Cách ẩn trang đăng nhập WordPress của bạn khỏi tin tặc và bot. Cách ẩn một trang trong WordPress Cách ẩn một trang trong WordPress
Bắt đầu từ bài viết hôm nay, tôi quyết định đăng lên blog của mình trang mạng toàn bộ loạt bài viết sẽ nhằm mục đích giúp đỡ mọi chủ sở hữu trang web WordPress mà không cần bất kỳ sự trợ giúp nào từ bên ngoài, điều đó có nghĩa là hoàn toàn miễn phí, bảo vệ trang web của bạn gần như tối đa khỏi bị hack.
Đối với bài viết hôm nay, nó sẽ nói về cách ẩn thông tin đăng nhập của quản trị viên/quản trị viên trang web trên WordPress.
Chắc chắn nhiều người sẽ tò mò muốn biết tại sao điều này lại cần phải được thực hiện? Vì vậy, để bắt đầu, tôi sẽ đưa ra câu trả lời cho câu hỏi cụ thể này và sau đó tôi sẽ giải thích rõ ràng cách thực hiện toàn bộ điều này.
Như mọi người đều biết, khi xuất bản bài viết thay mặt quản trị viên, hoặc ít nhất là khi viết trả lời bình luận, thông tin đăng nhập của tác giả được hiển thị bên cạnh ngày xuất bản bài viết hoặc bình luận. Điều này có nghĩa là về nguyên tắc, không khó để một hacker tiềm năng tìm ra thông tin đăng nhập của quản trị viên. Do đó, khi biết thông tin đăng nhập, anh ta có thể bắt đầu đoán mật khẩu bảng quản trị của bạn mà không gặp bất kỳ vấn đề gì, điều này trên thực tế là không tốt.
Có, tất nhiên, khi cài đặt công cụ WordPress, tên quản trị viên tiêu chuẩn, là “quản trị viên”, nếu muốn, có thể được đổi thành bất cứ điều gì bạn mong muốn, đó là điều mà nhiều người thực sự khuyên bạn nên làm để tăng tính bảo mật. Tuy nhiên, thủ thuật này không cho phép bạn ẩn hoàn toàn hiển thị thông tin đăng nhập của quản trị viên. Hơn nữa, ngay cả khi bạn sử dụng các công cụ có sẵn (tức là tính năng tiêu chuẩn có sẵn trong bảng quản trị WordPress), hãy thay đổi tên hiển thị của tác giả khi xuất bản bài viết và viết bình luận.
Đối với những người chưa biết, việc này được thực hiện trực tiếp trong chính bảng quản trị, cụ thể là trong menu “Người dùng” - “Hồ sơ của bạn”. Ở đó, trong cột “Hiển thị dưới dạng”, bạn có thể chỉ định thông tin đăng nhập nào (Tên + Họ, Biệt hiệu hoặc chỉ Tên hoặc Họ), thay vì tên người dùng, tức là. Thông tin đăng nhập được sử dụng để đăng nhập vào khu vực quản trị sẽ được hiển thị trong bài viết và bình luận của bạn:
Nhiều người còn khuyên, nên nâng cao tính bảo mật, loại bỏ hoàn toàn đầu ra của tác giả trong WordPress. Điều này được thực hiện bằng cách chỉnh sửa mã trong các tệp chủ đề tương ứng. Nhưng đây vẫn không phải là cách thoát khỏi tình huống này, bởi vì ngay cả khi bạn loại bỏ kết luận của tác giả, tức là. chúng sẽ không hiển thị với bất kỳ ai, thông tin đăng nhập thực sự của quản trị viên và những người dùng khác (nếu có) vẫn có thể được tìm ra và rất, rất đơn giản.
Vấn đề là trong công cụ WordPress, có thể nói, có một tính năng không hoàn toàn hữu ích cho phép bạn xem tất cả các bài viết của tác giả đó hoặc tác giả khác trên blog và với thông tin đăng nhập thực sự của anh ta được hiển thị chứ không phải bài viết thay thế.
Ngoài ra, nếu các bài viết trên blog của bạn được xuất bản bởi nhiều tác giả thì hãy thay đổi số 1 ở cuối địa chỉ thành bất kỳ địa chỉ nào khác (2,3,4, v.v.), tức là. bằng cách sử dụng phương pháp vũ lực, bạn có thể dễ dàng tìm ra thông tin đăng nhập thực sự của họ.
Bạn có thể xác minh điều này, đồng thời kiểm tra lỗi này trên blog của mình bằng cách thêm vào miền của bạn (chẳng hạn như http://your-site.com) đoạn địa chỉ này “/?author=1”. Nếu bạn thấy kết quả là địa chỉ đã thay đổi thành " http://vash-site.ru/author/thông tin đăng nhập thực sự của bạn", thì bạn nên biết rằng bạn nên nghĩ đến việc ẩn ngay thông tin đăng nhập của mình. Trên thực tế, tôi sẽ cho bạn biết thêm cách thực hiện việc này.
Làm cách nào để ẩn thông tin đăng nhập quản trị viên/quản trị viên trong WordPress?
Vì vậy, để loại bỏ hoàn toàn khả năng tìm ra thông tin đăng nhập của quản trị viên trong WordPress, bạn cần làm như sau:
Tìm tệp “.htaccess” trong thư mục gốc của trang web của bạn và chỉnh sửa nó bằng cách thêm vào trước dòng “ #ENDWordPress"các dòng mã sau:
RewriteCond %(REQUEST_URI) ^/$ RewriteCond %(QUERY_STRING) ^/?author=(*) RewriteRule ^(.*)$ http://vash-site.ru/? Chuyển hướng 301 /tác giả http://your-site.ruTrước khi chỉnh sửa, tôi khuyên bạn nên tạo một bản sao lưu của tệp này để đề phòng. Chà, bạn không bao giờ biết được, nếu bạn làm sai điều gì thì sao, và bằng cách này, bạn sẽ có cơ hội phục hồi.
Đồng thời, địa chỉ này trong mã - “http://your-site.ru”, bạn sẽ cần thay thế bằng địa chỉ trang chính blog của mình, tuy nhiên, nếu muốn, bạn có thể chỉ ra bất kỳ địa chỉ nào khác trang hoạt động.
Sau khi nhập mã này và lưu dữ liệu đã nhập, bây giờ khi bạn cố gắng tìm thông tin đăng nhập của mình, tất cả những người thực hiện việc này bằng phương pháp trên sẽ được chuyển hướng đến trang chính của blog của bạn hoặc trang bạn chỉ định. Bạn không tin điều đó? Hãy xem thử, tôi chắc chắn bạn sẽ ngạc nhiên.
Đó là tất cả, như bạn có thể thấy, không có gì phức tạp khi ẩn thông tin đăng nhập quản trị viên trong WordPress theo cách đơn giản này.
Chà, để bảo vệ blog WordPress của bạn khỏi bị hack một cách đáng tin cậy hơn, tôi khuyên bạn cũng nên cài đặt .
Đó là tất cả đối với tôi ngày hôm nay. Nhưng cuối cùng, tôi muốn lưu ý một điều nữa. Vì một lý do nào đó, nhiều người cho rằng tuy tài nguyên của họ còn non trẻ nhưng sẽ không có ai hack được. Tin tôi đi, điều này hoàn toàn không đúng; sẽ luôn có người quan tâm và hữu ích cho blog của bạn. Do đó, hãy cố gắng cài đặt ngay biện pháp bảo vệ thích hợp cho nó và đừng trì hoãn vấn đề này cho đến sau này, vì khi đó có thể đã quá muộn.
Để thay đổi trang đăng nhập, bạn cần thực hiện thay đổi trong file .htaccess. Một lỗi trong một chữ cái có thể làm hỏng toàn bộ trang web, vì vậy hãy sao lưu tệp .htaccess và các thư mục chủ đề.
Sao lưu có thể được thực hiện trên hosting hoặc sử dụng plugin. Tạo một bản sao lưu đầy đủ hoặc kiểm tra xem bản sao lưu tự động cuối cùng có diễn ra sau những thay đổi cuối cùng đối với trang web hay không.
Nếu bạn có khách truy cập vào trang web của mình, bạn có thể thử thay đổi URL đăng nhập trên trang web địa phương hoặc trang web kỹ thuật.
Trong phương pháp đầu tiên, bạn sẽ thực hiện các thay đổi đối với tệp .htaccess, trong phần thứ hai - những thay đổi trong tập tin .htaccess Và hàm.php. Sau này, bạn sẽ cần phải vô hiệu hóa quyền truy cập vào trang đăng nhập quản trị viên cũ.../ wp-đăng nhập.php.
Tài liệu nằm trong thư mục gốc của trang web, tập tin nằm trong thư mục chủ đề.
Cách thay đổi trang đăng nhập trong WordPress
Cách 1: Chỉnh sửa file .htaccess
Thêm mã vào đầu .htaccess trong một lần cài đặt WordPress và sau những dòng này trong bản cài đặt Nhiều trang:
Thêm mã này:
Thay đổi myloginpage11 trong dòng 2 đến địa chỉ của bạn nơi bạn muốn có một trang đăng nhập cho trang web. Nếu bạn không thay đổi bất cứ điều gì, trang đăng nhập của trang web sẽ là my-site.ru/myloginpage11.
Thay đổi 123456qwerty trong dòng 2 Và 7 vì điều gì đó của riêng bạn. Đây là khóa bí mật chỉ có thể chứa các chữ cái và số Latin.
Lưu tập tin và kiểm tra trang web. Nếu bạn nhận được lỗi máy chủ 500 thì bạn đã mắc lỗi ở đâu đó. Xem lại các thay đổi của bạn một lần nữa hoặc bắt đầu lại.
Nếu trang web hoạt động nhưng những thay đổi không được áp dụng, hãy đặt lại bộ đệm của trình duyệt và thử lại.
Cách 2: Chỉnh sửa file .htaccess Và hàm.php
Dán mã vào đầu tập tin .htaccess trong một lần cài đặt hoặc sau những dòng này trong bản cài đặt Nhiều trang:
Thêm mã này:
Thay thế myloginpage22 bằng địa chỉ của bạn. Nếu bạn để nguyên, địa chỉ đăng nhập trang web mới sẽ là my-site.ru/myloginpage22.
Lưu tệp và kiểm tra cách trang web hoạt động. Nếu bạn gặp lỗi 500, hãy thử tìm lỗi hoặc bắt đầu lại.
Sau này, bạn có thể bắt đầu sử dụng địa chỉ đăng nhập này trong bảng quản trị, nhưng nếu bạn muốn WordPress bắt đầu sử dụng địa chỉ này ở mọi nơi làm địa chỉ đăng nhập cho trang web, bạn cần thêm một đoạn mã vào tệp hàm.php hoặc thêm mã vào plugin, plugin này sẽ thêm mã vào chủ đề hiện tại.
Thêm mã này vào hàm.php:
Mã từ diễn đàn hỗ trợ kỹ thuật WordPress. Thay đổi myloginpage22 thành địa chỉ mà bạn đã thêm vào .htaccess.
Mọi thứ đã sẵn sàng, bạn có thể kiểm tra nó. Thêm tiện ích có thông tin meta vào thanh bên và nhấp vào liên kết đăng nhập trang web. Nếu bạn đã làm mọi thứ chính xác, bạn sẽ được đưa đến trang đăng nhập trang web mới.
Cách ẩn trang đăng nhập cũ trên website wp-login.php
Trang đăng nhập trang mới sẽ là một biện pháp bảo mật bổ sung cho trang web nhưng không cấm truy cập vào trang tiêu chuẩn wp-đăng nhập.php nó chả có nghĩa gì cả.
Cách ẩn một trang wp-đăng nhập.phpđọc từ khách truy cập.
Chào mọi người! Hôm nay tôi sẽ nói về việc bảo vệ blog hoặc trang web của bạn trên WordPress, cụ thể là cách ẩn địa chỉ đăng nhập vào khu vực quản trị trang web. Nếu bạn đã tìm kiếm trên Internet các bài viết về chủ đề: bảo vệ khu vực quản trị Wordpress, ẩn khu vực quản trị Wordpress, v.v., thì có thể bạn đã thấy điều tương tự ở mọi nơi: sử dụng các plugin khác nhau hoặc thay thế tệp wp-login tiêu chuẩn. php bằng một tệp khác có tên khác. Tuy nhiên, việc sử dụng plugin sẽ làm chậm trang web và việc thay thế tệp wp-login.php không mang lại kết quả như mong muốn, vì địa chỉ http://your-site/wp-admin sẽ luôn chuyển hướng bạn đến trang đăng nhập và biểu mẫu được thay thế của bạn sẽ được ghi vào thanh địa chỉ wp-login.php.
Vì vậy, trong bài viết này bạn sẽ thấy một cách đơn giản và phổ biến để ẩn địa chỉ quản trị viên WordPress.
Vì vậy, hãy bắt đầu. Bản chất của phương pháp này cũng là thay thế tệp wp-login.php, nhưng bản thân tệp đó sẽ vẫn còn và khi bạn yêu cầu, lỗi 404 sẽ hiển thị. Ví dụ: hãy thay đổi địa chỉ đăng nhập của quản trị viên thành adminka.php.
Mở tệp wp-login.php bằng bất kỳ trình soạn thảo nào, ví dụ: Notepad++. Để mở tìm kiếm từ, nhấn tổ hợp phím Ctrl + F. Chọn tab “Thay thế” và thay thế tất cả các từ wp-login.php bằng adminka.php bằng cách nhấp vào nút “Thay thế tất cả”. Sau đó lưu file này lại, cũng gọi là adminka.php. Bây giờ chúng ta có thể tải nó lên thư mục trang web.
Bây giờ về cơ bản chúng tôi có hai tệp đăng nhập: tệp đầu tiên là wp-login.php tiêu chuẩn, tệp thứ hai là adminka.php. Ngoài ra, đăng nhập tại wp-admin vẫn hoạt động.
Nếu bạn đã đọc bất kỳ bài viết nào về cách ẩn bảng quản trị WordPress, có thể bạn đã thấy rằng sau bước này, tệp generic-template.php trong thư mục wp-includes cũng bị thay đổi. Vấn đề với phương pháp này là khi WordpPress được cập nhật, tệp này cũng được cập nhật và nếu tệp wp-login.php bị xóa hoặc để trống trong phương thức, tệp này cũng được cập nhật và mọi thứ phải được thực hiện lại. rằng bảng quản trị chỉ khả dụng tại địa chỉ của bạn.
Tôi đã tìm ra một cách khác và nó rất phổ biến vì nó không phụ thuộc vào các bản cập nhật của WordPress.
Bản chất của phương pháp này rất đơn giản: bạn cần thêm mã bên dưới vào tệp tin.php của chủ đề ngay sau thẻ php mở. Sử dụng mã này, chúng tôi sẽ phát sinh lỗi 404 khi truy cập vào địa chỉ wp-admin và wp-login.php, đồng thời cũng sẽ làm cho các nút đăng nhập, đăng xuất và khôi phục mật khẩu hoạt động. Xin lưu ý rằng đăng ký sẽ không hoạt động, vì vậy tùy chọn này sẽ chỉ hoạt động nếu bạn là người dùng duy nhất trên trang web của mình và bạn không được phép đăng ký. Nếu không thì việc thay đổi địa chỉ nhập có ích gì nếu mọi người đều biết địa chỉ đó?
Hãy để tôi nhắc bạn rằng địa chỉ quản trị viên mới của chúng tôi là adminka.php, vì vậy trước tiên chúng tôi xác định hằng số ADMIN_URL với giá trị này.
Xác định("ADMIN_URL", "adminka.php"); add_action("init", "redirect_login_page"); add_filter("login_url", "new_wp_login_url", 10, 3); add_filter("logout_url", "new_wp_logout_url", 10, 2); add_filter("lostpassword_url", "new_wp_lostpassword_url", 10, 2); hàm redirect_login_page() ( $page_viewed = $_SERVER["REQUEST_URI"]; if (strpos($page_viewed, "wp-login.php") !== false || (is_admin() && !(current_user_can("quản trị viên") || current_user_can("siêu quản trị viên")) && !(được xác định("DOING_AJAX") && DOING_AJAX))) ( toàn cầu $wp_query; $wp_query->set_404(); status_header(404); get_template_part("404"); thoát ; ) ) hàm new_wp_login_url($redirect = "", $force_reauth = false) ( $login_url = site_url(ADMIN_URL, "login"); if (!empty($redirect)) $login_url = add_query_arg("redirect_to", urlencode( $redirect), $login_url); if ($force_reauth) $login_url = add_query_arg("reauth", "1", $login_url); trả về hàm $login_url; ) new_wp_logout_url() ( $args = array("action" => "đăng xuất"); $logout_url = add_query_arg($args, site_url(ADMIN_URL, "login")); $logout_url = wp_nonce_url($logout_url, "log-out"); "mất mật khẩu"); $lostpassword_url = add_query_arg($args, network_site_url(ADMIN_URL, "đăng nhập")); trả về $lostpassword_url; )
Đó là tất cả! Bằng cách đơn giản này, chúng tôi đã bảo vệ lối vào bảng quản trị của trang web của mình, từ đó ngăn chặn những kẻ tấn công truy cập vào bảng quản trị của chúng tôi. Bây giờ họ thậm chí sẽ không thể đoán được mật khẩu cho đến khi biết địa chỉ đăng nhập. Tuy nhiên, phương pháp này cũng có nhược điểm nhưng không đáng kể. Phương pháp này sẽ chỉ hoạt động với chủ đề hiện tại, mặc dù bạn luôn có thể viết mã này trong plugin nhỏ của riêng mình và từ đó loại bỏ điểm trừ này.
Trang đăng nhập WordPress là một trong những phần dễ bị tổn thương nhất trên trang web của bạn. Tất nhiên, những kẻ tấn công nhận thức rõ điều này. Vì vậy, nhiệm vụ quan trọng của bất kỳ chủ sở hữu trang web nào là bảo vệ trang đăng nhập càng nhiều càng tốt.
Có nhiều cách trên Internet để giải quyết vấn đề này - khác nhau về độ phức tạp và thời gian thực hiện. Tuy nhiên, trong bài viết này chúng tôi sẽ nói về việc bảo vệ trang đăng nhập WordPress bằng plugin.
Mục lục
Tại sao bạn cần bảo vệ trang đăng nhập WordPress của mình?
Có hai cách để vào trang đăng nhập:
- Nhập wp-login.php vào thanh địa chỉ trình duyệt của bạn;
- Theo liên kết http://yoursite.dev/wp-admin/
Tại sao tin tặc và bot tấn công trang đăng nhập của bạn?
Bây giờ hãy tưởng tượng loại tải nào được tạo trên trang web với mỗi lần chọn mật khẩu như vậy và nhấn nút “Đăng nhập”! Người dùng thông thường có thể gặp khó khăn khi làm việc với trang web và nguyên nhân là do robot đang cố gắng đoán mật khẩu. Đây được gọi là “tấn công bạo lực” hoặc “tấn công bạo lực bằng mật khẩu”.
Cách dễ nhất để bảo vệ bạn khỏi các cuộc tấn công vũ phu là tạo một địa chỉ duy nhất cho trang đăng nhập của bạn, nghĩa là không phải wp-login hay wp-admin mà là địa chỉ của riêng bạn. Hơn nữa, điều quan trọng là khi bạn mở các địa chỉ ủy quyền tiêu chuẩn, “trang 404” sẽ bật lên. Sau đó, bot khi truy cập vào một trang như vậy sẽ thấy “Lỗi 404” và rời khỏi trang web. Một cách rất thông minh và đơn giản!
Cách bảo mật trang đăng nhập WordPress của bạn bằng plugin Clearfy
Để bảo mật trang đăng nhập, chúng tôi sẽ sử dụng một trong các plugin miễn phí của chúng tôi. Đầu tiên là plugin Clearfy có tích hợp bảo mật trang đăng nhập WordPress. Ngoài ra, plugin còn chứa nhiều chức năng bảo vệ, tối ưu hóa (bao gồm cả SEO) và tăng tốc.
Bảo vệ thư mục wp-admin
Chức năng duy nhất của nó là bảo vệ trang đăng nhập.
Phần kết luận
Trong bài viết này, chúng tôi đã giải thích lý do tại sao việc bảo vệ trang đăng nhập lại quan trọng đến vậy, đồng thời xem xét khả năng giải quyết vấn đề của các plugin của chúng tôi.
Dựa trên mục tiêu của bạn, bạn có thể chọn plugin nào phù hợp với mình nhất – Xóa hoặc Ẩn thông tin đăng nhập của tôi.
Hãy nhớ rằng việc bảo vệ trang web của bạn kịp thời và đáng tin cậy sẽ giúp bạn tiết kiệm rất nhiều thời gian và nguồn tài chính.
Bảng quản trị WordPress cho phép bạn thực hiện hầu hết việc quản lý trang web. Vì vậy, với sự trợ giúp của nó, bạn có thể tạo/chỉnh sửa nội dung, cài đặt/gỡ bỏ plugin, làm việc với người dùng đã đăng ký, nhận một số thống kê về hiệu suất của trang web, v.v.
Tại sao ẩn bảng quản trị?
Theo mặc định, WordPress sử dụng các địa chỉ sau để đăng nhập vào bảng quản trị:
http://site.ru/wp-admin/ http://site.ru/wp-login.php
Nó có vẻ không phải là một vấn đề lớn, phải không? Nhưng thật không may, có một phần mềm độc hại nếu biết địa chỉ bảng quản trị của bạn có thể gây hại cho hoạt động của toàn bộ trang web. Ví dụ: bắt đầu chọn mật khẩu và có quyền truy cập để quản lý toàn bộ trang web.
Có một số cách để đảm bảo rằng việc truy cập vào bảng quản trị trang web của bạn được thực hiện tại một địa chỉ khác do bạn chỉ định. Chúng tôi sẽ sử dụng một plugin có thể giải quyết vấn đề chỉ bằng một cú nhấp chuột. Nhờ đó, bạn không cần phải viết một dòng mã nào mà chỉ cần kích hoạt plugin và chỉ định địa chỉ mong muốn.
Đổi tên plugin wp-login.php
Vì vậy, sau khi cài đặt và kích hoạt plugin Rename wp-login.php, bạn sẽ ngay lập tức được chuyển hướng đến trang Cài đặt -> Liên kết cố định, nơi bạn có thể nhập địa chỉ mà bạn sẽ cần để đăng nhập vào bảng quản trị.
Theo mặc định, plugin cung cấp thông tin đăng nhập của quản trị viên tại
Http://site.ru/login
Bây giờ tôi đang cố gắng đi đến địa chỉ
http://site.ru/wp-login.php
Bạn sẽ nhận được lỗi 404, tức là. rằng trang này không có sẵn.
Tất nhiên, việc bảo vệ trang web không chỉ giới hạn ở việc đổi tên địa chỉ đăng nhập trong bảng quản trị mà kết hợp với các giải pháp khác sẽ giúp bảo vệ trang web của bạn khỏi những ảnh hưởng xấu.
