Комплексная защита административной панели WordPress
Вступление
Продолжаю бесконечную тему безопасности сайтов, создаваемых и созданных на WordPress. Сегодня актуальная тема: защита админки WordPress от возможных взломов и атак.
Про админку WordPress
Для начала вспомним, что админка WordPress сайта или административная панель сайта — это закрытая часть сайта, предназначенная для его управления.
После установки системы доступ в административную панель имеет только администратор сайта. Разрешив регистрацию на сайте, администратор может открывать доступ к админпанели пользователям. Набор возможностей по управлению сайтом определяет роль пользователя.
Обо всём этом вы можете почитать в статьях:
- Админка WordPress: все про административную панель WordPress сайта
- Пользователи WordPress: группы и роли пользователей
- Где список зарегистрированных пользователей WordPress
Важно! Ни один гость сайта не может войти в административную панель.
По умолчанию адрес административной панели сайта http://domen.ru/wp-admin/. Вход в административную панель осуществляется через форму авторизации. Можно войти в панель через форму регистрации
Это значит, что ломать или пытаться получить несанкционированный доступ в админ панель будут через эти формы. При этом не нужно забывать, что попасть в админку можно по FTP через каталог wp-admin.
Защита админки WordPress это защита всеми доступными способами форм авторизации и регистрации с защитой каталог wp-admin.
Защита админки WordPress
Смотрим несколько вариантов и методов защиты админки WordPress:
Защита от подбора паролей
Ручной, а чаще автоматический подбор паролей для авторизации в административной панели остаётся самым популярным, хотя примитивным способом взлома. По умолчанию система WordPress никак не ограничивает количество попыток авторизации пользователя с одного IP адреса. Данное обстоятельство не безопасно и требует вашего вмешательства.
Ограничить количество попыток входа в панель поможет постоянно обновляемый плагин Login Lockdown. Плагин фиксирует IP адрес пользователя и время каждой неудачной попытки входа в панель. Если в течение короткого периода времени с одного и того же диапазона IP-адресов будет более назначенного числа попыток входа, вход в панель будет отключён для всех запросов из данного диапазона IP. Адрес плагина в каталоге https://ru.wordpress.org/plugins/login-lockdown/.
Капча от автоматического подбора паролей
Усилить защиту админки от автоматического подбора паролей поможет установка капчи на форму авторизации. Напомню, что капча это компьютерный тест пользователя на его человечность.
Капча может быть в виде слова, набора букв и цифр, картинки, математического примера. Современная капча может быть скрыта от пользователя и работать по поведенческим факторам пользователя.
О плагинах для установки капчи читайте отдельную статью 13 Captcha плагины WordPress: плагины для вставки Капчи на сайт.
Смена (маскировка) адреса панели
Стандартные адреса административной панели известны всем. По умолчанию, любой может открыть вашу форму авторизации на сайте и поиграть со входом или восстановлением пароля. Для безопасности логично спрятать страницу авторизации под другой URL.
Сделать это можно при помощи специальных плагинов. Рекомендую попробовать плагин Protect Your Admin. Адрес плагина в каталоге. Страница плагина: https://ru.wordpress.org/plugins/protect-wp-admin/
Двухэтапная идентификация
Идентификация пользователя в два этапа значительно усиливает безопасность сайта, заставляя пользователя вводить не только пароль, но и код, получаемый на свой телефон или email.
Решают задачу двухэтапной аутентификации на WordPress два плагина:
Google Authenticator — WordPress Two Factor Authentication (2FA). Универсальный, мощный плагин в бесплатной и платных версиях. https://ru.wordpress.org/plugins/miniorange-2-factor-authentication/
Google Authenticator. Плагин обеспечивает двухфакторную аутентификацию с помощью приложения Google Authenticator для Android / iPhone / Blackberry. https://ru.wordpress.org/plugins/google-authenticator/
Защита каталога wp-admin на сервере
Повторюсь, по умолчанию адрес административной панели сайта http://domen.ru/wp-admin/. Как видите из адреса — это попытка доступа к папке wp-admin. Логично закрыть её для свободного доступа и попробовать это сделать на стороне сервера.
Для этого входим в административную панель вашего сервера (хостинга). У меня панель DirectAdmin, поэтому показываю всё на ней:
- Входим в панель;
- Открываем домен сайта для управления;
- Заходим в на вашем домене в Менеджер файлов;
- Ищем каталог wp-admin;
- В строке с каталогом выбираем действие «Защитить»;
- На новой вкладке в форме вписываем сложный пароль для доступа к данному каталогу;
- Сохраняем данные.
Всё. Теперь, если панель работает корректно, при попытке открыть адрес http://domen.ru/wp-admin/ браузер запросит пароль для входа.
Блокировка пользователей по IP
Наиболее навязчивых пользователей можно блокировать по их IP адресу. Если пользователь уже зарегистрирован и проявляет опасную активность, его IP вы можете увидеть в панели на странице пользователей под его именем. Если пользователь новый, то его IP адрес нужно искать в журналах входа в административной панели вашего сервера.
Имея IP адрес пользователя установите плагин «LionScripts: IP Blocker Lite» и блокируйте вредоносные IP-адреса, спамеров и хакеров ручным методом или функцией массовой блокировки IP-адресов. Адрес плагина в каталоге: https://ru.wordpress.org/plugins/ip-address-blocker/.
Блокировка пользователей по геолокации (странам)
Можно блокировать пользователя по странам. Для этого ставим плагин «IP2Location Country Blocker». Он позволяет заблокировать нежелательным посетителям доступ к административной панели по странам или прокси-серверам. Адрес плагина: https://ru.wordpress.org/plugins/ip2location-country-blocker/.
Глухая оборона (закрыть всем доступ кроме себя iP)
При серьёзных атаках на сайт возникает необходимсоть заблокировать всех пользователей, кроме себя. Для этого используем файл .htaccess, который вы должны были создать при установке системы.
Для блокировке всех пользователей кроме себя, вам нужно сделать два действия:
Узнать свой IP адрес, например на сайте: https://2ip.ru/;
Вписать в свой файл корневого каталога .htaccess такие строки:
order deny,allow deny from all allow from ваш_ip
Ограничьте время простоя сессии пользователя
Вы наверняка знаете, что WordPress автоматически не прекращает сессию пользователя если он сам явно не выйдет из системы или не закроет свой браузер. То есть по умолчанию на WordPress нет такой функции, как, скажем на Joomla, где администратор в общих настройках может указать время работы в панели (в минутах) до следующей авторизации.
Решает эту проблему плагин «Inactive Logout». Плагин прост в настройках, есть в каталоге плагинов (https://wordpress.org/plugins/inactive-logout/) и постоянно обновляется.
Сбросьте пароли всех пользователей
Если на вашем сайте активно ведётся регистрация и пользователи могут менять сложные пароли на более простые — это не безопасно.
Навести порядок в рядах пользователей поможет плагин массового сброса паролей «Emergency Password Reset». Этот плагин позволяет администратору сбросить все пароли и автоматически отправить им ссылку для сброса. Адрес плагина: https://ru.wordpress.org/plugins/emergency-password-reset/.
Ещё несколько традиционных советов по безопасности
- Всегда имейте под рукой резервную копию сайта;
- Ежедневно контролируйте, любым способом, работу и доступность своего сайта;
- Постоянно обновляйте систему и вслед за этим, обновляйте установленные плагины и темы, проверяя их совместимость.
Вывод
В статье я показал, как осуществляется защита админки WordPress с использование специальных плагинов конкретных задач. Напоминаю, что почти все описанные проблемы безопасности, можно решить установкой комплексного плагина безопасности. Например плагин безопасности Wordfence Security или Безопасность WordPress.
©www.wordpress-abc.ru
Еще статьи
Похожие посты:
Как изменить адрес админки WordPress, чтобы скрыть страницу входа от взлома
Взлом админки WordPress является наиболее неприятным событием для владельца сайта, так как напрямую передаёт контроль над проектом злоумышленнику. И сегодня я покажу, как защитить свой сайт от этой опасности.
К сожалению, стандартная конфигурация WordPress не защищена от простого перебора логинов и паролей. Поэтому хакерские боты просто переходят по адресу атакуемый-сайт.ru/wp-login.php и начинают автоматический перебор.
Даже если вы используете очень сложный пароль, рано или поздно он может быть найден, плюс ко всему каждый запрос бота заставляет сервер выполнять ряд скриптов, сверяющих введенные данные с базой, что создает немалую нагрузку и может привести к подвисанию сайта или к превышению разрешенной хостинг-провайдером нагрузки на сервер.
Решается задача в 2 шага:
- Изменение стандартного адреса админки WordPress на произвольный, известный только вам.
- Запрет доступа к сайту всем, кто пытается открыть стандартную страницу входа в админку, им выдаем 403 ошибку (Forbidden).
Первый шаг повысит безопасность, а второй избавит от лишней нагрузки на сервер.
Как изменить адрес админки WordPress
За вход в панель администратора отвечает файл wp-login.php, он находится в корневой директории сайта.
Нам нужно взять этот файл и создать копию с другим именем, используя произвольный набор символов, чем более загадочным будет новое название, тем меньше шансов на взлом.
Например, назовем файл wp-biznessystem-ru-SDF54-login.php.
Не удаляйте стандартный файл, так как без него не будет работать кнопка «Выход» из админ панели.
Чтобы новая страница входа в админку заработала, в самом файле необходимо провести корректировку.
Можете править прямо на сервере, но удобнее скачать на компьютер и работать с текстовым редактором Notepad++ (или другим, привычным вам).
Найдите внутри и замените все названия старого файла (wp-login.php) на новое (в примере wp-biznessystem-ru-SDF54-login.php).
Должно получиться 13 изменений.
Теперь сохраняем этот файл, возвращаем на хостинг и пробуем открыть админ панель по новому адресу.
Проверили, измененная страница входа работает, переходим к следующему шагу.
Как убрать доступ к стандартной админ панели
Теперь нам надо правильно отключить старую админ панель. Если просто удалить wp-login.php на хостинге, как я сказал выше, перестанет работать выход из админки, а это плохо, особенно, если вы пользуетесь общественным компьютером для работы с сайтом.
Кроме того, обращение к несуществующему файлу будет отдавать 404 ошибку (файл не найден). Роботу страницы 404 не нужна, а так как она является полноценной страницей сайта с большим объемом кода и, возможно, прикрученными скриптами и картинками – их отдача боту взломщику будет нагружать сервер.
Правильный подход — отдать 403 код с запретом доступа – это наименее ресурсозатратный серверный ответ, только его заслуживают хакеры. (.*)$ — [F,L]
Скрипт выдает запрет доступа на любой запрос адресованный файлу wp-login.php, за исключением параметра logout (выход из адмики).
Хакеры будут получать 403 ошибку при попытке попасть в админ панель.
Особенность, с которой столкнетесь после изменения адреса админки
Когда мы выходим из панели управления, через кнопку «Выйти», сайт обращается к тому же самому файлу wp-login.php, а так как доступ к нему заблокирован для всех пользователей, нажатие кнопки выхода будет приводить к появлению страницы запрета доступа (403 Forbidden), а не к переходу на страницу авторизации.
Это никак не влияет на работоспособность сайта в других аспектах.
На этом закончим. Надеюсь, с переименованием админки ваша вебмастерская жизнь станет проще, так как отпадет проблема взлома, и будет время с головой окунуться в более интересные дела.
Изменить URL-адрес входа в WordPress
URL-адрес входа в WordPress по умолчанию — /wp-login.php (или вы можете просто ввести /wp-admin/ , и он перенаправит вас туда, если вы еще не вошли в систему). Например: http://www.example.com/wp-login.php .
Вы можете подумать про себя: «Хорошо. Какая разница?» Есть 3 причины, по которым вас это должно волновать:
- Я могу сказать, что вы используете WordPress. Хакеру довольно легко определить, является ли тот или иной веб-сайт веб-сайтом WordPress. Вы можете посмотреть исходный код страницы и увидеть такие вещи, как /wp-content/themes/style.css или /wp-content/plugins/… и т. д. Как только я узнаю, что ваш сайт является сайтом WP, теперь я знаю, что ваш URL-адрес для входа — /wp-login.php .
- Итак, теперь я знаю ваш URL для входа. Я также знаю, что WordPress по умолчанию создает имя пользователя «admin». Теперь у мистера или мисс Хакера есть ваш URL-адрес для входа и, возможно, ваше имя пользователя для входа. Теперь нужно угадать пароль.
- И я попробую имя пользователя по умолчанию и попробую угадать ваш пароль. Даже если у вас нет имени пользователя «admin» и у вас есть надежный пароль (и желательно использовать менеджер паролей для входа в систему, чтобы нажатия клавиш на вашей клавиатуре не регистрировались), хакеры не знают об этом, поэтому они просто будут пытаться вечно, тратя ресурсы вашего сервера и, возможно, закрывая ваш сайт. (P.S. Я надеюсь, что вы входите в систему с помощью HTTPS или с помощью безопасного метода входа, например, из панели управления ManageWP, поэтому ваш пароль не отправляется «в открытом виде» при входе в систему.)
Что-нибудь из этого звучало весело? Держу пари, что нет, но это важные вещи. По крайней мере, я надеюсь, что я напугал вас до конца этого поста с инструкциями, потому что решение быстрое, простое и безболезненное, и любой, кто может установить и активировать плагин, может это сделать.
Как изменить URL-адрес входа в WordPress
Короткий ответ — установить, активировать и настроить плагин Better WP Security для WordPress.
Чем мы занимаемся
С Better WP Security вы сможете изменить:
- /wp-login.php на /login/
- /wp-admin/ от до /admin/
- /wp-login.php?action=register до /register/
- Или к любым слагам, которые вы выберете в настройках плагина
Предупреждения
Возможны проблемы с совместимостью. Обязательно прочитайте и усвойте все параметры Better WP Security, прежде чем изменять какие-либо настройки. Поговорите со своим веб-хостингом или разработчиком, прежде чем продолжить, если вы знаете, что у вас необычная настройка, но не уверены, как этот плагин может повлиять на нее. Я тестировал с WP Engine и не было никаких проблем. Следуйте рекомендациям автора плагина и ознакомьтесь с советами и часто задаваемыми вопросами по установке Better WP Security.
Если у вас уже есть сайт, добавленный в панель управления ManageWP, вам потребуется обновить параметры ManageWP, но это быстро и просто. Также, пожалуйста, прочитайте «Известные проблемы» ManageWP, в котором упоминается одна из функций плагина Better WP Security.
Продолжайте читать все пошаговые инструкции по улучшению безопасности WP и обновлению параметров панели управления ManageWP.
Пошаговые инструкции
Вам действительно следует изменить URL-адрес для входа в систему (и под URL-адресом для входа я подразумеваю URL-адреса для входа, регистрации и администрирования). Вот как это сделать:
Шаг 1: Сделайте полную резервную копию
Угу. Сделайте это с ManageWP. Возьмите полную резервную копию , а не только резервную копию базы данных. Как и все резервные копии, убедитесь, что они завершены и находятся в нужном месте, прежде чем переходить к следующему шагу.
Шаг 2: Установите и активируйте плагин Better WP Security
Я долго и упорно искал плагин для «скрытия логина», но вариантов качества было не так много. И метко названный плагин Hide Login не работал у меня (слава Богу, я был на сайте WP Engine staging , потому что меня полностью заблокировали). Раньше был плагин Stealth Login, которого больше нет.
По рекомендации нескольких гуру WordPress я попробовал Better WP Security только для этой цели (хотя у него есть множество замечательных функций), и с самого начала он работал как часы.
Шаг 3. Установите плагин Better WP Security
После установки плагина Better WP Security выполните следующие действия:- Откройте страницу параметров плагина wp-admin.
- Выполните первые 3 шага настройки, как показано на снимках экрана ниже:
- Выберите резервную копию.
- Разрешить плагину изменять основные файлы WordPress (сначала прочитайте предупреждение).
- Нажмите кнопку «Защитить мой сайт от основных атак».
- Перейдите на вкладку «Скрыть».
- Установите флажок «Включить скрытие серверной части».
- Введите нужные слаги для входа, регистрации и администрирования или оставьте для них значения по умолчанию плагина «логин», «регистр» и «админ».
- Нажмите «Сохранить изменения».
- Не забывайте свои новые URL-адреса, особенно URL-адрес входа! Возможно, вы захотите записать их где-нибудь, пока не привыкнете к ним. Или никогда не нужно запоминать URL-адрес для входа, если вы используете инструмент автоматического входа, такой как ManageWP (далее следуют дополнительные шаги).
Скриншоты каждого шага, описанного выше, показаны ниже:
Страница начальной настройки. Выберите вариант резервного копирования, который вы считаете лучшим. (Если вы уже создали резервную копию с помощью ManageWP, вы можете пропустить эту резервную копию.) Шаг установки 2. Прочтите инструкции и, как правило, нажмите, чтобы разрешить изменение основных файлов WordPress. Шаг установки 3. В общем, щелкните параметр, чтобы разрешить плагину активировать настройки безопасности по умолчанию, поскольку этот плагин делает больше, чем просто меняет URL-адрес для входа. После нажатия на вкладку «Скрыть» вверху установите флажок, чтобы включить эту функцию. Измените текстовые поля по своему усмотрению. Затем нажмите «Сохранить». (Не волнуйтесь, вы не выйдете из системы при сохранении.) После однократного сохранения вы сможете снять флажок, если хотите отключить эту функцию, или оставить его установленным и просто изменить URL-адреса для входа в любое время.Шаг 4. Добавьте (или повторно добавьте) свой сайт в панель инструментов ManageWP
Если вы используете ManageWP для сайта, для которого вы изменили URL-адрес входа, выполните следующие действия:- Войдите в панель управления ManageWP.
- В левом меню навигации щелкните сайт, для которого вы изменили URL-адрес входа.
- Нажмите «Параметры».
- Измените параметр «URL-адрес администратора веб-сайта» с …/wp-admin/ на …/login/ (или на что вы его изменили).
- Нажмите «Сохранить изменения», и окно автоматически закроется после того, как на секунду или две появится зеленое сообщение «Параметры обновлены».
- Нажмите на сайт еще раз и нажмите «Администратор сайта» (или значок рядом с ним, чтобы открыть его в новом окне), чтобы убедиться, что ManageWP может автоматически войти в систему для вас по новому URL-адресу.
- Если вы смогли войти в систему через панель инструментов ManageWP, все готово.
Скриншоты каждого шага приведены ниже:
Перейдите в свою панель управления ManageWP, щелкните URL-адрес сайта и нажмите «Параметры». Во всплывающем окне «Параметры ManageWP» вы увидите свой текущий URL-адрес входа. Измените URL-адрес входа на новый URL-адрес входа и нажмите «Сохранить изменения». Убедитесь, что панель управления ManageWP по-прежнему может выполнять автоматический вход в систему. Щелкните URL-адрес сайта, для которого вы только что обновили параметры, и щелкните ссылку «Администратор сайта», чтобы проверить, работает ли он.Как плагин Better WP Security меняет URL-адрес входа
Некоторым может быть все равно, как это работает; для других, вы можете хотеть знать все детали. Скажем так, — это магия файла .htaccess.
Не вдаваясь в подробности, плагин добавляет около 30 строк в начало вашего основного файла WordPress .htaccess. Это действительно все волшебство, которое необходимо для изменения URL-адресов входа.
Примечание. Ни файл wp-login.php , ни файл Файл wp-config.php изменен, перемещен или переименован.
Если вы разработчик и хотите изучить все тонкости файлов и правил .htaccess, рассмотрите возможность приобретения электронной книги .htaccess made easy. Для ясности: для использования плагина Better WP Security не требуется знание .htaccess.
Подробнее о Better WP Security
Плагин Better WP Security имеет множество функций, одна из которых — возможность скрывать URL-адреса для входа, регистрации и администрирования WordPress. Вот несколько дополнительных функций, включенных в этот бесплатный плагин:
- Дополнительные опции «безопасность через неясность»
- Изменить текущий префикс базы данных WordPress
- Переименуйте имя пользователя по умолчанию «admin»
- Изменить идентификатор пользователя с идентификатором 1
- Удаляет сообщения об ошибках входа в систему (чтобы неудачные попытки входа не получали подсказки, было ли неправильное имя пользователя или пароль)
- Регистрирует ошибки 404, неудачные попытки входа в систему и изменения в файлах
Есть много других преимуществ использования плагина Better WP Security, и он работает даже на отдельных сайтах и на нескольких сайтах.
Узнайте больше о его функциях на странице плагина WordPress и поставьте ему хорошую оценку, если он вам подходит.
Измените URL-адрес входа в WordPress сегодня.
Не стесняйтесь оставлять комментарии ниже, как только вы это сделаете или если у вас возникнут какие-либо проблемы.
Сообщение в блоге обновлено 17 июля 2014 г.
Изображение предоставлено Saxon.
5 простых шагов для изменения URL-адреса входа в WordPress
Уведомление: Этот контент поддерживается читателями, что означает, что если вы нажмете на некоторые из наших ссылок, мы можем получить комиссию.
Каждый веб-сайт WordPress по умолчанию имеет следующие URL-адреса для входа.
yourwebsite.com/wp-admin
yourwebsite.com/wp-login
И все хакеры, боты и злоумышленники это знают.
Как только они достигают вашей страницы входа, им нужно только угадать ваш пароль, чтобы войти. Их шансы взломать ваш сайт довольно высоки, учитывая, что 59% американцев используют слабые пароли.
Вот почему защита страницы входа на ваш сайт WordPress путем изменения URL-адреса по умолчанию имеет решающее значение для его безопасности.
В этой подробной статье я покажу вам, как создать собственный URL-адрес страницы входа в WordPress, доступ к которому есть только у вас и ваших доверенных пользователей.
Давайте углубимся.
Почему стоит изменить URL-адрес входа в WordPress
WordPress — самая популярная в мире система управления контентом (CMS) среди блоггеров, аффилированных маркетологов и даже сайтов крупных брендов. WordPress очень популярен, на нем работает около трети веб-сайтов в Интернете по всему миру.
Но он также и самый уязвимый, потому что слишком много владельцев сайтов WordPress не имеют необходимых навыков для защиты своих сайтов.
Согласно отчету Sucuri об исследовании угроз веб-сайтам за 2019 год, 94% всех зараженных сайтов на основе CMS использовали WordPress.
Одна из причин, по которой хакеры могут легко проникнуть на сайты WordPress, заключается в том, что они знают, где найти страницу входа на сайт WordPress.
Затем они используют инструменты и программное обеспечение для поиска правильной комбинации имени пользователя и пароля, поскольку миллионы людей во всем мире используют одни и те же пароли и имена пользователей.
Вот самые распространенные пароли в 2019 году по данным Statista:
- 123456
- Изображение1
- Пароль
- 111111
- 123123
- Senha (пароль по-португальски) 9 0013 Qwerty
- abc123
Изменение только URL-адреса входа в WordPress не гарантирует безопасность веб-сайта. Но это затрудняет доступ любого хакера и неавторизованного пользователя на ваш сайт.
Они не смогут найти имя пользователя и пароль вашего сайта, пока не попадут на страницу входа. Используя собственный URL-адрес входа в WordPress, вы можете скрыть свою страницу входа от большинства угроз безопасности.
И если вам интересно, да, вам все равно нужно изменить URL-адрес входа в WordPress, даже если вы используете надежный пароль и имя пользователя.
Почему?
Потому что, даже если хакеры не смогут пройти через вашу страницу входа, они все равно съедят пропускную способность и ресурсы вашего сайта, пытаясь проникнуть на ваш сайт.
Но безопасность — не единственная причина изменить URL-адрес для входа.
Многие сайты делают это также из соображений брендинга.
Вместо использования общего URL-адреса входа wp-login или wp-admin, который используется на каждом сайте, многие бренды создают собственные страницы входа с фирменными URL-адресами.
Например, yoursite.com/brand-sign-in.
Этот параметр удобен, когда на вашем сайте несколько администраторов или разрешена авторская регистрация с ограниченным доступом.
Тем не менее, безопасность по-прежнему является основной причиной, по которой стоит изменить URL-адрес входа в WordPress.
К счастью, сделать это не очень сложно.
Инвестиции, необходимые для создания пользовательского URL-адреса входа в WP
Изменение URL-адреса входа в WordPress — одна из первых рекомендаций любого эксперта по безопасности WordPress.
Учитывая, что он защищает ваш сайт от взлома, кражи или уничтожения, вы должны быть готовы потратить на него значительную сумму денег (если только ваш сайт не представляет для вас ценности).
Но вот сюрприз.
Вам вообще не нужно вкладывать деньги, чтобы изменить URL-адрес входа в WordPress. Вы можете сделать это бесплатно, используя надежный плагин безопасности WordPress.
Если вы не любите использовать плагины, вы также можете внести изменения вручную.
Но не стоит.
Если вы не являетесь опытным программистом или экспертом по WordPress, который понимает риски игры с кодом, вы можете испортить страницу входа на свой сайт и потенциально можете потерять доступ к панели управления WordPress.
Изменение URL-адреса входа в WordPress потребует внесения изменений в файл .htaccess вашего сайта и несколько других основных файлов WP. Даже самые опытные программисты WordPress не возятся с этими файлами без необходимости.
Вот почему мы настоятельно рекомендуем вам установить надежный плагин WordPress, который сделает это за вас.
Создание пользовательского URL-адреса входа в WP с помощью плагина
Менее рискованным способом изменения URL-адреса входа в WordPress является использование надежного плагина безопасности WordPress.
Почему я говорю менее рискованно вместо нулевого риска? Потому что все еще существуют риски, связанные с изменением URL-адреса для входа, о которых я расскажу позже в этой статье.
На данный момент помните, что профессиональные эксперты WordPress тестируют лучшие плагины безопасности WordPress, чтобы заполнить любые лазейки и потенциальные риски.
Вам не нужно беспокоиться о вмешательстве в код вашего сайта или внутренние файлы. Вместо этого вы можете установить, активировать и настроить правильный плагин, чтобы изменить URL-адрес входа для вас.
Вы можете найти как платные, так и бесплатные плагины безопасности WordPress для этой функции, но я бы рекомендовал использовать бесплатный вариант, так как доступно много хороших.
Вот некоторые из плагинов, которые вы должны установить, чтобы изменить URL-адрес входа в WordPress:
- iThemes Security Pro
- WPS Hide Login
Я использовал эти плагины для изменения URL-адреса входа в WordPress на разных сайтах, и они работают хорошо. Но вы можете использовать любой плагин. Просто убедитесь, что они протестированы с последней версией WordPress и имеют в основном положительные отзывы пользователей.
В зависимости от установленного вами плагина изменение URL-адреса входа на сайт займет у вас не более 15-20 минут.
Это единственные реальные инвестиции, необходимые для этой задачи.
5 шагов к изменению URL входа в WordPress
Теперь позвольте мне показать вам точные шаги, связанные с изменением URL-адреса входа на ваш сайт WordPress.
Для этой демонстрации мы будем использовать плагин WPS Hide Login, так как это самый легкий плагин в списке.
Шаг 1: Резервное копирование вашего веб-сайта WordPress
Перед установкой плагина для создания пользовательского URL-адреса входа в WordPress вы должны полностью восстановить свой сайт.
Плагин, который мы используем, безопасен и протестирован с вашей версией WordPress, поэтому проблем не возникнет 99,9% времени.
Но всегда лучше перестраховаться, потому что, если что-то пойдет не так, вы можете легко использовать резервную копию, чтобы оживить свой сайт.
Как сделать резервную копию вашего сайта WordPress? С плагином! Лучший рекомендуемый плагин для резервного копирования сайта WordPress — Backup Buddy. Установите и активируйте плагин и следуйте его инструкциям, чтобы полностью создать резервную копию вашего сайта.
Шаг 2. Установите плагин WordPress для изменения URL-адреса входа
После резервного копирования вашего веб-сайта пришло время установить и активировать плагин WordPress для создания пользовательского URL-адреса входа.
Как я уже показал вам, для этой цели существует множество отличных плагинов. Но в этом посте мы будем использовать WPS Hide Login.
Вот как это сделать.
Войдите в панель управления веб-сайта WordPress и нажмите Добавить новый в разделе «Плагины» в левом меню.
Поиск WPS Скрыть логин в окне поиска плагина.
Проверьте, протестирован ли плагин с вашей версией WordPress.
Нажмите Установить сейчас , чтобы начать установку.
Нажмите Активируйте , чтобы начать использовать плагин на своем сайте.
Вы успешно установили подключаемый модуль и можете увидеть его в разделе «Установленные подключаемые модули» в разделе «Плагины» в левом меню панели инструментов.
Теперь пришло время настроить плагин для создания пользовательского URL-адреса входа в WordPress для вашего сайта.
Шаг 3. Настройка подключаемого модуля
Перед изменением URL-адреса входа на сайт необходимо настроить подключаемый модуль. Вот как вы можете это сделать.
Перейдите в раздел «Установленные плагины» в разделе «Плагины» в левом меню панели инструментов вашего сайта.
Прокрутите вниз, чтобы найти WPS Hide Login.
Нажмите Настройки под названием плагина.
В разделе настроек вам необходимо настроить новый URL-адрес для входа на ваш сайт и URL-адрес перенаправления, когда кто-то посещает ваш старый URL-адрес для входа (wp-admin или wp-login).
В качестве URL-адреса входа используйте уникальное, но запоминающееся ключевое слово, которое неавторизованные пользователи не смогут легко угадать. Например, если название вашего бренда — Acme, новым URL-адресом для входа может быть «acme-login-page». Или что-нибудь еще, что вы можете легко запомнить.
В качестве URL-адреса перенаправления вы можете направлять посетителей на страницу 404 или на домашнюю страницу вашего сайта (или на любую другую страницу по вашему выбору).
После успешного применения изменений вы увидите подтверждающее сообщение на странице настроек.
Теперь вы можете получить доступ к странице входа на свой сайт WordPress только по пользовательскому URL-адресу, который вы настроили.
Шаг 4. Обновите закладки и поделитесь URL-адресом с командой
Убедитесь, что вы обновили все свои закладки, потому что люди часто забывают свой новый URL-адрес для входа.
Если у вас есть несколько администраторов веб-сайта или зарегистрированных пользователей, которым требуется доступ к вашей странице входа, отправьте им новый URL-адрес по электронной почте, чтобы избежать каких-либо проблем.
Шаг 5. Проверьте новый URL-адрес для входа
Наконец, вам нужно проверить новый URL-адрес для входа, чтобы убедиться, что все работает нормально.
Вот как это сделать:
- Выйдите со своего сайта WordPress.
- Перейдите к своему старому URL-адресу для входа, чтобы проверить, работает ли он, или перенаправляет вас на новый URL-адрес.
- Теперь перейдите по новому URL-адресу для входа.
- Введите имя пользователя и пароль для входа.
Если все работает так, как вы хотите, значит плагин работает нормально.
Однако, если вы не можете войти на свой сайт и новый URL-адрес не работает, вам может потребоваться отменить установку плагина.
Как вернуться к исходному URL-адресу входа в WordPress
Иногда, несмотря на установку плагина и его правильную настройку, перенаправление входа в WordPress не работает так, как вы хотите.
В результате вы можете быть заблокированы на своем сайте, потому что не можете получить доступ ни к одной из своих страниц входа.
Если это произойдет с вашим сайтом, у вас есть несколько вариантов.
Вы можете восстановить резервную копию вашего сайта или отключить и удалить плагин из своей учетной записи FTP.
Вы можете сделать это с помощью бесплатного приложения для передачи файлов по FTP, такого как FileZilla, или с помощью функции «Диспетчер файлов» в cPanel вашей учетной записи хостинга.
Это не слишком технически сложно, но вам следует обратиться за помощью, если вы не знаете, как это сделать.
Вы можете найти каталог WPS Hide Login в папке wp-content/plugins вашего сайта WordPress.
Когда вы удалите эту папку из своей учетной записи FTP, ваш URL-адрес входа в WordPress вернется к странице wp-admin и wp-login по умолчанию.
Риски при изменении URL-адреса для входа в WordPress
Несмотря на то, что существует очень мало рисков при создании пользовательского URL-адреса для входа в WordPress, некоторые пользователи могут столкнуться со следующими проблемами.
Риск 1: сбой плагина
Иногда плагин, который вы используете для создания пользовательского URL-адреса входа в WordPress, может работать со сбоями. Если это произойдет (или любой другой сбой в процессе установки), ваша страница входа может стать недоступной.
Чтобы избежать этой проблемы, убедитесь, что вы используете обновленный плагин и завершите процесс его установки без каких-либо помех.
Если у вас возникли проблемы с плагином, вернитесь в каталог плагинов и получите новый. Обязательно ознакомьтесь с отзывами пользователей и документацией по плагину, если у вас есть вопросы или проблемы.
Риск 2: вы забыли URL-адрес
Пользователи WordPress часто забывают свой новый URL-адрес для входа после изменения его со страницы по умолчанию.
Чтобы избежать этой проблемы, убедитесь, что вы добавили пользовательскую страницу входа в закладки или отправили себе URL-адрес по электронной почте.
Риск 3: недопонимание с командой
Если на вашем сайте несколько администраторов или зарегистрированных пользователей, которые регулярно посещают страницу входа, вам необходимо сообщить об изменении URL, как только это произойдет.
В противном случае ваша команда может быть заблокирована на сайте и может столкнуться с проблемами при выполнении своей работы.
Следующие шаги
Изменение URL-адреса для входа на ваш веб-сайт WordPress обеспечивает определенный уровень безопасности вашего сайта и помогает свести к минимуму попытки несанкционированного входа в систему.