Wp login php

Вход в админку WordPress

По умолчанию зайти в админку WordPress можно по любой из следующих ссылок:

 

http://ваш_сайт/wp-admin

http://ваш_сайт/wp-login.php

 

Откроется страница с формой, в которой необходимо указать имя пользователя (администратора) и пароль. Эти данные вы вводили во время установки WordPress.

 

 

Вход в админку WordPress

 

Нажимайте “Войти” и, если указанный пользователь с таким паролем существует, то вы попадете в админку WordPress (административная часть).


Здесь вы будете проводить большую часть своего времени во время работы с сайтом. Хотя, написание статей можно и нужно вынести за пределы админки. Т.е. делать это через стороннюю программу. Наиболее популярная из них Windows Live Writer. Об этом я напишу позже. Еще некоторые моменты можно делать напрямую в файлах, но в целом, весь процесс настройки, установки плагинов и прочее будет происходить именно в этой административной части.

В начале статьи я написал, что указанные урл адреса админки доступны по умолчанию. Т.е. сразу после установки WordPress вы сможете зайти по ним в админку. Но, в будущем, во избежание брутфорс аттак, необходимо будет изменить адрес админки и имя администратора. Об этом я также напишу в одной из следующих статей.

Думаю, вопрос “Как зайти в админку WordPress?” – раскрыт и никаких сложностей не вызвал.

wordpress-life.ru

Ранее мы уже писали вкратце о том, как обезопасить свой сайт на движке WordPress, и одним из способов было ограничение доступа к важным файлам сайта. Мы показали, как можно запретить доступ к файлам wp-config.php и .htaccess. В связи с тем, что хакеры не ограничиваются только этими файлами, сегодня мы расширим список файлов с ограниченным доступом. В этой статье мы рассмотрим ограничение доступа к файлу wp-login.php
, который отвечает за форму авторизации на сайте.

 

Внимание! Учтите, что если на вашем сайте используется более чем один аккаунт (например, у вас на сайте разрешена регистрация), у зарегистрированных пользователей могут возникнуть проблемы со входом на сайт. Сегодняшняя рекомендация будет полезной, если, например, вы являетесь единственным администратором (или зарегистрированным пользователем).

Если ваш аккаунт атакуют хакеры через форму авторизации, вы можете ограничить доступ к файлу wp-login.php в WordPress по IP. И в этой статье мы расскажем, как это можно сделать.

 

Чтобы ограничить доступ к файлу формы авторизации на сайте WordPress – wp-login.php – вам нужно открыть файл .htaccess в корне сайта и добавить в начало этого файла следующие строчки:

 

<Files wp-login.php>   order allow, deny   deny from all   # ниже указываем разрешенный (или разрешенные, через запятую) IP   allow from xxx.xxx.xx.x  </Files>  

 

Внимание! Не забудьте заменить IP-адрес (xxx.xxx.xx.x) на свой.

Теперь доступ к файлу wp-login.php будет только у вашего IP, т.е., открыть форму входа на сайт сможете только вы.

У этого способа есть один недостаток – если у вас не статический, а динамический IP-адрес. В этом случае у вас будут возникать проблемы со входом в Консоль: вам нужно будет постоянно обновлять разрешенный IP в файле .htaccess
. В противном случае этот способ поможет вам усилить безопасность вашего сайта.



 

Для дополнительной безопасности сайта на ВордПресс, рекомендуем вам также ознакомиться с нашей предыдущей статьей.

 


sebweo.com

Прячем вход wp-admin и wp-login на блоге

Итак, приступим.
Первая и основная наша задача это спрятать всем известный вход в админ. панель wordpress блога
https://zarobitok.ru/wp-admin
https://zarobitok.ru/wp-login.php

1. Заходим через FTP в корневую папку сайта и находим там файл wp-login.php копируем его (сделайте резервную копию) на свой ПК на рабочий стол.

2. Переименуйте его на свое усмотрение (к примеру, 12345.php)
3. Открываем данный файл в блокноте, лучше работать Notepad++ в нем много всяких полезностей, сейчас увидите.

  • 1. Переименованный файл wp-login.php на 12345.php
  • 2. Поиск – присутствует в Notepad++ и упрощает вам работу.
  • 3.Замена.
  • 4. Прописываем wp-login.php (так как мы его будем менять)
  • 5. Заменить на – вписываем наш файл 12345.php
  • 6. Нажимаем – заменить все.
  • 7. Показано количество изменений (в данном случаи 12 замен с wp-login.php на 12345.php).
  • 8. Сохранить.

Сохраненный файл 12345.php закачиваем обратно на сайт, а файл wp-login.php — удаляем.

2. Перемещаемся в пакту wp-includes находится там же в корневой пакте сайта и находим файл general-template.php копируем его на ПК и открываем в редакторе Notepad++

Делаем 8 действий, как и с файлом wp-login.php. Только учтите, данный файл не нужно переименовывать он остается с названием general-template.php меняем только содержимое файла.
Также в данном файле строка 334 остается без изменений, функция:

Закидываем файл обратно на сайт, попросит запрос «заменить» соглашаемся.

3. В корневой папке сайта находим файл .htaccess копируем на ПК, открываем и в самом начале прописываем ниже приведенный код

Благодаря данному коду мы снимаем нагрузку, при вводе мошенником запрос к админки (https://zarobitok.ru/wp-login.php ) будет выдаваться ошибка 403 Forbidden «запрещено» You don’t have permission to access «У вас нет прав».
Также при запросе https://zarobitok.ru/wp-admin также сработает ошибка 403 Forbidden.
Вот таким простым способом мы спрятали вход админки wp-admin и wp-login.php от сторонних =-O глаз.
Удачи!

zarobitok.ru

Добрый день, уважаемый посетитель!

Если вы являетесь владельцем сайта на движке WordPress, то наверняка у вас возник вопрос «Как зайти в админку WordPress».

Такой вопрос у вас не должен больше возникать, поэтому я дам на него простой ответ.

Вход в админ-панель происходит  определенному адресу, который необходимо ввести в адресную строку браузера:


Кроме этого можно воспользоваться другим адресом:

Вместо фразы «ваш-домен.ру» вы должны ввести адрес вашего сайта (в моем случае kostykhmelev.ru/wp-login.php или kostykhmelev.ru/wp-admin).

«>

Перейдя по одному из выше предоставленных адресов, вы должны попасть на страницу, где будет предложено ввести логин и пароль для входа в аминку WordPress.

Ситуация будет следующая.


«>

Имя пользователя (логин) и пароль вы указывали, когда производили установку WordPress на хостинг. Эти данные должны у вас быть. Если же вы их не меняли при установке движка, то попробуйте ввести стандартные данные: логин — admin, пароль — admin.

Чтобы каждый раз не вводить эти данные, можно поставить чек-бокс «Запомнить меня», тогда все данные будут всегда заполнены и в случае, если из админки вас выкинет, вы сможете вернуться в нее одним нажатием кнопки «Войти».

После того, как зашли в админ-панель движка, можно уже делать другие задачи: добавлять статьи, страницы. В общем, управлять сайтом по полной. Вот как выглядит админ-панель сайта на этой платформе. У вас должна быть похожая ситуация.

«>

Если же не помните свои данные для входа в админку, то советую изучить материал о том, как восстановить пароль WordPress, чтобы вернуть все на места свои.

Вход в админку можно произвести и с помощью стандартного виджета «Мета», который по умолчанию устанавливается в боковую колонку сайта после инсталяции WordPress.

«>

Жмете на ссылку «Войти» и далее вводите логин и пароль также, как и в предыдущем случае.


На этом все, друзья! Если вдруг не получается зайти в админ-панель сайта по данному материалу, то пишите свои комментарии с описанием проблем и ошибок. Будем стараться все решить. Пока.

С уважением, Константин Хмелев!

Wp login php

kostyakhmelev.ru

Пользовательская страница авторизации

Итак, первое, что нам нужно, это создать шаблон пользовательской страницы входа. Для этого мы создаем страницу шаблона и называем ее, к примеру, page-login.php.

Затем, создаем новую страницу в панели администрирования и ставим постоянную ссылку для страницы авторизации.

WordPress автоматически подцепит шаблон page-login.php:

Форма входа

Поместите тег wp_login_form в код шаблона page-login.php для отображения формы авторизации:

Следующая часть необязательна, но в некоторых случаях она может быть использована. Мы можем настроить такие части формы, как страница для редиректа после успешной авторизации, поля смены пользователя и пароля и так далее:


Здесь же вы можете, к примеру, добавить такие штуки как логотип и описание вашего сайта:

Теперь приступим к настройке внешнего вида страницы с помощью CSS-стилей. В этом примере я покажу, как выглядит моя страница для входа.

У нее темный фон с голубой кнопкой, которые соответствуют теме сайта Hongkiat.com:

Проверка связки имя-пароль

В этой части страница уже функционирует. Мы можем попытаться авторизоваться, и если вход выполнен успешно, нас перебросит на страницу, которую мы указали в параметре redirect на предыдущем шаге. Но есть еще кое-что, на что мы обратим наше внимание.

Во-первых, страница wp-login.php до сих пор остается доступной. Стоит поставить редирект с wp-login.php на созданную нами страницу, чтобы наши клиенты могли на неё попасть.

Для этого нужно добавить следующий код в файл functions.php используемой вами темы WordPress:

Не забудьте присвоить переменной $login_page значение адреса вашей страницы для входа.

Во-вторых, страница авторизации работает так как задумано только в случае, если попытка входа удалась. Но, что происходит, если вход не удался?

К примеру, введена неверная пара логин-пароль или оставлено пустое поле. Нас снова выбросит на wp-login.php.

Чтобы избежать этого добавляем следующую функцию в файл functions.php:


Две эти функции выполняют несколько задач: переадресуют пользователей в случае неудачной попытки входа и дописывают к URL-адресу строки запроса login значение failed или empty:

Последняя проблема, которую мы решим это редирект к wp-login.php при выходе с сайта. Нам стоит определить страницу редиректа для корректного перехода при нажатии кнопки выхода:

Сообщение об ошибке

Мы будем показывать пользователю сообщение, и когда случается ошибка, и когда он выходит с сайта при помощи query string, значение которой мы поместили в URL. Для того чтобы получить значение из строки запроса, мы будем использовать переменную $_GET.

Поместите код, приведенный ниже, в шаблон страницы авторизации:

Код, приведенный выше, проверяет, содержит ли переменная login что-либо и в противном случае приравнивает ее к значению 0.

Также мы будем отображать сообщения, основанные на значении переменной $error:

И ниже, собственно, пример того, как может такое сообщение выглядеть:

Заключение

Осталось еще несколько вещей, которые мы можем добавить к странице авторизации. К примеру, ссылка на страницу для восстановления пароля, ссылка на страницу регистрации нового пользователя и персонализированные сообщения об ошибках.

Но с другой стороны, наша страница полностью функциональна, позволяет пользователям входить на сайт и выходить из него, и поэтому я считаю это неплохой точкой для старта. Далее можно добавлять тот функционал, который вы посчитаете нужным.


Надеюсь, это руководство окажется для вас полезным!

Данная публикация представляет собой перевод статьи «How To Build A Fully Customized WordPress Login Page» , подготовленной дружной командой проекта Интернет-технологии.ру

www.internet-technologies.ru


Всем привет ! сегодня я покажу вам несколько эффективных способов, которые помогут вам защитить файл wp-login.php. Файл, который отвечает за вход на сайт и является основной мишенью для вирусных атак. Именно на файл wp-login.php производят многочисленные запросы с целью найти слабые места и взломать сайт. Многочисленные запросы к данному файлу, могут являться причиной перегрузки сервера, поэтому защитив файл входа, вы не только убережёте свой сайт от взлома, но и снимите лишнею нагрузку с сервера. Я покажу вам несколько действующих методов, которые помогут вам убить двух зайцев. Поехали ! Wp login php

 

 

Меняем адрес входа

 

Очень простой, а главное эффективный способ. Поменяв адрес входа на сайт, можно спать спокойно, все запросы к стандартному адресу будут переадресованы на 404 ошибку. То есть все автоматические запросы, с попыткой взломать ваш сайт, будут посланы в не удел. Никто кроме вас не будет знать адрес входа на ваш сайт, это лучшая защита. Поменять адрес входа можно с помощью очень простого и лёгкого плагина – WPS Hide Login. Плагин имеет очень простые и понятные настройки, вам лишь нужно будет указать новый адрес и всё. Плагин хорош тем, что обновления wordpress никак не влияют на его работу, то есть у вас никогда не возникнет проблем с входом на сайт.

 

07-01-2016 21-17-48_mini

 

 

 

Закрываем доступ к файлу всем кроме админа в .htaccess

 

Ещё один верный способ защитить файл wp-login.php, это закрыть к нему доступ всем кроме администратора сайта, прописав специальный код в файле .htaccess. Зайдите в панель управления вашим сайтом на хостинге, в основную директорию, где расположены все файлы сайта, найдите файл .htaccess и откройте его, в конец файла добавьте следующий код:

 

<Files wp-login.php>
order deny,allow
deny from all
allow from 91.273.106.3 – замените на свой ip-адрес.
</Files>

 

В коде закрыт доступ к файлу wp-login.php всем кроме админа, указан ip-адрес админа. Если у вас динамический ip-адрес, который постоянно меняется, то указывайте только первую пару цифр с точкой на конце, пример – 91.273. Ещё, если вы хотите разрешить доступ нескольким ip-адресам, а не только своему, то указывайте их через пробел.

 

 

 

Лимит попыток для входа

 

Если на вашем сайте открыта регистрация, то предыдущие два способа могут вам не подойти. В этом случае я рекомендую использовать плагин – Brute Force Login Protection. Данный плагин устанавливает лимит попыток для входа на сайт, если лимит превышен пользователь будет заблокирован на определённое время, которое вы укажите в настройках. Плагин хорош тем, что на странице входа показывается сколько осталось попыток для входа, поэтому нормальные пользователи не будут блокироваться. Так же вы сможете прямо в админ панели блокировать или разблокировать ip-адреса, у вас будет список заблокированных ip-адресов.

 

07-01-2016 20-39-03_mini

 

 

На этом у меня всё, будьте бдительны, удачи вам и до новых встреч ! Жду ваших комментариев !

 

 

Поделиться ссылкой:

Данная статья принадлежит сайту info-effect.ru




info-effect.ru

Доступ в админ панель WordPress стандартными путями.

Для того чтобы перейти в административную панель сайта Вордпресс, как правило, к адресу (url) сайта добавляется wp-admin.

Вид такой ссылки:

http://domen.ru/wp-admin

Введя такой адрес, любой желающий перейдёт на страницу входа в админ панель. И, может, методом подбора пытаться получить доступ к сайту.

Доступ к wp-admin

В интернете много информации по поводу редиректа со страницы wp-admin. Информация полезная и позволяет отсеять таких любопытных посетителей, которые не знаю, что доступ на страницу входа в административную панель WordPress осуществляется по следующему адресу:

http://domen.ru/wp-login.php

И предыдущий скриншот наглядно демонстрирует этот url. Так как после перехода по адресу http://domen.ru/wp-admin происходит переадресация на страницу входа wp- http://domen.ru/login.php?pass=1

И вот этот самый адрес знают и атакуют злобные боты.

А, значит, нам нужно изменить страницу входа и правильно настроить перенаправление.

Как изменить страницу входа в админ панель Вордпресс.

Для этого нам потребуется стандартный файл, отвечающий за вывод формы доступа к админ панели: wp-login.php.

Шаг 1.

Открываете содержимое вашего сайта, через файловый менеджер или через ftp-соединение. И копируете файл wp-login.php к себе на компьютер.

Копируем wp-login на комп

Шаг 2.

— Переименовываете файл, имя подбираете так, чтобы вам было удобно использовать его для входа в админ панель, но при этом оно должно быть довольно сложным для подбора. В качестве примера я переименовал этот файл в 123.php (вы так не делайте). 😉

— Открываете файл в редакторе кода Notepad++.

— Нажимаете комбинацию клавиш CTRL+F (поиск и замена).

— Перейдите к закладке «Заменить», в поле «Найти» введите wp-login.php, а в поле «Заменить на» введите название файла (в моём примере – это 123.php) и нажмите кнопку «Заменить всё».

Замена в файле wp-login.php

Всего должно быть 12 замен.

— Сохраняете изменения в файле.

— Копируете файл обратно на хостинг.

Копируем файл на хостинг

Всё. Теперь доступ на страницу входа в админи панель доступен по адресу:

http://domen.ru/123.php

Но, он также доступен и по старым адресам:

http://domen.ru/wp-admin

http://domen.ru/login.php

А, значит, нужно исключить доступ к странице входа по старым адресам.

Как настроить редирект (перенаправление) с wp-admin и wp-login.php.

Для того чтобы по старым адресам страница входа в админ панель была недоступна и при этом не выдавала ошибку 404, нужно настроить простой редирект на главную страницу сайта.

Для настройки редиректа будем использовать файл функции темы (functions.php). Но, при этом, если вы смените тему, то редирект перестанет работать. Это вы должны помнить. В качестве альтернативы можно использовать плагин и тогда ваши доработки будут не тронуты при смене темы. Как создать такой плагин читайте здесь.

Предупреждение: перед началом работ сделайте резервную копию файла functions.php.

Итак, открываете административную панель Вордпресс – «Внешний вид»«Редактор»«Функции темы». Пролистывайте файл вниз. Внизу этого файла будет либо окончание функции (}), либо закрытие кода php (?>).

Окончание файла functions.php

Если у вас заканчивается файл (?>), значит, удаляете эти символы и вставляете функции редиректа. Если файл заканчивается очередной функцией, то ниже этой функции вставляете предложенные ниже коды.

Редирект с wp-admin:

/*редирект с wp-admin*/ add_action( 'init', 'blockusers_init' );  function blockusers_init() {  if ( is_admin() && ! current_user_can( 'administrator' ) &&  ! ( defined( 'DOING_AJAX' ) && DOING_AJAX ) ) {  wp_redirect( home_url() );  exit;  }  }

После добавления этой функции, при вводе адреса http://domen.ru/wp-admin будет происходить переадресация на главную страницу http://domen.ru. У этого кода есть особенность, если кроме админа на сайте есть авторы и редакторы, тогда код нужно дополнить.

Редирект с wp-login.php:

/*редирект с wp-login.php*/ function redirect_login_page() {       $page_viewed = basename($_SERVER['REQUEST_URI']);          if( $page_viewed == "wp-login.php?pass=1" ) {           wp_redirect( home_url() );           exit;       }   }   add_action('init','redirect_login_page');

А эта функция не даст добраться к странице входа по адресу http://domen.ru/wp-login.php. Потому как тоже будет перенаправлять на главную страницу сайта, всех желающих перейти по этому адресу.

Редирект при нажатии на кнопку «Выйти»:

/*редирект после выхода из админ панели*/ function logout_page() {       $login_page  = home_url( 'wp-admin' );       wp_redirect( $login_page . "?loggedout=true" );       exit;   }   add_action('wp_logout','logout_page');

Это нужно только для зарегистрированных пользователей. Чтобы после выхода в адресной строке не оставалось информационного мусора. Наглядно я показываю это в видеоуроке.

В итоге ваш файл функции темы будет выглядеть так:

Готовые функции редиректа

Можете смело проверять. Попасть на страницу входа и в административную панель вы сможете только по адресу домена и имени файла, который вы создали в начале урока. В моём случае это 123.php.

Единственный момент, если ваш сайт установлен не в корневой папке, тогда после входа вы не будете перенаправляться в админ панель, а будете оставаться на главной странице сайта. При этом административная панель станет доступна в верхней части экрана (как обычно после авторизации и работе с сайтом).

А теперь предлагаю посмотреть наглядную инструкцию в видеоформате.


На этом я заканчиваю. Устанавливайте защиту на свои сайты и спите спокойно. Безусловно, если будут вопросы, обращайтесь в комментариях, я постараюсь помочь. Также советую обратить внимание на плагин Clearfy, который поможет защитить ваш сайт и устранить ещё два десятка ошибок.

Друзья, желаю вам удачи и хорошего настроения. До встречи в новых статьях.

С уважением, Максим Зайцев.


    Похожие статьи по теме:

  • WordPress 5.0 – установка классического редактора и устранение проблем
  • ХакСкан — проверка сайта на вирусы
  • Главная страница WordPress – настройка и редактирование
  • Как изменить адрес сайта в WordPress: технические тонкости
  • Лучшие плагины для WordPress, которые я использую на своём блоге

1zaicev.ru

В нарушение всех планов на написание постов хочу дополнить предыдущий пост о защите блога на wordpress, а точнее о защите файлов и папок средствами .htaccess. В корне наших блогов лежат файлы wp-login.php и wp-config.php, которые особенно интересны злоумышленнику, ну и нам их без внимания оставлять не следует.

Злоумышленники в нашем случае — это «школота», которая в летний период, вместо того, чтобы отдыхать и гулять, сливают в сети готовые разного рода программы и уже считают себя «хакерами». Смех да и только, но хлопот, те самые, запускаемые «школотой» программы доставляют не мало.

Защита файлов wp-login.php и wp-config.php от взлома

Прежде чем приступим к защите wp-login.php и wp-config.php, напомню несколько прошлых постов о защите сайтов на wordpress, которые актуальны и сейчас:

  • Воспользуйтесь 5 практическими решениями для защиты сайта от взлома
  • Делайте регулярный автоматический бекап данных в панели управления сервером ISP Manager
  • Ну и прошлый пост о том, как мы можем закрыть доступ в админку сайта абсолютно всем и пофиг, что у них большой список прокси-серверов)

Отлично, идем дальше и закрываем от всех лишних глаз файл wp-login.php.

Шаг 1. Оригинальный wp-login.php переименуем в любое другое название, хоть в «s4gr3gerh6hb.php».

Шаг 2. Затем заменим все слова wp-login.php на новое имя, в нашем случае на s4gr3gerh6hb.php, в файле s4gr3gerh6hb.php (старый wp-login.php) и в файле wp-includes/general-template.php.

Шаг 3. Заключительным шагом станет полное ограничение доступа к файлу wp-login.php в .htaccess:

<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

Поясню зачем ограничивать доступ к файлу wp-login.php, если по сути его уже нет, а есть новый, неизвестный злоумышленнику «s4gr3gerh6hb.php». Как я говорил выше, попытками взлома наших блогов занимаются далеко не серьезные люди, а «школота», которая скачивает программу-заготовку и запускает ее по инструкции, совершенно не соображая, что действия, производимые программой, бессмысленны.

Но нас на самом деле это не очень успокаивает, потому что в ответ на многочисленные запросы сервер возвращает нашу 404 страницу, а это очень большая нагрузка, которую мы можем избежать, воспользовавшись шагом 3. Теперь, когда в .htaccess к несуществующему файлу ограничен доступ, в ответ подлецу 🙂 будет отдаваться 403 ошибка, а серверу это какой либо заоблачной нагрузкой не грозит.

С защитой файла wp-config.php все намного проще. Нам он требуется крайне редко, если вообще после установки блога требуется, потому к нему достаточно закрыть доступ для всех. Пишем в .htaccess

<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>

и мы в шоколаде.

Удачи Вам, друзья, успехов. Предохраняйтесь, не давайте им шанса 😉

pervushin.com


You May Also Like

About the Author: admind

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Adblock
detector