влияния.
Плагин WPS Hide Login
Это еще одно бесплатное решение чтобы сменить страницы авторизации.
После установки и активации перейдите Настройки > Общие и прокрутите страницу в самый низ.
В опции URL входа укажите новую страницу входа.
В настройке Redirection url задайте адрес, на который будет перенаправлен пользователь, отрывший страницу логина по умолчанию.
Плагин Clearfy Pro
Clearfy Pro – это платное дополнение для улучшения работы сайта. Среди его функций – изменение адреса страницы авторизации WP.
Если у вас активирован этот плагин, просто откройте раздел Clearfy Pro, перейдите на вкладку Защита. В опции Спрятать wp-login.php укажите новый секретный адрес.
Активировать промокод на 15%
В продолжении темы защиты админки мы разработали бесплатный онлайн-генератор htpasswd для дополнительной авторизации.
Нажмите, пожалуйста, на одну из кнопок, чтобы узнать понравилась статья или нет.
Здравствуйте дорогие друзья! Недавно, от службы поддержки хостинга мне пришло письмо о том, что блог подвергся брут атаке подбора пароля, и они сменили страницу входа.
Спустя несколько дней страница перестала работать, и я обратился к ним с этим вопросом. Ответили мне довольно быстро. Написали, что восстановили стандартную страницу входа и попросили как можно быстрее ее сменить.
Выяснилось, что в последнее время участились атаки по подбору пароля к панелям администраторов CMS WordPress и Joomla. Злоумышленники используют десятки тысяч IP-адресов, что дает им большое преимущество.
Пользователи Joomla могут дополнительно защитить свой сайт, установив на папку administrator логин и пароль. Как это сделать уточните у своего хостера.
Тем, кто использует WordPress, рекомендую менять стандартную страницу логина (wp-login.php) вручную или с помощью плагина.
Сначала хотел предложить пару плагинов, но перепробовав несколько на тестовом сайте, понял, что зря убил время. Не устроило следующее:
- Плагины давали больше возможностей, чем мне было необходимо.
- Работа плагинов не устраивала. Она зависела, например, от того установлен блог в поддиректорию или директорию.
- Нужно много времени на поиск и тестирование работы плагина.
Думаю, вы также помните, что я не приветствую плагины, поэтому разберем, как изменить адрес входа в админку WordPress вручную.
wp-login.php находится в корневой папке WordPress.
Для того, чтобы переименовать файл wp-login.php (тем самым изменить страницу входа) вам потребуется:
- Измените название файла wp-login.php на свое (например, 123-abc.php)
- Скопируйте это название, откройте переименованный файл 123-abc.php и с помощью текстового редактора замените все слова wp-login.php на 123-abc.php.
- Откройте файл wp-includes/general-template.php и также произведите замену всех wp-login.php на 123-abc.php.
После этих несложных манипуляций адресная строка входа в панель администратора изменится с https://site.ru/wp-login.php на https://site.ru/123-abc.php
Если вы используете стандартный виджет «Мета» — удалите его, так как при наведении на ссылку «Войти» виден URL страницы входа, которую вы изменили.
Этими действиями мы изменили адрес админ-панели, а далее я расскажу «Как скрыть URL входа админ-панели WordPress«.
Вот такой, маленький по объему, но надеюсь полезный по содержанию пост.
Часть 1. Смена адреса входа и пароля
Здравствуйте, уважаемый читатель!
Сегодняшняя статья посвящена такому простому с первого взгляда действию, как вход в админку WordPress. Эта статья открывает серию статей, посвященных особенностям работы с CMS WordPress. Несмотря на простоту использования, движок WordPress – это сложная многофайловая система. Научиться работать с ним легко, основы можно освоить за час, но постепенно, в процессе работы с движком, раскрываются все его тонкости, дающие новые возможности. Познавая их, вы переходите от уровня новичка до уровня профессионала. Я постараюсь сделать этот переход быстрее, поэтому предлагаю подписаться на обновления блога, чтобы не пропустить выход новых статей.
Чтобы управлять сайтом на движке WordPress, используется административная панель или, как ее чаще называют, админка.
В этой статье я хочу подробно рассмотреть следующие вопросы:
- Как войти в админку WordPress?
- Как изменить адрес входа?
- Как поменять пароль?
- Как восстановить пароль?
- Как придумать хороший пароль и где его хранить?
- Как поменять логин?
- Что делать, если вы работали на чужом компьютере?
- Защита админки от несанкционированного доступа.
- Как поменять логин и пароль через phpMyAdmin?
Как войти в админку WordPress?
Сайт на WordPress можно условно разделить на две зоны – пользовательская, которую видят посетители сайта, они ничего не могут изменить, кроме добавления комментариев, и административная, войти в которую могут только пользователи с определенными правами.
В системе WordPress используется 5 типов пользователей. Вот их список в порядке убывания прав:
- Администратор – все права. Он может добавлять, удалять и редактировать страницы и записи, добавлять медиафайлы, устанавливать и удалять плагины, редактировать виджеты, вносить изменения в коды файлов движка и т. д.
- Редактор – создавать, редактировать, публиковать, удалять весь контент блога (записи, страницы), загружать медиафайлы.
- Автор – создавать, редактировать, публиковать, удалять только свой контент, загружать медиафайлы.
- Участник – создавать и редактировать свой контент.
- Подписчик – посетители блога. Имеют право, читать и комментировать контент.
По умолчанию, чтобы войти в админку WordPress только что установленного сайта, нужно к его адресу через «слэш» («/») добавить «wp-admin» или «wp-login.php», то есть адрес для входа может быть таким:
http://site.ru/ wp-admin или
http://site.ru/ wp-login.php, в случае, если адрес сайта имеет домен второго уровня,
http://site.domen.ru/ wp-admin или
http://site.domen.ru/ wp-login.php, в случае, если сайт установлен на поддомене, и
http:// site. ru/ papka/wp-admin или
http://site.domen.ru/ papka/wp-login.php, если сайт находится в отдельной папке на вашем хостинге, что бывает нечасто.
После ввода соответствующего адреса открывается страница с полями для ввода логина и пароля. После их заполнения можно попасть в админку WordPress.
Как изменить адрес ввода.
Конечно, админка WordPress – это «святая святых» сайта, и посторонние не должны туда попадать. Поэтому необходимо ее защитить от несанкционированного доступа. Первый шаг для этого – смена адреса входа. Сделать это можно несколькими способами. Я рекомендую использовать плагин iThemes Security. Инструкцию по настройке этого плагина можно скачать по этой ссылке.
Изменить адрес входа можно и другими плагинами. Например, с помощью плагина HC Custom WP-Admin URL можно быстро адрес страницы входа. Плагин BM Custom Login позволяет не только изменить адрес входа, но и разработать собственный дизайн этой страницы. Stealth Login – плагин, который позволяет изменить адрес для страницы авторизации, Hide login дает возможность создавать собственные адреса страниц для входа в систему, администрирования и регистрации для вашего блога WordPress, Плагин wSecure Authentication, также помогает пользователям WordPress скрыть страничку входа (wp-login.php, wp-admin) в панель управления вашим сайтом.
Изменить адрес входа в админку WordPress можно и без использования плагинов. Для этого нужно переименовать файл wp-login.php. Как это сделать, пока описывать не буду, так как пока писал этот пункт, понял, что на эту тему нужно писать отдельную статью.
Как поменять пароль.
Для повышения надежности защиты сайта пароль для входа в админку WordPress нужно периодически менять. Сделать это просто. Входим в административную панель, в меню слева находим пункт Пользователи → Ваш профиль
и заполняем два поля для нового пароля.
Сохраняем изменения, выходим из админки, и теперь для входа нужно вводить уже новый пароль.
Как восстановить пароль.
Если вы вдруг забыли пароль для входа в админку WordPress, достаточно легко получить новый. На странице входа есть ссылка «Забыли пароль?».
Щелкните по ней, откроется новое окно с полем для ввода адреса электронной почты, который вы указали при заполнении своего профиля.
заполните это поле и нажмите Получить новый пароль. Вам на указанный адрес придет письмо с просьбой подтвердить создание нового пароля. После подтверждения вы сможете ввести новый пароль, которым и будете пользоваться.
Как придумать хороший пароль.
Во-первых, что такое хороший пароль?
Пароль должен быть таким, чтобы его было трудно подобрать. Как же сделать его таким?
- Не нужно в качестве пароля выбирать слова, имеющие смысл. Например, имена, фамилии, даты рождения, доменные имена и т. п.
- Пароль должен быть достаточно длинным, обычно для админки WordPress рекомендуют не менее 7 символов.
- Используйте в пароле кроме букв цифры и спецсимволы (#, ^, &, *, % …)
- Чередуйте регистр (используйте маленькие и большие буквы).
Чтобы облегчить работу по созданию паролей, можно использовать специальные программы. Например, программа KeePass имеет встроенный генератор паролей. Если набрать в поиске «Генератор паролей», то вы получите множество ссылок на программы, создающие пароли и онлайн-сервисы для этого.
Как изменить логин.
По умолчанию, после установки WordPress имя пользователя всегда одно и то же – «admin». Это упрощает взлом сайта, так как подбирать нужно только пароль. Поэтому сразу же после установки рекомендуется сменить логин администратора. Сделать это можно или через админ-панель, создавая нового пользователя, или с помощью плагина iThemes Security. Как это сделать, я уже писал в предыдущей статье. При выборе логина старайтесь сделать его, как и пароль, более сложным и уникальным.
Использование чужого компьютера.
Бывает, что приходится работать со своим сайтом, используя чужой компьютер, но современные браузеры имеют возможность запоминать введённые логины и пароли. Да, это удобно, если вы работаете на своем, домашнем компьютере, доступа к которому у посторонних нет. Но такая особенность становится ненужной и даже опасной при использовании ПК, к которому имеют доступ другие люди. Поэтому при работе с такого компьютера следует соблюдать определенные меры предосторожности:
- Если система предлагает вам сохранить пароль, следует отказываться.
- Не забывать выходить из админки по окончании работы с блогом.
- Зайти в настройки браузера и почистить историю, удалить вводившиеся логины и пароли. Например, для браузера Google Chrome чтобы открыть настройки, нужно щелкнуть на значке в правом верхнем углу
В настройках выбрать вкладку История → Очистить историю
Указать период времени, за который вы хотите удалить информацию, и удаляемые элементы. Для нас важно Пароли и Данные для автозаполнения.
На этом пока остановлюсь.
Подпишитесь на обновления, чтобы не пропустить продолжение.
Продолжение следует. В нем будут описаны более продвинутые методы защиты админки WordPress от несанкционированного доступа.
Как изменить адрес входа в админ панель WordPress
Дело в том, что взломать сайт хотят не обязательно посетители Вашего сайта или Ваш злейший враг. Это делают различные боты, которые созданы для того, чтобы потом на сайте размещать свои ссылки или спам комментарии, без удаления. Даже если сейчас у Вас с сайтом все хорошо, то можете для интереса посмотреть на логи в админчасти управления хостингом, если Ваш хостер дает такую возможность. Если увидите там что какой-то адрес, пытающийся по несколько раз в секунду зайти по адресу:
ваш_сайт.com/wp-admin
ваш_сайт.com/wp-login.php
Это означает, что скорее всего, какой-то бот подбирает пароли для доступа к Вашему сайту. По своему опыту скажу, что такое у меня лично бывает 1 — 2 раза в неделю. Я периодически посматриваю логи и если обнаруживаю IP адрес, который грузит сайт обращениями к админке по несколько раз в секунду, сразу блокирую ему доступ к сайту через .htaccess. Как это делать читайте в этой статье
Когда у Вас разрешена регистрация на сайте, значит Ваши посетители имеют доступ к странице входа и тогда нужно контролировать вот таким методом. Но есть еще один способ.
Он хорошо подходит когда есть возможность регистрации и еще лучше когда ее нет. Тогда к странице входа будете иметь доступ только Вы. Суть способа в том, чтобы изменить те адреса доступа к странице входа, что указаны Выше, на свой, абсолютно уникальный.
Если разрешите регистрацию, то конечно посетители будут знать этот адрес, но боты, которые настроены на стандартные страницы, отпадут сразу. Если регистрации нет, кроме Вас никто не попадет на страницу 100%. Чтобы изменить адрес входа на сайт WordPress, нужно открыть файл .htaccess в корне сайта, потом в конце него добавьте код, который указан ниже.
# BEGIN Hide console URL
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^custom_admin_url/?$ /wp-login.php?your_secret_key&redirect_to=/wp-admin/ [R,L]
RewriteRule ^custom_admin_url/?$ /wp-admin/?your_secret_key [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax.php
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/wp-login.php
RewriteCond %{HTTP_REFERER} !^(.*)yoursite.com/custom_admin_url
RewriteCond %{QUERY_STRING} !^your_secret_key
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?your_secret_key [R,L]
</IfModule>
# END Hide console URL
Чтобы все заработало, нужно заменить несколько элементов. Они встречаются по несколько раз, так что будьте внимательны.
- custom_admin_url – это Ваш новый URL — адрес входа в админчасть и просто входа на сайт. Придумайте свой адрес. Например myadmin и тд.
- yoursite.com – адрес вашего сайта, без http://. Меняем на свой.
- your_secret_key – это нужно заменить на придуманный Вами секретный ключ. Это должна быть строка из букв и цифр написанных в случайном порядке.Например heirwzjzxeovs154ui и тд.
Теперь страница входа будет доступна по адресу ваш_сайт.com/custom_admin_url, в конце ваша новая ссылка, например — ваш_сайт.com/myadmin.
ОЧЕНЬ ВАЖНО! Иногда метод не работает. Я проверил на 2 разных хостингах, на одном сработало на втором нет. Пока что решить проблему, почему не везде работает, мне не удалось.
27.04.2016 Есть еще способ и суть его в том, чтобы изменить название самого файла. Сначала полностью закрываем доступ к wp-login.php. Чтобы этого сделать, добавьте в .htaccess следующий код:
<Files wp-login.php> Order Deny,Allow Deny from all </Files>
Теперь в корне сайта, найдите файл wp-login.php и сделайте его копию. Копию нужно переименовать, например mylog.php. Потом открываем новый mylog.php и внутри него везде где встречается wp-login.php меняем на mylog.php. Теперь чтобы войти, нужно вбивать в адресной строке — ваш_сайт.com/mylog.php.
Возможно, после обновления WordPress, если поменяется содержимое внутри — wp-login.php, придется повторить процедуру. Но пока код не поменяяется, все будет работать. Так же иногда нет возможности выйти из учетной записи.
Теперь когда, кто-то будет пытаться зайти по старым адресам ваш_сайт.com/wp-admin и ваш_сайт.com/wp-login.php, будет попадать на страницу с 404 ошибкой. Зайти можно только по новой ссылке.
Кому поможет, буду рад, у кого не получится, возможно Вы найдете решение и поделитесь своим достижением 🙂
На этом все, спасибо за внимание. 🙂
Как я изменил адрес админки блога wordpress за 3 минуты
Изменить адрес админки WordPress оказалось довольно просто, даже не представлял себе, что это возможно сделать за 3 минуты и… для этого необходимо отредактировать всего 2 файла.
Но для начала пару слов напишу, чтобы Вы осознавали некоторые проблемы управления блогом после изменения адреса администраторского раздела блога:
- Вы может банально забыть новый адрес, и увидев 5 раз 404 страницу, подумаете, что Ваш блог взломан, уворован, хостер упал.
- Можете неосторожно внести изменения в файл, что нарушит работу блога
- После обновления CMS WordPress нужно опять производить нижеописанную процедуру изменения адреса админ-панели.
Но если все же решили пройти все шаги защиты блога от взлома сделайте это:
Найдите файл wp-login.php, он находиться в корневой папке блога, откройте программой NotePad++
Найдите файл general-template.php, он находиться в подкаталоге wp-includes, откройте программой NotePad++
В этих документах найдите все слова wp-login.php (1). К примеру в дистрибутиве движка версии 3,6,1 их:
В файле wp-login.php – 10 ( строки 252, 425, 437, 453, 479, 503, 541, 552, 562, 694)
В файле general-template.php – 5 (244, 264, 287, 318, 361)
Пример:
Замените их на любое другое имя, к примеру: vxodnablog.php.
После сохранения всех внесенных изменений, нужно файл wp-login.php переименовать на vxodnablog.php. Чтобы зайти в админ-панель нужно в адресной строке набрать
http://domen.com/vxodnablog.php,
в моем случае domen.com заменяю на seomans.ru
После изменения адресной строки админки Вашего блога WordPress не используйте стандартный виджет «Мета» — так как при наведении курсора мыши на анкор «Войти» виден новый URL страницы входа.
вот эту процедуру мне пришлось пройти после того, как я обнаружил посторонние файлы у себя на сервере, об этом случае писал в этой заметке.
Как изменить адрес электронной почты администратора WordPress (2 способа)
Когда нужно изменить электронную почту администратора WordPress
Как правило, новички при установке WordPress используют адрес своего личного почтового ящика. Также у некоторых хостинговых компаний есть автоустановки, которые автоматически используют email вашей учетной записи на хостинге во время установки.
Адрес электронной почты вашего сайта используется WordPress для того, чтобы отправлять вам важные уведомления. Например, когда создается новая учетная запись пользователя, устанавливается автоматическое обновление или уведомления об ограничениях комментариев.
Адрес электронной почты администратора необходим для восстановления потерянного пароля и уведомлений об изменениях в учетной записи.
Большинство владельцев сайтов вскоре понимают, что престижнее использовать коммерческий email для бизнеса вместо обычных бесплатных почтовых ящиков. Также лучше использовать разные адреса электронной почты для администрирования сайта и пользователя admin.
Способ 1. Изменяем адреса электронной почты через админпанель WordPress
Этот метод простой и рекомендуется для новичков.
В административной панели WordPress откройте Настройки » Общие и измените существующий параметр Email адрес на новый.
Сохраните изменения. Теперь WordPress будет отправлять вам электронные письма, связанные с администрированием, на этот новый email-адрес.
Затем, если нужно изменить электронную почту, указанную для пользователя admin, перейдите на страницу Пользователи » Все пользователи и нажать ссылку «Редактировать» под пользователем администратор.
Откроется страница редактирования профиля пользователя. Внизу страницы найдите опцию электронной почты и укажите новый email.
Чтобы сохранить изменения, нажмите «Обновить профиль»,
После сохранения изменений WordPress отправит уведомление на новый адрес электронной почты. Откройте письмо и перейдите по ссылке в письме. Тем самым вы подтвердите правильность сделанных изменеий.
Смотрите также:
Все уроки по установке, настройке и использованию WordPress тут.
Способ 2. Изменяем адрес электронной почты через PhpMyAdmin
Этот способ рекомендуется использовать только тогда, когда вы не можете получить доступ к области администрирования WordPress.
Сначала войдите в панель управления cPanel в своей учетной записи на хостинге. В разделе базы данных щелкните по значку phpMyAdmin.
Примечание. В зависимости от вашей хостинговой компании панель управления cPanel может выглядеть немного иначе, чем на приведенном выше скрине.
После клика запустится приложение phpMyAdmin. Это инструмент управления базами данных, и мы будем использовать его для прямого изменения адреса электронной почты администратора в базе данных WordPress.
В окне phpMyAdmin вы увидите, что ваша база данных указана в левом столбце. Нажав на него, вы увидите все таблицы. Нужно найти таблицу _options и щелкнуть по ней, чтобы она открылась.
Отобразятся строки данных внутри таблицы опций. Нужно щелкнуть по кнопке «Редактировать» рядом с строкой, где option_name — «admin_email».
phpMyAdmin откроет строку в форме, где можно перейти и изменить адрес электронной почты администратора для своего сайта.
Не забудьте нажать кнопку «Перейти», чтобы сохранить изменения. Email обновился и вы будете получать уведомлений на обновленный электронный ящик.
Чтобы изменить адрес электронной почты в учетной записи администратора, кликните мышкой на таблицу _users в окне phpMyAdmin. Нажмите кнопку «Редактировать» рядом со строкой, в которой пользовательский логин совпадает с пользователем, чей электронный адрес вы хотите изменить.
PhpMyAdmin откроет в форме пользовательскую строку. В поле user_email введите новый адрес электронной почты.
Нажмите кнопку «Перейти», чтобы изменения сохранились.
Источник: wpbeginner.com
Как сменить URL админ панели WordPress
Автор Игорь Градов На чтение 1 мин.
Для чего это нужно? Сменив URL админ панели мы снизим вероятность взлома посредством стандартных брутфорс атак.
Для чего это нужно? Сменив URL админ панели мы снизим вероятность взлома посредством стандартных брутфорс атак.
Под словом «стандартных» я подразумеваю массовый брут, нацеленный на стандартные урлы основных CMS: /wp-login.php, /administrator, /admin.php и т.д.
Необходимо сделать 3 простых действия:
- У находящегося в корне файла wp-login.php меняем имя на любое другое, например 123_admina_naidi.php
- Открываем этот же файл, в нем заменяем все старые названия на новое, я это делаю через Notepad++
- Далее, открываем файл /wp-includes/general-template.php, и, аналогичным способом заменяем все старые значения на новые.
Теперь URL админ панели будет http://site.com/123_admina_naidi.php, а не http://site.com/wp-login.php
Минусы: при обновлении wordpress все изменения могут восстановится на стандартные и придется делать это заново.
Плюсы: сделано без использования плагинов.
Если вы хотите защитить админ панель по максимуму, то дополнительно советую использовать плагин Сlearfy. Обзор этого плагина я делал на этой странице.
Защита от взлома. Как изменить адрес входа в админку wordpress.
Приветствую дорогие читатели сайта Путь к успеху. В сегодняшней статье я расскажу, как изменить адрес страницы для входа в админ панель на движке wordpress.
Возможно у кого то возникнет вопрос: «А для чего вообще мне нужно изменять адрес (URL) на которой я ввожу свои логин и пароль и через которую я вхожу в админ панель своего блога?
Я думаю ответ очевиден: в первую очередь данное мероприятие необходимо провести с целью уменьшения вероятности взлома вашего блога на wordpress.
По умолчанию ссылка страницы, с которой владельцы блогов на wordpress, переходят в админ панель имеет вот такой вот вид: http://site/wp-login.php
Таким образом плохим ребятам не составит труда узнать на какой именно страничке нужно производить подбор логина и пароля для взлома вашего сайта (между прочим подбор будет производиться не ручками, а с помощью роботов).
Возможно кто то из вас уже сталкивался с попытками взлома ваших площадок так же как и я.
Во время подбора «роботами» паролей на блог также идёт очень большая нагрузка, которая превышает в несколько раз все допустимые нормы которые предоставляет вам ваш хостинг, что также отражается на работе вашего сайта ( в некоторых случаях блог перестаёт работать).
В своё время мне пришлось перенести все свои сайты на другой хостинг, так как я получил письмо о том что мои ресурсы создают слишком большую нагрузку на сервер и если я не решу проблему в ближайшие дни, то обслуживание приостановят до того момента пока я не устраню источник создаваемый большую нагрузку.
В итоге не добившись от службы поддержки подсказки как с минимальными потерями выйти из сложившейся ситуации я не смог самостоятельно уменьшить нагрузку и все мои сайты в один прекрасный день перестали работать.
В конечном итоге я переехал на хостинг Fozzy работой которого очень доволен и на котором присутствует адекватная служба поддержки работающая онлайн 24 часа в сутки.
Как раз от службы поддержки на хостинге Fozzy я и получил информацию о возникновении большой нагрузки и попытках взлома, а так же как с этим бороться.
Как уменьшения вероятности взлома вашего блога на wordpress изменив адрес страницы входа в админку wordpress.
Я понимаю что слишком большое вступление поэтому перейдём от слов к делу.
Чтобы вам было проще разобраться во всех настройках с записал видео урок в котором на реальном примере изменяю адрес странички с которой делается переход в админ панель.
В следующих статьях я поделюсь другими вариантами защиты блога от взлома.
P.S. Не забывайте делиться информацией с друзьями в социальных сетях .
До новых встреч в следующих статьях сайта http://put-k-uspehy.ru
На чтение 4 мин Просмотров 581 Опубликовано 15 июня, 2020
На движке WordPress работают миллионы разнообразных сайтов и их количество растет с каждым днем. Несмотря на вполне неплохую защиту «из коробки», хакеры разного уровня подготовки, с разными целями и задачами, ежедневно взламывают множество блогов на этой CMS системе. Дополнительных методов повышения безопасности по разным направлениям очень много. Сегодня поговорим об одном из них — о защите страницы входа в админку ВордПресс. Изменим ее URL на произвольный, сделаем недоступными стандартные адреса панели администратора. Это поможет не допустить использования брутфорса (подбор по логину и паролю путем перебора).
В материале описаны методы изменения адреса с помощью плагинов и ручной правки файлов.
Если браузер настроен на сохранение паролей для автоматического входа в admin panel, то после изменения урл входа WordPress, данные не будут подставлены автоматически. Будьте осторожны. Убедитесь что помните свои логин/пароль, их нужно ввести вручную заново!
Содержание
- Плагин «Переименовать wp-login.php»
- Модуль WPS Hide Login
- Плагин ClearfyPRO
- Используем файл .htaccess
Плагин «Переименовать wp-login.php»
Крохотное, бесплатное расширение которое скроет login wp от чужих глаз. Располагается тут: Настройки >> Постоянные ссылки. Из параметров есть только поле ввода нового урл входа WordPress.
Модуль WPS Hide Login
Этот скрипт не сильно отличается от предыдущего. Также легок и не жаден, легко находится в каталоге расширений WP. После установки — активации, располагается в самом низу категории «Общие» в настройках.
Указываем новый URL страницы авторизации, а также урл для редиректа при попытке зайти по старой ссылке. Сохраняем. Готово.
Плагин ClearfyPRO
О Клерфай рассказано уже немало. Возможностей по защите, настройке и оптимизации WordPress у него множество, конечно есть функция скрытия страницы входа, которая работает четко и бесперебойно. Активируется элементарно.
Он платный, но он стоит своих денег. Читатели wpboost.ru могут купить его со скидкой 15%
Купить Clearfy со скидкой 15%
Переходим к продвинутому методу скрытия страницы входа WordPress. Им стоит пользоваться, если вы точно уверены, что сможете сделать все правильно а также не желаете ставить сторонние расширения.
Используем файл .htaccess
.htaccess нужен для конфигурирования и тонкой настройки веб-сервера Apache без изменения глобальных параметров.
Указанный файл находится в корне сайта. Открываем его через файловый менеджер панели администрирования хостинга или же любым текстовым редактором, предварительно скачав к себе на компьютер.
Будем использовать код:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^you-shall-not-pass/?$ /wp-login.php?secret-code [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^you-shall-not-pass/?$ /wp-login.php?secret-code&redirect_to=/wp-admin/ [R,L]
RewriteRule ^you-shall-not-pass/?$ /wp-admin/?secret-code [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax.php
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/wp-login.php
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/you-shall-not-pass
RewriteCond %{QUERY_STRING} !^secret-code
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?secret-code [R,L]
</IfModule>Впишите свои данные вместо:
- «you-shall-not-pass» — название страницы по которому станет доступна админ панель.
- «your-site.ru» — адрес сайта.
- «secret-code» — секретный ключ, чем сложнее и непонятней — тем лучше. Так закрывается доступ по прямому урл вида: your- site.ru/wp-login.php
После правки, вставляем код в самый верх файла .htaccess. Сохраняем, если правили через файловый менеджер хостинга или сохраняем а потом закачиваем через FTP (с заменой), если делали все на локальном компьютере.
Данная подборка методов создана с целью дать возможность выбора способа защиты страницы входа WordPress.
Василий
Изучаю WordPress, занимаюсь разработкой и созданием шаблонов и плагинов. На этом блоге делюсь своими знаниями. Есть вопросы? Пишите в комментариях!