На движке WordPress работают миллионы разнообразных сайтов и их количество растет с каждым днем. Несмотря на вполне неплохую защиту “из коробки”, хакеры разного уровня подготовки, с разными целями и задачами, ежедневно взламывают множество блогов на этой CMS системе. Дополнительных методов повышения безопасности по разным направлениям очень много. Сегодня поговорим об одном из них – о защите страницы входа в админку ВордПресс. Изменим ее URL на произвольный, сделаем недоступными стандартные адреса панели администратора. Это поможет не допустить использования брутфорса (подбор по логину и паролю путем перебора).
В материале описаны методы изменения адреса с помощью плагинов и ручной правки файлов.
Если браузер настроен на сохранение паролей для автоматического входа в admin panel, то после изменения урл входа WordPress, данные не будут подставлены автоматически. Будьте осторожны. Убедитесь что помните свои логин/пароль, их нужно ввести вручную заново!
Плагин “Переименовать wp-login.php”
Крохотное, бесплатное расширение которое скроет login wp от чужих глаз. Располагается тут: Настройки >> Постоянные ссылки. Из параметров есть только поле ввода нового урл входа WordPress.
Модуль WPS Hide Login
Этот скрипт не сильно отличается от предыдущего. Также легок и не жаден, легко находится в каталоге расширений WP. После установки – активации, располагается в самом низу категории “Общие” в настройках.
Указываем новый URL страницы авторизации, а также урл для редиректа при попытке зайти по старой ссылке. Сохраняем. Готово.
Плагин ClearfyPRO
О Клерфай рассказано уже немало. Возможностей по защите, настройке и оптимизации WordPress у него множество, конечно есть функция скрытия страницы входа, которая работает четко и бесперебойно. Активируется элементарно.
Он платный, но он стоит своих денег. Читатели wpboost.ru могут купить его со скидкой 15%
Купить Clearfy со скидкой 15%
Переходим к продвинутому методу скрытия страницы входа WordPress. Им стоит пользоваться, если вы точно уверены, что сможете сделать все правильно а также не желаете ставить сторонние расширения.
Используем файл .htaccess
.htaccess нужен для конфигурирования и тонкой настройки веб-сервера Apache без изменения глобальных параметров.
Указанный файл находится в корне сайта. Открываем его через файловый менеджер панели администрирования хостинга или же любым текстовым редактором, предварительно скачав к себе на компьютер.
Будем использовать код:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^you-shall-not-pass/?$ /wp-login.php?secret-code [R,L]
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^you-shall-not-pass/?$ /wp-login.php?secret-code&redirect_to=/wp-admin/ [R,L]
RewriteRule ^you-shall-not-pass/?$ /wp-admin/?secret-code [R,L]
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/wp-login\.php
RewriteCond %{HTTP_REFERER} !^(.*)your-site.ru/you-shall-not-pass
RewriteCond %{QUERY_STRING} !^secret-code
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^.*wp-admin/?|^.*wp-login\.php /not_found [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?secret-code [R,L]
</IfModule>
Впишите свои данные вместо:
- “you-shall-not-pass” – название страницы по которому станет доступна админ панель.
- “your-site.ru” – адрес сайта.
- “secret-code” – секретный ключ, чем сложнее и непонятней – тем лучше. Так закрывается доступ по прямому урл вида: your- site.ru/wp-login.php
После правки, вставляем код в самый верх файла .htaccess. Сохраняем, если правили через файловый менеджер хостинга или сохраняем а потом закачиваем через FTP (с заменой), если делали все на локальном компьютере.
Данная подборка методов создана с целью дать возможность выбора способа защиты страницы входа WordPress.