Меню
ГлавнаяПрограммы

Как скрыть свою страницу входа в WordPress от хакеров и ботов. Как скрыть страницу WordPress Как скрыть страницу в вордпресс

Начиная с сегодняшней статьи, я решил опубликовать на своем блоге сайт целый ряд статей, которые будут нацелены на то, чтобы помочь каждому владельцу сайта на WordPress, без чьей-либо посторонней помощи, а значит, совершенно бесплатно, практически максимально защитить свой сайт от взлома.

Что касается сегодняшний статьи, то в ней, пойдет речь о том, как скрыть логин администратора/админа сайта на WordPress.

Наверняка, многим будет интересно знать, зачем это вообще нужно делать? Поэтому, для начала дам ответ именно на этот вопрос, ну а потом уже, наглядно объясню, как это все дело реализовать.

Как всем известно, при публикации статей от имени администратора, ну или хотя бы, при написании ответов на комментарии, рядом с датой публикации статьи или комментария отображается логин автора. Это значит, что узнать логин администратора потенциальному взломщику в принципе не составляет особого труда. Следовательно, зная логин, он без каких-либо проблем может начать подбор пароля к вашей админке, что, собственно, не есть хорошо.

Да, несомненно, при установке движка WordPress, стандартное имя администратора, которым является — «admin», можно при желании изменить на любое, какое только душе будет угодно, что собственно многие и советуют делать для повышения безопасности. Однако, данная хитрость не позволяет полностью скрыть отображение логина админа. Причем, даже в том случае, если вы при помощи подручных средств (т.е. стандартной возможности, которая имеется в админке вордпресса), измените отображаемое имя автора при публикации статей и написании комментариев.

Кто не знает, делается это непосредственно в самой админке, а именно, в меню «Пользователи » — «Ваш профиль ». Там в графе «Отображать как » можно задать, какой именно логин (Имя+Фамилия, Ник или просто Имя или Фамилия), вместо имени пользователя, т.е. логина, который используется для входа в админку, будет отображаться в ваших публикациях и комментариях:


Многие еще советуют, для повышения безопасности, вовсе убрать вывод авторов в WordPress. Делается это при помощи правки кода в соответствующих файлах темы. Но это все равно не выход из ситуации, потому как даже если вы и уберете вывод авторов, т.е. они будут не видны, ни для кого, реальный логин админа, да и других пользователей (если они есть) тоже, все равно можно будет узнать, причем очень и очень просто.

Все дело в том, что в движке WordPress имеется так сказать не совсем полезная фишка, которая позволяет при вводе в адресной строке браузера следующего адреса — «http://vash-site.ru/?author=1 », увидеть все статьи того или иного автора на блоге, причем с отображением его реального логина, а не подмененного.

Плюс ко всему, если у вас на блоге статьи публикуются не одним автором, то меняя цифру 1 в конце адреса, на любую другую (2,3,4 и т.д.), т.е. методом перебора, можно запросто узнать и их реальные логины.

Можете удостовериться в этом, а заодно и проверить свой блог на данный недочет, добавив к своему домену (типа http://vash-site.com) вот такой вот кусок адреса «/?author=1 ». Если вы увидите в результате, что адрес изменился на следующий «http://vash-site.ru/author/ваш реальный логин », то знайте, вам стоит задумать о немедленном скрытии своего логина. Собственно, как это сделать, я далее и расскажу.

Как скрыть логин администратора/админа в WordPress?

Итак, для того чтобы стопроцентно убрать возможность узнать логин администратора в WordPress, вам нужно проделать следующее:

Найти в корне своего сайта файл «.htaccess » и отредактировать его, добавив в него перед строчкой «# END WordPress » следующие строчки кода:

RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=(*) RewriteRule ^(.*)$ http://vash-site.ru/? Redirect 301 /author http://vash-site.ru

Перед редактированием, советую, на всякий случай сделать резервную копию данного файла. Ну, мало ли, вдруг, что-то не так сделаете, а так, будет возможность восстановиться.

При этом, вот этот адрес в коде — «http://vash-site.ru », вам нужно будет заменить на адрес главной страницы своего блога, хотя, если хотите, можете указать и любую другую его действующую страницу.

После введения этого кода и сохранения введенных данных, теперь при попытке узнать ваш логин, всех, кто это будет делать, выше приведенным способом, будет перебрасывать на главную страницу вашего блога, ну или на ту, которую вы укажите. Не верится? А вы проверьте, уверен, будете приятно удивлены.

Вот собственно и все, как видите, ничего сложного в скрытии логина админа в WordPress вот таким вот простым способом нет.

Ну, а для более надежной защиты своего WordPress блога от взлома, советую, вам на него установить еще и .

На этом у меня сегодня все. Но напоследок, хотелось бы отметить еще вот что. Многие почему-то думают, что пока у них ресурс еще молодой, то взламывать их никто не будет. Поверьте, это совсем не так, всегда найдется тот, кому будет интересен и полезен ваш блог. Поэтому, старайтесь сразу установить на него соответствующую защиту, и не откладывайте это дело на потом, потому что потом, может быть уже поздно.

Чтобы изменить страницу логина, надо сделать изменения в файле .htaccess . Ошибка в одной букве может положить весь сайт, поэтому сделайте бэкап файла .htaccess и папки с темой.

Бэкап можно сделать на хостинге или с помощью плагина. Сделайте полный бэкап, или проверьте, что последний автоматический бэкап был после последних изменений на сайте.

Если у вас на сайте есть посетители, вы можете протестировать изменение URL авторизации на локальном или техническом сайте.

В первом способе вы сделаете изменения в файле .htaccess , во втором — изменения в файлах .htaccess и functions.php . После этого надо будет отключить доступ к старой странице входа в админку …/wp-login.php .

Файл находится в корневой папке сайта, файл находится в папке темы.

Как изменить страницу авторизации в Вордпресс

Способ 1. Редактирование файла .htaccess

Добавьте код в начале .htaccess в одиночной установке Вордпресс и после этих строк в Мультисайт установке:

Добавьте этот код:

Измените myloginpage11 в строке 2 на свой адрес, по которому вы хотите иметь страницу входа на сайт. Если вы ничего не измените, то страница входа на сайт будет мой-сайт.ru/myloginpage11 .

Измените 123456qwerty в строках 2 и 7 на что-нибудь свое. Это секретный ключ, который может содержать только латинские буквы и цифры.

Сохраните файл и проверьте сайт. Если вы получили ошибку сервера 500, значит, вы где-то допустили ошибку. Просмотрите изменения еще раз или начните заново.

Если сайт работает, но изменения не применились, сбросьте кеш в браузере и попробуйте еще раз.

Способ 2. Отредактируйте файл .htaccess и functions.php

Вставьте код в самом начале файла .htaccess в одиночной установке или после этих строк в Мультисайт установке:

Добавьте этот код:

Замените myloginpage22 на свой адрес. Если вы оставите как есть, то новый адрес входа на сайт будет мой-сайт.ru/myloginpage22 .

Сохраните файл и проверьте, как работает сайт. Если у вас ошибка 500, попробуйте найти ошибку или начните сначала.

После этого можно начать пользоваться этим адресом входа в админку, но если вы хотите, чтобы Вордпресс начал везде использовать этот адрес в качестве адреса входа на сайт, надо добавить снипет в файл functions.php или добавьте код в плагин , который добавит код в текущую тему.

Добавьте этот код в functions.php :

Код из форума техподдержки Вордпресс . Измените myloginpage22 на ваш адрес, который вы добавили в .htaccess .

Все готово, можно проверить. Добавьте виджет с мета информацией в сайдбар и нажмите на ссылку входа на сайт. Если вы все сделали правильно, вы должны попасть на новую страницу входа на сайт.

Как скрыть старую страницу входа на сайт wp-login.php

Новая страница входа на сайт будет дополнительной мерой безопасности сайта, но без запрета доступа к стандартной странице wp-login.php это не имеет смысла.

Как скрыть страницу wp-login.php от посетителей читайте .

Всем привет! Сегодня я расскажу о защите вашего блога или сайта на WordPress, а именно, о том, как скрыть адрес входа в админку сайта. Если вы уже искали в интернете статьи на темы: защита админки wordpress, скрыть админку wordpress и т.д., то наверняка вы видели везде одно и то же, это либо использовать различные плагины, либо заменять стандартный файл wp-login.php другим файлом с другим названием. Однако использование плагинов замедляет работу сайта, а замена файла wp-login.php не приводит к нужному результату, поскольку адрес http://ваш-сайт/wp-admin всегда перебросит на форму входа на сайт, причём в адресной строке будет прописан ваш заменённый wp-login.php.

Поэтому в этой статье вы увидите простой и универсальный способ скрыть адрес админки WordPress.

Итак, начнём. Суть способа заключается так же в замене файла wp-login.php, но сам файл останется, при запросе к нему будет выдаваться 404 ошибка. Например, изменим адрес входа в админку на adminka.php.

Открываем файл wp-login.php с помощью любого редактора, например, Notepad++. Чтобы открыть поиск слов нажимаем сочетание клавиш Ctrl + F. Выбираем вкладку «Заменить» и заменяем все слова wp-login.php на adminka.php, нажав на кнопку «Заменить всё». Затем сохраняем этот файл, так же назвав его adminka.php. Теперь можем загрузить его в директорию сайта.

У нас теперь есть по сути два файла для входа: первый — это стандартный wp-login.php, второй — это наш adminka.php. Также пока ещё будет работать вход по адресу wp-admin.

Если вы читали какие-то уже статьи по скрытию админки WordPress, то наверняка видели, что после этого шага изменяется ещё файл general-template.php в папке wp-includes. Проблема при таком способе заключается в том, что при обновлении WordpPress обновляется и данный файл, а также, если в способе удаляется или делается пустым файл wp-login.php, этот файл так же обновляется и всё приходится делать по новой, чтобы админка снова была доступна только по вашему адресу.

Я нашёл иной способ и он универсален, так как не зависит от обновлений WordPress.

Суть способа проста: нужно добавить код, который ниже, в файл functions.php вашей темы сразу после открывающего php тега. С помощью данного кода мы будем выдавать 404 ошибку при обращении по адресам wp-admin и wp-login.php, а также сделаем рабочими кнопки входа, выхода и восстановления пароля. Заметьте, что регистрация работать не будет, поэтому этот вариант подойдет только, если вы единственный пользователь вашего сайта и регистрация у вас запрещена. Иначе какой смысл менять адрес входа, если все его всё равно будут знать .

Напоминаю, наш новый адрес админки adminka.php, поэтому вначале мы определяем константу ADMIN_URL с данным значением.

Define("ADMIN_URL", "adminka.php"); add_action("init", "redirect_login_page"); add_filter("login_url", "new_wp_login_url", 10, 3); add_filter("logout_url", "new_wp_logout_url", 10, 2); add_filter("lostpassword_url", "new_wp_lostpassword_url", 10, 2); function redirect_login_page() { $page_viewed = $_SERVER["REQUEST_URI"]; if (strpos($page_viewed, "wp-login.php") !== false || (is_admin() && !(current_user_can("administrator") || current_user_can("super admin")) && !(defined("DOING_AJAX") && DOING_AJAX))) { global $wp_query; $wp_query->set_404(); status_header(404); get_template_part("404"); exit; } } function new_wp_login_url($redirect = "", $force_reauth = false) { $login_url = site_url(ADMIN_URL, "login"); if (!empty($redirect)) $login_url = add_query_arg("redirect_to", urlencode($redirect), $login_url); if ($force_reauth) $login_url = add_query_arg("reauth", "1", $login_url); return $login_url; } function new_wp_logout_url() { $args = array("action" => "logout"); $logout_url = add_query_arg($args, site_url(ADMIN_URL, "login")); $logout_url = wp_nonce_url($logout_url, "log-out"); return $logout_url; } function new_wp_lostpassword_url() { $args = array("action" => "lostpassword"); $lostpassword_url = add_query_arg($args, network_site_url(ADMIN_URL, "login")); return $lostpassword_url; }

Вот и всё! Таким простым способом мы защитили вход в админку нашего сайта, тем самым мы запретили злоумышленникам доступ к нашей админке. Теперь они даже не смогут подобрать пароль, пока не узнают адрес входа. Однако у этого способа тоже есть минус, но не такой значительный. Данный способ будет работать только с текущей темой, хотя вы всегда можете написать данный код в собственный небольшой плагин и тем самым избавиться от этого минуса.

Страница логина WordPress является одной из самых уязвимых частей Вашего веб-сайта. Конечно же, злоумышленники прекрасно знают об этом. Поэтому важной задачей любого владельца сайта является максимальная защита страницы логина.

В сети существует множество способов для решения данной задачи – разных по сложности и времени исполнения. Однако в данной статье мы поговорим о защите страницы логина WordPress с помощью плагинов.

Table of Contents

Для чего нужно защищать страницу входа WordPresss?

На страницу входа можно попасть двумя способами:

  1. Введите wp-login.php в адресную строку браузера;
  2. Перейдите по ссылке http://yoursite.dev/wp-admin/

Для чего хакеры и боты атакуют вашу страницу входа?

А теперь представьте себе, какая нагрузка на сайт создается при каждом таком подборе пароля и нажатия кнопки «Войти»! Обычные пользователи могут испытывать трудности при работе с сайтом, а причиной того служат роботы, перебирающие пароли. Это называется «брутфорс атака» или «атака перебора паролей».

Самый простой способ защититься от брутфорс атак – это создать уникальный адрес вашей страницы входа, то есть не wp-login, и wp-admin, а какой-то свой. Причем важно, чтобы при открытии стандартных адресов авторизации выскакивала «страница 404». Тогда бот, при попадании на такую страницу, видит «Ошибку 404» и уходит с сайта. Очень хитрый и простой способ!

Как защитить страницу входа в WordPress с помощью плагина Clearfy

Для защиты страницы логина мы будем использовать один из наших бесплатных плагинов. Первый – это плагин Clearfy со встроенной функцией защиты страницы входа WordPress. Помимо этого, в плагине присутствует множество функций для защиты, оптимизации (в том числе и SEO) и ускорения.

Защита директории wp-admin

Единственная его функция – защита страницы входа.

Заключение

В данной статье мы рассказали, почему так важно защищать страницу логина, а также рассмотрели возможности наших плагинов для решения задачи.

Исходя из поставленных целей, Вы можете выбрать, какой именно плагин Вам больше подходит – Clearfy или Hide My Login.

Помните, что своевременная и надежная защита Вашего сайта сохранит Вам массу времени и финансовых ресурсов.

Администраторская панель WordPress позволяет выполнять большую часть управления сайтом. Так, с ее помощью Вы можете создавать/редактировать контент, устанавливать/удалять плагины, работать с зарегистрированными пользователями, получать какую-то статистику по работе сайта и пр.

Зачем прятать админку?

По умолчанию, в WordPress для входа в административную панель используются следующие адреса:

Http://site.ru/wp-admin/ http://site.ru/wp-login.php

Вроде бы ничего страшного, правда? Но, к сожалению, существует зловредное программное обеспечение, которое, зная адрес Вашей админки, может внести вред работе всего сайта. Например, запустить подбор паролей и получить доступ к управлению всем сайтом.

Существует несколько способов добится того, чтобы вход в админ-панель Вашего сайта осуществлялся по другому, заданному Вами, адресу. Мы будем использовать плагин, который решит задачу в один клик. Благодаря ему, Вам не придется писать ни одной строчки кода, а достаточно будет просто активировать плагин и указать нужный адрес.

Плагин Rename wp-login.php

Итак, после установки и активации плагина Rename wp-login.php , Вас сразу “перекинет” на страницу Настройки -> Постоянные ссылки , где Вы сможете вписать тот адрес, по которому необходимо будет заходить в администраторскую панель.

По умолчанию плагин предлагает вход в админку по адресу

Http://site.ru/login

Теперь, пытаясь перейти по адресу

http://site.ru/wp-login.php

Вы получите 404 ошибку, т.е. что страница недоступна.

Конечно, защита сайта не ограничивается только переименованием адреса входа в админ-панель, но в комплексе с другими решениями поможет защитить Ваш сайт от нехорошего влияния.