Изменяем URL страницы входа в админку WordPress

На движке WordPress работают миллионы разнообразных сайтов и их количество растет с каждым днем. Несмотря на вполне неплохую защиту “из коробки”, хакеры разного уровня подготовки, с разными целями и задачами, ежедневно взламывают множество блогов на этой CMS системе. Дополнительных методов повышения безопасности по разным направлениям очень много. Сегодня поговорим об одном из них – о защите страницы входа в админку ВордПресс. Изменим ее URL на произвольный, сделаем недоступными стандартные адреса панели администратора. Это поможет не допустить использования брутфорса (подбор по логину и паролю путем перебора).

В материале описаны методы изменения адреса с помощью плагинов и ручной правки файлов.

Если браузер настроен на сохранение паролей для автоматического входа в admin panel, то после изменения урл входа WordPress, данные не будут подставлены автоматически. Будьте осторожны. Убедитесь что помните свои логин/пароль, их нужно ввести вручную заново!

Плагин “Переименовать wp-login.php”

Крохотное, бесплатное расширение которое скроет login wp от чужих глаз. Располагается тут: Настройки >> Постоянные ссылки. Из параметров есть только поле ввода нового урл входа WordPress.

Модуль WPS Hide Login

Этот скрипт не сильно отличается от предыдущего. Также легок и не жаден, легко находится в каталоге расширений WP. После установки – активации, располагается в самом низу категории “Общие” в настройках.

Указываем новый URL страницы авторизации, а также урл для редиректа при попытке зайти по старой ссылке. Сохраняем. Готово.

Плагин ClearfyPRO

О Клерфай рассказано уже немало. Возможностей по защите, настройке и оптимизации WordPress у него множество, конечно есть функция скрытия страницы входа, которая работает четко и бесперебойно. Активируется элементарно.

Он платный, но он стоит своих денег. Читатели wpboost.ru могут купить его со скидкой 15%

Купить Clearfy со скидкой 15%

Переходим к продвинутому методу скрытия страницы входа WordPress. Им стоит пользоваться, если вы точно уверены, что сможете сделать все правильно а также не желаете ставить сторонние расширения.

Используем файл .htaccess

.htaccess нужен для конфигурирования и тонкой настройки веб-сервера Apache без изменения глобальных параметров.

Указанный файл находится в корне сайта. Открываем его через файловый менеджер панели администрирования хостинга или же любым текстовым редактором, предварительно скачав к себе на компьютер.

Будем использовать код:

<IfModule mod_rewrite.c>
RewriteEngine On
 
RewriteRule ^you-shall-not-pass/?$ /wp-login.php?secret-code [R,L]
 
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^you-shall-not-pass/?$ /wp-login.php?secret-code&redirect_to=/wp-admin/ [R,L]
 
RewriteRule ^you-shall-not-pass/?$ /wp-admin/?secret-code [R,L]
 
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/you-shall-not-pass
RewriteCond %{QUERY_STRING} !^secret-code
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
 
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?secret-code [R,L]
</IfModule>

Впишите свои данные вместо:

1. “you-shall-not-pass” – название страницы по которому станет доступна админ панель.
2. “your-site.ru” – адрес сайта.
3. “secret-code” – секретный ключ, чем сложнее и непонятней – тем лучше. Так закрывается доступ по прямому урл вида: your- site.ru/wp-login.php

После правки, вставляем код в самый верх файла .htaccess. Сохраняем, если правили через файловый менеджер хостинга или сохраняем а потом закачиваем через FTP (с заменой), если делали все на локальном компьютере.

Данная подборка методов создана с целью дать возможность выбора способа защиты страницы входа WordPress.