Всем привет ! сегодня я покажу вам несколько эффективных способов, которые помогут вам защитить файл wp-login.php. Файл, который отвечает за вход на сайт и является основной мишенью для вирусных атак. Именно на файл wp-login.php производят многочисленные запросы с целью найти слабые места и взломать сайт. Многочисленные запросы к данному файлу, могут являться причиной перегрузки сервера, поэтому защитив файл входа, вы не только убережёте свой сайт от взлома, но и снимите лишнею нагрузку с сервера. Я покажу вам несколько действующих методов, которые помогут вам убить двух зайцев. Поехали ! 
Меняем адрес входа
Очень простой, а главное эффективный способ. Поменяв адрес входа на сайт, можно спать спокойно, все запросы к стандартному адресу будут переадресованы на 404 ошибку.
есть все автоматические запросы, с попыткой взломать ваш сайт, будут посланы в не удел. Никто кроме вас не будет знать адрес входа на ваш сайт, это лучшая защита. Поменять адрес входа можно с помощью очень простого и лёгкого плагина — WPS Hide Login. Плагин имеет очень простые и понятные настройки, вам лишь нужно будет указать новый адрес и всё. Плагин хорош тем, что обновления wordpress никак не влияют на его работу, то есть у вас никогда не возникнет проблем с входом на сайт.
Закрываем доступ к файлу всем кроме админа в .htaccess
Ещё один верный способ защитить файл wp-login.php, это закрыть к нему доступ всем кроме администратора сайта, прописав специальный код в файле .htaccess. Зайдите в панель управления вашим сайтом на хостинге, в основную директорию, где расположены все файлы сайта, найдите файл .htaccess и откройте его, в конец файла добавьте следующий код:
<Files wp-login.php>
order deny,allow
deny from all
allow from 91.273.106.3 — замените на свой ip-адрес.
</Files>
В коде закрыт доступ к файлу wp-login.php всем кроме админа, указан ip-адрес админа. Если у вас динамический ip-адрес, который постоянно меняется, то указывайте только первую пару цифр с точкой на конце, пример — 91.273. Ещё, если вы хотите разрешить доступ нескольким ip-адресам, а не только своему, то указывайте их через пробел.
Лимит попыток для входа
Если на вашем сайте открыта регистрация, то предыдущие два способа могут вам не подойти. В этом случае я рекомендую использовать плагин — Brute Force Login Protection. Данный плагин устанавливает лимит попыток для входа на сайт, если лимит превышен пользователь будет заблокирован на определённое время, которое вы укажите в настройках. Плагин хорош тем, что на странице входа показывается сколько осталось попыток для входа, поэтому нормальные пользователи не будут блокироваться. Так же вы сможете прямо в админ панели блокировать или разблокировать ip-адреса, у вас будет список заблокированных ip-адресов.
На этом у меня всё, будьте бдительны, удачи вам и до новых встреч ! Жду ваших комментариев !
info-effect.ru
По умолчанию зайти в админку WordPress можно по любой из следующих ссылок:
http://ваш_сайт/wp-admin
http://ваш_сайт/wp-login.php
Нажимайте “Войти” и, если указанный пользователь с таким паролем существует, то вы попадете в админку WordPress (административная часть).
Здесь вы будете проводить большую часть своего времени во время работы с сайтом. Хотя, написание статей можно и нужно вынести за пределы админки. Т.е. делать это через стороннюю программу. Наиболее популярная из них Windows Live Writer. Об этом я напишу позже. Еще некоторые моменты можно делать напрямую в файлах, но в целом, весь процесс настройки, установки плагинов и прочее будет происходить именно в этой административной части.
В начале статьи я написал, что указанные урл адреса админки доступны по умолчанию. Т.е. сразу после установки WordPress вы сможете зайти по ним в админку. Но, в будущем, во избежание брутфорс аттак, необходимо будет изменить адрес админки и имя администратора. Об этом я также напишу в одной из следующих статей.
Думаю, вопрос “Как зайти в админку WordPress?” – раскрыт и никаких сложностей не вызвал.
wordpress-life.ru
Подробнее:
Периодически мой любимый хостер — reg.ru (ссылка рефферальная;)) — начинает активно беспокоиться о безопасности моих (и чужих) сайтов и рассылать емейлы с темой «Обнаружена попытка взлома ваших сайтов». В письме приведено несколько рекомендаций, но особенно привлекает внимание следующее предложение:
«В связи с обнаружением Brute-force атаки, на страницы доступа к административным панелям всех Ваших сайтов использующих CMS Joomla и WordPress была установлена дополнительная базовая HTTP-аутентификация средствами .htaccess.»
Спасибо большое! Безопасность прежде всего. Дополнительная HTTP-аутентификация ставится на все сайты, в которых определено присутствие популярной CMS. То есть, даже если ваш сайт закрыт от индексирования, то есть возможность его открытия кем-то, а значит и взлома, очень мала, все равно, на нем поставят дополнительную защиту.
И даже, если ваш сайт на wordpress уже защищен максимально, как только можно (что я обычно делаю для всех клиентских сайтов), все равно добрый хостер поставит защиту. За что ему искреннее спасибо, потому что всегда лучше перебдеть!
Но в случае установки защиты клиент не сможет попасть в админ-панель сайта тем способом, как он привык делать. Он набирает известный ему адрес админки (который может отличаться от стандартного) и видит дополнительное всплывающее окно для ввода пароля:
Это и есть так называемая HTTP-аутентификация. Прописывается она в файле .htaccess. Файл этот по умолчанию располагается в папке с файлами wordpress.
Для клиентов это очень неудобно. Защита, конечно, убирается быстро, достаточно зайти по ftp и почистить .htaccess, но ведь она может появиться опять! Кроме того, если .htaccess расположен в корневой директории хостинга, а сайты располагаются во вложенных папках (так бывает), то окно будет выскакивать на всех сайтах, даже если вы почистите вложенные файлы .htaccess.
В чем, собственно, состоит защита? Все очень просто — делается проверка на попытку получения доступа к файлу wp-login.php — который как раз отвечает за авторизацию в системе (причем, не только в админке, так что, если вы ведете проект с возможностью авторизации пользователей, то для вас проблема еще актуальнее).
Решение, которое напрашивается само собой — переименовать файл wp-login.php. Чтобы попытка прямого обращения отдавала 404 ошибку, но можно было легко зайти по измененному адресу, а так же, чтоб это никак не сказалось на самом движке.
Как ни странно, во всех известных мне плагинах, обеспечивающих безопасность в wordpress — better wp security, wordfence, bulletproof security — есть опция для изменения пути доступа в админку (папка wp-admin), но нет опции изменения самого файла wp-login.php. Хотя напрямую при использовании этих плагинов вы его открыть все равно не сможете — получите 404.
Возможно, у вас будут какие-то еще причины переименовать этот файл. Тогда вам тоже пригодится данное решение.
Решение:
Поиск в google помог найти лишь жалкую горстку статей на эту тему, хотя и одно действительно рабочее решение — плагин «Rename wp-login.php» После его установки и активации вам сразу открывается страница настроек ЧПУ, где добавляется новое поле, в котором можно задать новое название для нужного нам файла.
Теперь при попытке перейти по адресу http://ВАШ_САЙТ/wp-login.php вы получите 404 ошибку, зато по измененному адресу можно спокойно попасть в админку (естесственно, после логина и пароля), даже если на сам файл повешена HTTP-аутентификация, или еще какие правила в .htaccess (deny for all, например). Обратите внимание, что плагин заявлен как «неподдерживаемый». Я не увидел никаких проблем с его использованием, но все равно советую вам провести тестирование, если вы используете различные способы авторизации на сайте — напрямую, через соц.сети, через сторонние плагины.
romapad.ru
Публикация в группе: Web-Blog — Блог о блоге на WordPress!
Категории группы: WordPress
Всем привет! Вот приспичило мне скрыть странички wp-admin и wp-login, но есть одна проблемка, о ней и поговорим!
Для тех кто не знает и желает так же скрыть wp-admin и wp-login, выложу код, который необходимо будет добавить в конце файла functions.php:
теперь при желании пользователя посетить данные страницы, будет высвечиваться сообщение, что данной страницы нет! Не уверен, правильно ли я сделал, но результат свой дает!
Возникает другая проблема, если у вас отключены комментарии, то для неавторизованных пользователей появляется ссылка с предложением авторизоваться:
и естественно если мы на нее нажимаем, то у нас появится сообщение о том, что данной страницы нет.
Есть вариант, изменить немного ранее добавленный код на следующий:
в данном случае у нас нет страницы wp-admin и есть редирект с wp-login на главную с открывающимся окном авторизации нашего плагина Wp-Recall. Окно мы получили с помощью данной вставки
, подробнее можете почитать ТУТ в разделе «Шорткоды для формы регистрации и входа».
Естественно, при наведении мышки на ссылку авторизации, внизу браузера высветится то, что вы должны перейти на страницу wp-login, но я не думаю, что на это особо обращают внимание!
Есть несколько вопросов, на которые я не знаю ответа и надеюсь, что знающие смогут ответить на них в комментариях:
Возможно ли скрыть отображаемую ссылку на страницу wp-login, при наведении на ссылку «авторизоваться»?
Как сделать, что бы не совершался редирект на главную при клике на ссылку «авторизоваться» («get_permalink» не работает)?
Или как сделать, что бы при нажатии на ссылку «авторизоваться» открывалось окно авторизации Wp-Recall?
На этом все, всем спасибо за внимание и удачи в продвижении ваших проектов!
codeseller.ru
В нарушение всех планов на написание постов хочу дополнить предыдущий пост о защите блога на wordpress, а точнее о защите файлов и папок средствами .htaccess. В корне наших блогов лежат файлы wp-login.php и wp-config.php, которые особенно интересны злоумышленнику, ну и нам их без внимания оставлять не следует.
Злоумышленники в нашем случае — это «школота», которая в летний период, вместо того, чтобы отдыхать и гулять, сливают в сети готовые разного рода программы и уже считают себя «хакерами». Смех да и только, но хлопот, те самые, запускаемые «школотой» программы доставляют не мало.
Прежде чем приступим к защите wp-login.php и wp-config.php, напомню несколько прошлых постов о защите сайтов на wordpress, которые актуальны и сейчас:
- Воспользуйтесь 5 практическими решениями для защиты сайта от взлома
- Делайте регулярный автоматический бекап данных в панели управления сервером ISP Manager
- Ну и прошлый пост о том, как мы можем закрыть доступ в админку сайта абсолютно всем и пофиг, что у них большой список прокси-серверов)
Отлично, идем дальше и закрываем от всех лишних глаз файл wp-login.php.
Шаг 1. Оригинальный wp-login.php переименуем в любое другое название, хоть в «s4gr3gerh6hb.php».
Шаг 2. Затем заменим все слова wp-login.php на новое имя, в нашем случае на s4gr3gerh6hb.php, в файле s4gr3gerh6hb.php (старый wp-login.php) и в файле wp-includes/general-template.php.
Шаг 3. Заключительным шагом станет полное ограничение доступа к файлу wp-login.php в .htaccess:
<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>
Поясню зачем ограничивать доступ к файлу wp-login.php, если по сути его уже нет, а есть новый, неизвестный злоумышленнику «s4gr3gerh6hb.php». Как я говорил выше, попытками взлома наших блогов занимаются далеко не серьезные люди, а «школота», которая скачивает программу-заготовку и запускает ее по инструкции, совершенно не соображая, что действия, производимые программой, бессмысленны.
Но нас на самом деле это не очень успокаивает, потому что в ответ на многочисленные запросы сервер возвращает нашу 404 страницу, а это очень большая нагрузка, которую мы можем избежать, воспользовавшись шагом 3. Теперь, когда в .htaccess к несуществующему файлу ограничен доступ, в ответ подлецу ? будет отдаваться 403 ошибка, а серверу это какой либо заоблачной нагрузкой не грозит.
С защитой файла wp-config.php все намного проще. Нам он требуется крайне редко, если вообще после установки блога требуется, потому к нему достаточно закрыть доступ для всех. Пишем в .htaccess
<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>
и мы в шоколаде.
Удачи Вам, друзья, успехов. Предохраняйтесь, не давайте им шанса ?
pervushin.com
WordPress, конечно, хороший движок, но он также очень популярен у хакеров, взламывающих чужие сайты.
Недавно я обнаружил существенное увеличение нагрузки на хостинг, где хранятся несколько моих сайтов. Просмотр логов обращений показал, что по сайтам идут непрерывные обращение к файлам wp-login.php. Это файл, с помощью которого мы авторизуемся на сайте.
Такие данные в логах означают, что какие-то злоумышленники пытаются подобрать логин/пароль от административной панели сайта. Но помимо риска взлома, такие обращения создают еще и высокую нагрузку на хостинг, в результате чего замедляется работа самих сайтов.
Опишу один из самых простых и эффективных способов, как закрыть wp-login.php.
- Создаем копию файла wp-login.php (должен находиться в корне вашего сайта) и переименовываем его, например, в login2.php.
- В новом файле login2.php заменяем все вхождения wp-login.php на новое имя — в нашем случае login2.php. Новый файл нужно поместить в корень вашего сайта. Такие же замены делаем в файле wp-includes/general-template.php.
- Закрываем доступ к файлу wp-login.php в файле .htaccess
Для этого добавляем в .htaccess следующие строчки:
Можно, конечно, просто удалить wp-login.php, тогда сервер будет возвращать ответ 404 (страница не существует). Однако это тоже создает нагрузку на сайт. Закрывая доступ к файлу в .htaccess мы существенно снижаем нагрузку на сервер.
После из изменения версии WP, скорее всего, нужно будет повторить описанный процесс, поскольку в новой версии может измениться его содержимое.
Теперь доступ к админ. панели сайта можно произвести только через файл login2.php (то есть набрав в браузере строку — http://ваш_сайт/login2.php).
Дополнительно стоит добавить следующий код в function.php (в папке вашей темы). Этот код обеспечит правильную работу с виджетами, использующими вход и выход WP . Обратите внимание, что вместо имени файла login2.php вы должны использовать имя своего нового файла входа в админ. панель.
Возможно, в какой-то из версий движка этот способ перестанет работать. В этом случае можно воспользоваться плагином Limit Login Attempts.
delaemsait.info
Пользовательская страница авторизации
Итак, первое, что нам нужно, это создать шаблон пользовательской страницы входа. Для этого мы создаем страницу шаблона и называем ее, к примеру, page-login.php.
Затем, создаем новую страницу в панели администрирования и ставим постоянную ссылку для страницы авторизации.
WordPress автоматически подцепит шаблон page-login.php:
Форма входа
Поместите тег wp_login_form в код шаблона page-login.php для отображения формы авторизации:
Следующая часть необязательна, но в некоторых случаях она может быть использована. Мы можем настроить такие части формы, как страница для редиректа после успешной авторизации, поля смены пользователя и пароля и так далее:
Здесь же вы можете, к примеру, добавить такие штуки как логотип и описание вашего сайта:
Теперь приступим к настройке внешнего вида страницы с помощью CSS-стилей. В этом примере я покажу, как выглядит моя страница для входа.
У нее темный фон с голубой кнопкой, которые соответствуют теме сайта Hongkiat.com:
Проверка связки имя-пароль
В этой части страница уже функционирует. Мы можем попытаться авторизоваться, и если вход выполнен успешно, нас перебросит на страницу, которую мы указали в параметре redirect на предыдущем шаге. Но есть еще кое-что, на что мы обратим наше внимание.
Во-первых, страница wp-login.php до сих пор остается доступной. Стоит поставить редирект с wp-login.php на созданную нами страницу, чтобы наши клиенты могли на неё попасть.
Для этого нужно добавить следующий код в файл functions.php используемой вами темы WordPress:
Не забудьте присвоить переменной $login_page значение адреса вашей страницы для входа.
Во-вторых, страница авторизации работает так как задумано только в случае, если попытка входа удалась. Но, что происходит, если вход не удался?
К примеру, введена неверная пара логин-пароль или оставлено пустое поле. Нас снова выбросит на wp-login.php.
Чтобы избежать этого добавляем следующую функцию в файл functions.php:
Две эти функции выполняют несколько задач: переадресуют пользователей в случае неудачной попытки входа и дописывают к URL-адресу строки запроса login значение failed или empty:
Последняя проблема, которую мы решим это редирект к wp-login.php при выходе с сайта. Нам стоит определить страницу редиректа для корректного перехода при нажатии кнопки выхода:
Сообщение об ошибке
Мы будем показывать пользователю сообщение, и когда случается ошибка, и когда он выходит с сайта при помощи query string, значение которой мы поместили в URL. Для того чтобы получить значение из строки запроса, мы будем использовать переменную $_GET.
Поместите код, приведенный ниже, в шаблон страницы авторизации:
Код, приведенный выше, проверяет, содержит ли переменная login что-либо и в противном случае приравнивает ее к значению 0.
Также мы будем отображать сообщения, основанные на значении переменной $error:
И ниже, собственно, пример того, как может такое сообщение выглядеть:
Заключение
Осталось еще несколько вещей, которые мы можем добавить к странице авторизации. К примеру, ссылка на страницу для восстановления пароля, ссылка на страницу регистрации нового пользователя и персонализированные сообщения об ошибках.
Но с другой стороны, наша страница полностью функциональна, позволяет пользователям входить на сайт и выходить из него, и поэтому я считаю это неплохой точкой для старта. Далее можно добавлять тот функционал, который вы посчитаете нужным.
Надеюсь, это руководство окажется для вас полезным!
Перевод статьи «How To Build A Fully Customized WordPress Login Page» был подготовлен дружной командой проекта Сайтостроение от А до Я.
www.internet-technologies.ru
Доступ в админ панель WordPress стандартными путями.
Для того чтобы перейти в административную панель сайта Вордпресс, как правило, к адресу (url) сайта добавляется wp-admin.
Вид такой ссылки:
http://domen.ru/wp-admin
Введя такой адрес, любой желающий перейдёт на страницу входа в админ панель. И, может, методом подбора пытаться получить доступ к сайту.
В интернете много информации по поводу редиректа со страницы wp-admin. Информация полезная и позволяет отсеять таких любопытных посетителей, которые не знаю, что доступ на страницу входа в административную панель WordPress осуществляется по следующему адресу:
http://domen.ru/wp-login.php
И предыдущий скриншот наглядно демонстрирует этот url. Так как после перехода по адресу http://domen.ru/wp-admin происходит переадресация на страницу входа wp- http://domen.ru/login.php?pass=1
И вот этот самый адрес знают и атакуют злобные боты.
А, значит, нам нужно изменить страницу входа и правильно настроить перенаправление.
Как изменить страницу входа в админ панель Вордпресс.
Для этого нам потребуется стандартный файл, отвечающий за вывод формы доступа к админ панели: wp-login.php.
Шаг 1.
Открываете содержимое вашего сайта, через файловый менеджер или через ftp-соединение. И копируете файл wp-login.php к себе на компьютер.
Шаг 2.
— Переименовываете файл, имя подбираете так, чтобы вам было удобно использовать его для входа в админ панель, но при этом оно должно быть довольно сложным для подбора. В качестве примера я переименовал этот файл в 123.php (вы так не делайте). ?
— Открываете файл в редакторе кода Notepad++.
— Нажимаете комбинацию клавиш CTRL+F (поиск и замена).
— Перейдите к закладке «Заменить», в поле «Найти» введите wp-login.php, а в поле «Заменить на» введите название файла (в моём примере – это 123.php) и нажмите кнопку «Заменить всё».
Всего должно быть 12 замен.
— Сохраняете изменения в файле.
— Копируете файл обратно на хостинг.
Всё. Теперь доступ на страницу входа в админи панель доступен по адресу:
http://domen.ru/123.php
Но, он также доступен и по старым адресам:
http://domen.ru/wp-admin
http://domen.ru/login.php
А, значит, нужно исключить доступ к странице входа по старым адресам.
Как настроить редирект (перенаправление) с wp-admin и wp-login.php.
Для того чтобы по старым адресам страница входа в админ панель была недоступна и при этом не выдавала ошибку 404, нужно настроить простой редирект на главную страницу сайта.
Для настройки редиректа будем использовать файл функции темы (functions.php). Но, при этом, если вы смените тему, то редирект перестанет работать. Это вы должны помнить. В качестве альтернативы можно использовать плагин и тогда ваши доработки будут не тронуты при смене темы. Как создать такой плагин читайте здесь.
Предупреждение: перед началом работ сделайте резервную копию файла functions.php.
Итак, открываете административную панель Вордпресс – «Внешний вид» – «Редактор» – «Функции темы». Пролистывайте файл вниз. Внизу этого файла будет либо окончание функции (}), либо закрытие кода php (?>).
Если у вас заканчивается файл (?>), значит, удаляете эти символы и вставляете функции редиректа. Если файл заканчивается очередной функцией, то ниже этой функции вставляете предложенные ниже коды.
Редирект с wp-admin:
/*редирект с wp-admin*/ add_action( 'init', 'blockusers_init' ); function blockusers_init() { if ( is_admin() && ! current_user_can( 'administrator' ) && ! ( defined( 'DOING_AJAX' ) && DOING_AJAX ) ) { wp_redirect( home_url() ); exit; } }
После добавления этой функции, при вводе адреса http://domen.ru/wp-admin будет происходить переадресация на главную страницу http://domen.ru. У этого кода есть особенность, если кроме админа на сайте есть авторы и редакторы, тогда код нужно дополнить.
Редирект с wp-login.php:
/*редирект с wp-login.php*/ function redirect_login_page() { $page_viewed = basename($_SERVER['REQUEST_URI']); if( $page_viewed == "wp-login.php?pass=1" ) { wp_redirect( home_url() ); exit; } } add_action('init','redirect_login_page');
А эта функция не даст добраться к странице входа по адресу http://domen.ru/wp-login.php. Потому как тоже будет перенаправлять на главную страницу сайта, всех желающих перейти по этому адресу.
Редирект при нажатии на кнопку «Выйти»:
/*редирект после выхода из админ панели*/ function logout_page() { $login_page = home_url( 'wp-admin' ); wp_redirect( $login_page . "?loggedout=true" ); exit; } add_action('wp_logout','logout_page');
Это нужно только для зарегистрированных пользователей. Чтобы после выхода в адресной строке не оставалось информационного мусора. Наглядно я показываю это в видеоуроке.
В итоге ваш файл функции темы будет выглядеть так:
Можете смело проверять. Попасть на страницу входа и в административную панель вы сможете только по адресу домена и имени файла, который вы создали в начале урока. В моём случае это 123.php.
Единственный момент, если ваш сайт установлен не в корневой папке, тогда после входа вы не будете перенаправляться в админ панель, а будете оставаться на главной странице сайта. При этом административная панель станет доступна в верхней части экрана (как обычно после авторизации и работе с сайтом).
А теперь предлагаю посмотреть наглядную инструкцию в видеоформате.
На этом я заканчиваю. Устанавливайте защиту на свои сайты и спите спокойно. Безусловно, если будут вопросы, обращайтесь в комментариях, я постараюсь помочь. Также советую обратить внимание на плагин Clearfy, который поможет защитить ваш сайт и устранить ещё два десятка ошибок.
Друзья, желаю вам удачи и хорошего настроения. До встречи в новых статьях.
С уважением, Максим Зайцев.
- ХакСкан — проверка сайта на вирусы
- Главная страница WordPress – настройка и редактирование
- Как изменить адрес сайта в WordPress: технические тонкости
- Лучшие плагины для WordPress, которые я использую на своём блоге
- Выбор шаблона WordPress – 5 критериев хорошего шаблона
Похожие статьи по теме:
1zaicev.ru