Содержание

Плагин отнесен в категорию wp-login.php

WPS Hide Login

(2 052 общий рейтинг)

Измените wp-login.php на то, что хотите.

WPServeur, NicolasKulka, wpformation 1+ млн активных установок Протестирован с 6.0.2 Обновлен 5 месяцев назад

Easy Hide Login

(36 общий рейтинг)

Hide wp-login.php file and increase security of your website. No files are changed on your…

Arshid 50 000+ активных установок Протестирован с 5.6.9 Обновлен 2 года назад

Login Screen Manager

(6 общий рейтинг)

Using Login Screen Manager in your WordPress site you can easily customize your login screen.You…

Nazmul Hossain Nihal 1 000+ активных установок Протестирован с 5.2.16 Обновлен 3 года назад

Rename wp-login.

php to anything you want

(5 общий рейтинг)

This plugin changes the way you login into your website.

Nikolay Lubko 700+ активных установок Протестирован с 4.5.27 Обновлен 6 лет назад

WP Login Flow

(7 общий рейтинг)

wp-login permalinks, auto login, register w/ pass, login/logout redirects, email as username, bg/logo/color customizations, hide…

Myles McNamara 100+ активных установок Протестирован с 5.5.10 Обновлен 2 года назад

Hide WordPress Login, Modify WordPress Login, WordPress Login Page Modify — Modify Login

(1 общий рейтинг)

Modify WordPress admin login technique. This plugin will modify your login url so that your…

Mantrabrain 50+ активных установок Протестирован с 6.0.2 Обновлен 5 месяцев назад

Fence URL wp-login.

php

(1 общий рейтинг)

Change wp-login.php to anything you want.

Rohit Harsh 30+ активных установок Протестирован с 5.0.17 Обновлен 4 года назад

Better WP Login Page

(0 общий рейтинг)

This plugin allows users to enhance the default login page.

Lluís Cortès 20+ активных установок Протестирован с 5.4.11 Обновлен 2 года назад

Anton Extensions

(1 общий рейтинг)

Developer and Programmer tools and tasks helper. Helpful SOP features.

Anthony Carbon 20+ активных установок Протестирован с 5.0.17 Обновлен 3 года назад

Wrong Password

(0 общий рейтинг)

When someone gets a password wrong or uses the forgotten password form on your site,…

Alex and Anthony 10+ активных установок Протестирован с 3. 5.2 Обновлен 9 лет назад

WP Front End Login

(0 общий рейтинг)

This plugin utilizes the shortcode [login_form] to present users with login form, lost password recovery…

Bradford Knowlton 10+ активных установок Протестирован с 4.7.24 Обновлен 5 лет назад

Hide wp-admin / wp-login.php

(1 общий рейтинг)

Change wp-login.php,wp-admin URL to anything that you want.

Krishan Kant Sharma 10+ активных установок Протестирован с 5.9.4 Обновлен 8 месяцев назад

Switch WordPress-login.php

(0 общий рейтинг)

Change wp-login.php to anything you want.

How2WordPress 10+ активных установок Протестирован с 4.4.28 Обновлен 5 лет назад

Swift WP-Login.php

(0 общий рейтинг)

Change Your wp-login. php to anything you want.

Neil G Patel 10+ активных установок Протестирован с 4.4.28 Обновлен 4 года назад

Trust WP

(1 общий рейтинг)

Trust WP is a very light plugin that lets you easily and safely change wp-login.php…

rrpathi Менее 10 активных установок Протестирован с 5.6.9 Обновлен 2 года назад

FC Login Customizer

(0 общий рейтинг)

Automatically customize the login screen with your brand logo, the associated link when clicked and…

Francesco Campus Менее 10 активных установок Протестирован с 5.9.4 Обновлен 8 месяцев назад

Вход в админку и настройки, которые необходимо сделать сразу же после установки WordPress

В прошлой статье я рассказал, как установить блог-платформу WordPress. Но прежде чем приступить к наполнению сайта материалами любого вида, нужно сделать предварительные настройки. Эти настройки действительно необходимы как для удобства использования, так и для продвижения в поисковых системах.

Итак, все настройки, которые нужно сделать и о которых я напишу в этой статье, будут направлены на повышение качества поискового продвижения, улучшение внешнего вида, удобства использования сайта пользователями, а также для повышения удобства написании материалов и управления технической составляющей сайта (блог-платформой).

Содержание

  1. Вход в админку WordPress, адрес для входа
  2. Общие настройки. Указываем основной адрес сайта
  3. Настройка ЧПУ в админке WordPress (человеко-понятные URL’ы)
  4. Настройка чтения, написания материалов и страницы ошибки 404

Вход в админку WordPress, адрес для входа

Для начала разберем несколько понятий (вдруг кому-то не ясно). Админка -админ панель — средство управления программой, а точнее — системой управления контента. Чтобы войти в админку блога на WordPress, введите в адресной строке следующий текст:

либо

Для моего блога, например, эти строки будут выглядеть следующим образом:

https:
https:

Разница лишь в том, что вводя первый адрес (с окончанием wp-admin) перенаправляет на второй (с окончанием wp-login. php). В обоих случаях вы попадаете на страниц с формой входа в админку WordPress (картинку взял из статьи про установку WordPress):

Теперь, находясь на своем сайте, вы будете наблюдать черную полосу с некоторыми элементами управления:

Вернемся к делу. После входа в панель админа вы увидите следующую картину:

Это главная страница админки WordPress. Отсюда вы можете перейти в различные элементы управления сайтом, но сейчас речь о первоначальных настройках.

Общие настройки. Указываем основной адрес сайта

На чнем, пожалуй, с самого первого пункта в категории «Настройки» (а именно в ней и будут проходить все действия, описанные в этой статье) — Общие настройки.

Первое, что вы увидите, это выбор главного адреса сайта, а также его заголовок и описание. В большинстве случаев, вводят одинаковый адрес в оба поля:

Описание и заголовок сайта вы вводили при установке Вордпресс на хостинг (если нет, то введите). Адрес сайта можно выбрать с www и без www. Зависит от того, какой вариант вы выбрали основным.

Ниже идет ваш основной электронный адрес (его вы, скорее всего, тоже указали при установке). Настоятельно рекомендую запретить регистрацию на вашем блоге, если вы являетесь единственным его обладателем и автором всех материалов.

Если же вы делаете что-то вроде блога для массового общения, интернет-портал или даже социальную сеть, то включите эту опцию. Последними пунктами будут настройки времени. Думаю, там сами разберетесь.

Настройка ЧПУ в админке WordPress (человеко-понятные URL’ы)

Это одна из самых важных настроек, которые нужно произвести на блоге.На большинстве сайтов (мой блог не исключение) вы можете увидеть в строке адреса не просто непонятные символы и цифры, а русские слова, записанные английскими буквами. Это и называется Человеко-понятные URL или ЧПУ. 

С точки зрения поисковых систем это очень полезная функция. Вот пример адреса одной из моих статей:

https:

Вообще, адрес сайта можно условно разделить на три части: адрес главной страницы, разделы и подразделы и адрес документа.

В вышеприведенной строке адрес сайта — monetavinternete.ru/, второй — vazhnye-temy/ и третий — kak-uznat-poseshhaemost-sajta-schetchiki-poseshhaemosti-analiz-i-statistika/.

Зачастую второй части нет.  Как вы видите, посмотрев на сам текст строки, это просто русские слова записаны английскими буквами. Только первая часть неизменна — адрес сайта. Вторая часть это раздел, а третья — заголовок документа (который можно написать самому).

Еще одной особенностью ЧПУ является то, что если стереть третью часть, то вы перейдете в рубрику просматриваемой статьи. Т.е. если вы сотрете все, после vazhnye-temy/ и нажмете «Перейти», то попадете в рубрику «Важные темы». Вот такой адрес останется в строке браузера:

https:

Настройка ЧПУ происходит в соответствующем пункте настроек. Попадая в него, советую использовать следующий текст:

Вот текст для вставки — /%category%/%postname%/

Настройка чтения, написания материалов и страницы ошибки 404

Теперь пройдусь по менее значимым вещам. Перейдем в раздел настроек «Чтение». Здесь вы должны решить, будет ли на вашей главной странице показываться все ваши последние материалы (посты) или же это будет статичная страница (например, с приветствием).

Я выбрал первое. Попав на блог, человек сразу увидит публикации и, скорее всего, перейдет по ссылкам на посты и прочтет их. Выбрав любой вариант, вы должны также указать. сколько записей будет отображаться на страницах с записями (максимум).

Также нужно выбрать, полную или краткую новость отправлять в новостную ленту (подробно про это вы можете прочитать в статье про RSS ленты). Как и в первом случае, вам нужно будет выбрать количество статей, отображаемых в ленте (последних новостей).

Последним выбором будет кодировка. Рекомендую оставить стандартную для вашего сайта (в большинстве случаев — UTF-8).

В настройках написания нужно будет указать размер окна для написания текста (постов), указать, преобразовывать ли текстовые смайлики вида «:-)» в графический вид 🙂 и исправлять ли некорректный HTML-код. Я оба пункта выделил.

Также стоит выбрать основную рубрику для публикации новостей. Если при написании вы забыли указать в какую именно рубрику поместить запись, то она будет перемещена в выбранную здесь.

Вот окно для написания текста (красная стрелка обозначает высоту в строках, синяя — ширину в пикселях, которые задаются в файлах темы):

Следующими пунктами будет активация возможности публикации с помощью электронной почты и различных программ. В первом случае вы просто отправляете на определенный адрес статью и она опубликуется.

Во втором вы можете публиковать новости с помощью мобильных приложений. В самом конце вы можете ввести пинг-сервисы, благодаря которым ускорится индексация сайта. Об этом я расскажу в одной из следующих статьях, а также приведу пример такого списка.

Последней настройкой, которую необходимо выполнить — настройка страницы ошибки 404. Эта ошибка возникает в том случае, если пользователь, например, вводит в адресную строку что-то, чего на вашем сайте попросту нет. Например, введя после адреса моего блога что-то вроде

https:

вы попадете на страницу, где увидите, что страница не существует. Это и есть ошибка 404. При правильной настройке этой страницы пользователь может остаться на вашем сайте, а не просто закрыть ее.

Рекомендую настроить эту страницу незамедлительно. Даже если ваш сайт еще не обзавелся постоянными пользователями, могут возникнуть проблемы с индексацией (если вы, например, измените название и адрес какой-либо рубрики).

Вот, собственно, все что я хотел рассказать про необходимые настройки блога, которые нужно сделать сразу после установки. В дальнейшем я подробно расскажу о создании страницы 404-ой ошибки  и ЧПУ, т.к. эти две темы имеют не последнее значение в поисковом продвижении.

Часть 1. Смена адреса входа и пароля

Здравствуйте, уважаемый читатель!

Сегодняшняя статья посвящена такому простому с первого взгляда действию,  как вход в админку WordPress. Эта статья открывает серию статей, посвященных особенностям работы с CMS WordPress. Несмотря на простоту использования, движок WordPress – это сложная многофайловая система. Научиться работать с ним легко, основы можно освоить за час, но постепенно, в процессе работы с движком, раскрываются все его тонкости, дающие новые возможности. Познавая их, вы переходите от уровня новичка до уровня профессионала. Я постараюсь сделать этот переход быстрее, поэтому предлагаю подписаться на обновления блога, чтобы не пропустить выход новых статей.

Чтобы управлять сайтом на движке WordPress, используется административная панель или, как ее чаще называют, админка.

В этой статье я хочу подробно рассмотреть следующие вопросы:

  1. Как войти в админку WordPress?
  2. Как изменить адрес входа?
  3. Как поменять пароль?
  4. Как восстановить пароль?
  5. Как придумать хороший пароль и где его хранить?
  6. Как поменять логин?
  7. Что делать, если вы работали на чужом компьютере?
  8. Защита админки от несанкционированного доступа.
  9. Как поменять логин и пароль через phpMyAdmin?

Как войти в админку WordPress?

Сайт на WordPress можно условно разделить на две зоны – пользовательская, которую видят посетители сайта, они ничего не могут изменить, кроме добавления комментариев, и административная, войти в которую могут только пользователи с определенными правами.

В системе WordPress используется 5 типов пользователей. Вот их список в порядке убывания прав:

  1. Администратор – все права. Он может добавлять, удалять и редактировать страницы и записи, добавлять медиафайлы, устанавливать и удалять плагины, редактировать виджеты, вносить изменения в коды файлов движка и т. д.
  2. Редактор – создавать, редактировать, публиковать, удалять весь контент блога (записи, страницы), загружать медиафайлы.
  3. Автор – создавать, редактировать, публиковать, удалять только свой контент, загружать медиафайлы.
  4. Участник – создавать и редактировать свой контент.
  5. Подписчик – посетители блога. Имеют право, читать и комментировать контент.

По умолчанию, чтобы войти в админку WordPress только что установленного сайта, нужно к его адресу через «слэш» («/») добавить «wp-admin» или «wp-login.php», то есть адрес для входа может быть таким:

http://site.ru/ wp-admin или

http://site.ru/ wp-login.php, в случае, если адрес сайта имеет домен второго уровня,

http://site.domen.ru/ wp-admin или

http://site.domen.ru/ wp-login.php, в случае, если сайт установлен на поддомене, и

http:// site. ru/ papka/wp-admin или

http://site.domen.ru/ papka/wp-login.php, если сайт находится в отдельной папке на вашем хостинге, что бывает нечасто.

После ввода соответствующего адреса открывается страница с полями для ввода логина и пароля. После их заполнения можно попасть в админку WordPress.

Как изменить адрес ввода.

Конечно, админка WordPress – это «святая святых» сайта, и посторонние не должны туда попадать. Поэтому необходимо ее защитить от несанкционированного доступа. Первый шаг для этого – смена адреса входа. Сделать это можно несколькими способами. Я рекомендую использовать плагин iThemes Security. Инструкцию по настройке этого плагина можно скачать по этой ссылке.

Изменить адрес входа можно и другими плагинами. Например, с помощью плагина HC Custom WP-Admin URL можно быстро адрес страницы входа. Плагин BM Custom Login позволяет не только изменить адрес входа, но и разработать собственный дизайн этой страницы. Stealth Login – плагин, который позволяет изменить адрес для страницы авторизации,  Hide login дает возможность создавать собственные адреса страниц для входа в систему, администрирования и регистрации для вашего блога WordPress, Плагин wSecure Authentication, также помогает пользователям WordPress скрыть страничку входа (wp-login.php, wp-admin) в панель управления вашим сайтом.

Изменить адрес входа в админку WordPress можно и без использования плагинов. Для этого нужно переименовать  файл wp-login.php. Как это сделать, пока описывать не буду, так как пока писал этот пункт, понял, что на эту тему нужно писать отдельную статью.

Как поменять пароль.

Для повышения надежности защиты сайта пароль для входа в админку WordPress нужно периодически менять. Сделать это просто. Входим в административную панель, в меню слева находим пункт Пользователи → Ваш профиль и заполняем два поля для нового пароля. Сохраняем изменения, выходим из админки, и теперь для входа нужно вводить уже новый пароль.

Как восстановить пароль.

Если вы вдруг забыли пароль для входа в админку WordPress, достаточно легко получить новый. На странице входа есть ссылка «Забыли пароль?».

Щелкните по ней, откроется новое окно с полем для ввода адреса электронной почты, который вы указали при заполнении своего профиля.

заполните это поле и нажмите Получить новый пароль. Вам на указанный адрес придет письмо с просьбой подтвердить создание нового пароля. , &, *, % …)

  • Чередуйте регистр (используйте маленькие и большие буквы).

    • Чтобы облегчить работу по созданию паролей, можно использовать специальные программы. Например, программа KeePass имеет встроенный генератор паролей. Если набрать в поиске «Генератор паролей», то вы получите множество ссылок на программы, создающие пароли и онлайн-сервисы для этого.

    Как изменить логин.

    По умолчанию, после установки WordPress имя пользователя всегда одно и то же – «admin». Это упрощает взлом сайта, так как подбирать нужно только пароль. Поэтому сразу же после установки рекомендуется сменить логин администратора. Сделать это можно или через админ-панель, создавая нового пользователя, или с помощью плагина iThemes Security. Как это сделать,  я уже писал в предыдущей статье. При выборе логина старайтесь сделать его, как и пароль, более сложным и уникальным.

    Использование чужого компьютера.

    Бывает, что приходится работать со своим сайтом, используя чужой компьютер, но современные браузеры имеют возможность запоминать введённые логины и пароли. Да, это удобно, если вы работаете на своем, домашнем компьютере, доступа к которому у посторонних нет. Но такая особенность становится ненужной и даже опасной при использовании ПК, к которому имеют доступ другие люди. Поэтому при работе с такого компьютера следует соблюдать определенные меры предосторожности:

    1. Если система предлагает вам сохранить пароль, следует отказываться.
    2. Не забывать выходить из админки по окончании работы с блогом.
    3. Зайти в настройки браузера и почистить историю, удалить вводившиеся логины и пароли. Например, для браузера Google Chrome чтобы открыть настройки, нужно щелкнуть на значке в правом верхнем углу

    В настройках выбрать вкладку История → Очистить историю

    Указать период времени, за который вы хотите удалить информацию, и удаляемые элементы. Для нас важно Пароли и Данные для автозаполнения.

    На этом пока остановлюсь.

    Подпишитесь на обновления, чтобы не пропустить продолжение.

    Продолжение следует. В нем будут описаны более продвинутые методы защиты админки WordPress от несанкционированного доступа.

    WordPress wp-login.php Brute Force Attack — Центр поддержки хостинга InMotion

    В настоящее время было проведено несколько крупномасштабных атак WordPress wp-login.php методом подбора , исходящих от большого количества скомпрометированных IP-адресов, разбросанных по всему миру. world с апреля 2013 года.

    Мы впервые открыли эту страницу, когда большая ботнет из примерно 90 000 скомпрометированных серверов пыталась взломать веб-сайты WordPress, постоянно пытаясь угадать имя пользователя и пароль для входа в панель администратора WordPress.

    Вы можете быстро просмотреть попытки входа в WordPress, чтобы узнать, не подвергался ли ваш сайт недавно атаке.

    Глобальная атака методом перебора WordPress

    Пожалуйста, помните, что эти проблемы не ограничиваются хостингом InMotion или нашим хостингом WordPress . Например, вот один, который затронул несколько поставщиков.

    Общая защита WordPress от перебора

    Обратите внимание, — перед добавлением и удалением плагинов или внесением изменений в целом, вы должны сделать резервную копию вашего WordPress с помощью надежного плагина.

    Несмотря на то, что мы ВЫСОКО рекомендуем внедрить как можно больше безопасных решений для WordPress, следующие руководства станут отличным первым шагом к защите себя и своего сайта WordPress от дальнейших атак.

    План защиты InMotion Hosting

    Наша команда старших системных администраторов внедрила политику безопасности для всего парка машин, чтобы сдерживать эти атаки.

    Мы активно защищаем наших клиентов, чтобы остановить распространение новых атак. Эти вредоносные боты пытаются проникнуть на один сайт WordPress, а затем, используя его как часть ботнета, начинают атаковать другие сайты.

    Хостинг InMotion клиентов заблокированы в WordPress, пожалуйста, следуйте этому руководству:
    Вход в WordPress временно отключен (исправлено)

    Помощь сообществу Группа встреч Bay Area Foothills Meetup, состоящая из некоторых клиентов InMotion, а также других пользователей WordPress.

    В этой видеовстрече я рассказал об атаке грубой силы на WordPress, провел их через эту статью, а также ответил на другие вопросы, связанные с безопасностью WordPress.

    10 рекомендуемых шагов для блокировки и защиты WordPress

    1. Используйте надежный пароль

    Рекомендуемый минимальный пароль:

    • Всего не менее 8 символов
    • Сочетание прописных и строчных букв
    • Цифры, знаки препинания или другие небуквенно-цифровые символы

    Пример слабого пароля: secret1
    Улучшенный надежный пароль: Z#hupsZ2M4!Z

    Посмотрите, как создать безопасный пароль администратора WordPress для простых шагов.

    2. Изменить имя пользователя администратора WordPress по умолчанию

    При установке WordPress по умолчанию пользователь-администратор имеет имя пользователя admin.

    В настоящее время атака ботнета нацелена только на это имя пользователя по умолчанию, поэтому даже наличие имени администратора admin123 может значительно снизить вероятность успешного входа на ваш сайт злоумышленником.

    Узнайте, как изменить имя пользователя администратора WordPress по умолчанию в целях безопасности.

    3. Заблокируйте доступ администратора WordPress с помощью .htaccess

    Использование плагина грубой силы WordPress для этого типа атаки не очень эффективно, а в некоторых случаях может фактически привести к тому, что ваш сайт станет недоступным из-за большой вычислительной мощности, используемой для попытки оспорить каждую попытку злоумышленника войти в систему.

    Установите пароль второго уровня, чтобы предотвратить несанкционированные попытки WordPress wp-admin и wp-login.php.

    Или вы можете положиться на имеющуюся у нас информацию об ограничении доступа администратора WordPress с помощью .htaccess.

    4. Временно отключите плагины ограничения входа в систему, интенсивно использующие процессор в этом типе крупномасштабной атаки.

    5. Сканируйте веб-сайт на предмет взлома, проверьте Google Safe Browsing

    Если ваш сайт WordPress был успешно скомпрометирован, обычно можно найти четкое указание либо путем поверхностного сканирования веб-сайта, либо об этом также будет сообщено в Google Safe Просмотр.

    Проверьте безопасный просмотр Google для вашего домена по адресу https://transparencyreport.google.com/safe-browsing/search

    6. Настройте защиту на уровне DNS CloudFlare

    Из-за большого масштаба этой ботнет-атаки CloudFlare предлагает Фильтрация на уровне DNS для этой атаки на всех их бесплатных учетных записях.

    Хотя, вероятно, это не идеальное решение, если у вас много сайтов WordPress из-за необходимости обновлять серверы имен для каждого домена, а затем обычно ждать 24-36 часов для распространения DNS. Владельцы отдельных сайтов могут извлечь большую выгоду из этого типа защиты, которая должна в первую очередь блокировать запросы ботнета даже от того, чтобы они поступали на сервер.

    7. Резервное копирование WordPress

    На этом этапе, вероятно, стоит сделать резервную копию WordPress на всякий случай. Таким образом, по мере продолжения атак вы всегда будете иметь хорошую точку для восстановления, если что-то пойдет не так.

    Резервное копирование ваших данных

    • Резервное копирование файлов вашего сайта в cPanel
    • Сделайте резервную копию вашей базы данных в cPanel

    Восстановление ваших данных

    • Восстановите файлы вашего сайта в cPanel
    • Восстановите базу данных в cPanel

    8.

    Обновите все WordPress

    Чтобы защитить себя от любых известных эксплойтов в WordPress, вам следует обновить все, что связано с WordPress:

    Необходимые обновления:

    • Обновить WordPress из панели администратора
    • Обновить тему WordPress
    • Обновить плагин WordPress

    9. Очистка от взлома

    Если ваш веб-сайт стал жертвой взлома, вы можете следовать моему руководству о том, как переустановить WordPress после взлома, чтобы узнать, как его очистить и вернуться к работе.

    10. Другие общие рекомендации по WordPress

    • Оптимизация WordPress с помощью плагина W3 Total Cache
    • Выйдите из административной панели WordPress, когда она не используется
    • Ограничение или отключение версий WordPress
    • Отключить автосохранение WordPress
    • Установите и используйте плагин Better Delete Revision WordPress
    • Получите новый хостинг WordPress от нас!

    Надеемся, что ваш веб-сайт WordPress теперь должен быть заблокирован и защищен, что должно помочь предотвратить блокировку нашими собственными внутренними правилами безопасности вашего собственного доступа к вашему администратору WordPress.

    Когда пыль уляжется и вы знаете, как предотвратить доступ к атакам методом грубой силы, найдите время, чтобы просмотреть наш репозиторий учебных пособий по WordPress.

    Изменить URL-адрес для входа в WordPress

    URL-адрес для входа в WordPress по умолчанию — /wp-login.php (или вы можете просто ввести /wp-admin/ , и он перенаправит вас туда, если вы еще не вошли в систему) . Например:

    http://www.example.com/wp-login.php .

    Вы можете подумать про себя: «Хорошо. Какая разница?» Есть 3 причины, по которым вас должно это волновать:

    1. Я могу сказать, что вы используете WordPress. Хакеру довольно легко определить, является ли тот или иной веб-сайт веб-сайтом WordPress. Вы можете посмотреть на исходный код страницы и увидеть такие вещи, как /wp-content/themes/style.css или /wp-content/plugins/… и т. д. Как только я узнаю, что ваш сайт является сайтом WP, теперь я знаю ваш URL-адрес для входа: /wp-login.
      php       .
    2. Итак, теперь я знаю ваш URL для входа. Я также знаю, что WordPress по умолчанию создает имя пользователя «admin». Теперь у мистера или мисс Хакера есть ваш URL-адрес для входа и, возможно, ваше имя пользователя для входа. Теперь нужно угадать пароль.
    3. И я попробую имя пользователя по умолчанию и попробую угадать ваш пароль. Даже если у вас нет имени пользователя «admin» и у вас есть надежный пароль (и желательно использовать менеджер паролей для входа в систему, чтобы нажатия клавиш вашей клавиатуры не регистрировались), хакеры не знают об этом, поэтому они просто продолжайте пытаться всегда и везде, тратя впустую ресурсы вашего сервера и, возможно, закрывая ваш сайт. (P.S. Я надеюсь, что вы входите в систему с помощью HTTPS или с помощью безопасного метода входа, например, из панели управления ManageWP, поэтому ваш пароль не отправляется «в открытом виде» при входе в систему.)

    Что-нибудь из этого звучало весело? Держу пари, что нет, но это важные вещи. По крайней мере, я надеюсь, что я напугал вас до конца этого поста с инструкциями, потому что решение быстрое, простое и безболезненное, и любой, кто может установить и активировать плагин, может это сделать.

    Как изменить URL-адрес входа в WordPress

    Краткий ответ — установить, активировать и настроить плагин Better WP Security для WordPress.

    Чем мы занимаемся

    С Better WP Security вы сможете изменить:

    • /wp-login.php на /login/
    • /wp-admin/ до /admin/
    • /wp-login.php?action=register to /register/
    • Или к любым слагам, которые вы выберете в настройках плагина

    Предупреждения

    Возможны проблемы с совместимостью. Обязательно прочитайте и усвойте все параметры Better WP Security, прежде чем изменять какие-либо настройки. Поговорите со своим веб-хостингом или разработчиком, прежде чем продолжить, если вы знаете, что у вас необычная настройка, но не уверены, как этот плагин может повлиять на нее. Я тестировал с WP Engine и не было никаких проблем. Следуйте рекомендациям автора плагина и ознакомьтесь с советами и часто задаваемыми вопросами по установке Better WP Security.

    Если у вас уже есть сайт, добавленный в панель управления ManageWP, вам потребуется обновить параметры ManageWP, но это быстро и просто. Также, пожалуйста, прочитайте «Известные проблемы» ManageWP, в котором упоминается одна из функций плагина Better WP Security.

    Продолжайте читать все пошаговые инструкции по улучшению безопасности WP и обновлению параметров панели управления ManageWP.

    Пошаговые инструкции

    Вам действительно следует изменить URL-адрес входа в систему (и под URL-адресом входа я имею в виду URL-адреса для входа, регистрации и администрирования). Вот как это сделать:

    Шаг 1: Сделайте полную резервную копию

    Угу. Сделайте это с ManageWP. Возьмите полную резервную копию , а не только резервную копию базы данных. Как и все резервные копии, убедитесь, что они завершены и находятся в нужном месте, прежде чем переходить к следующему шагу.

    Шаг 2. Установите и активируйте плагин Better WP Security

    Я долго и усердно искал плагин «скрыть логин», и вариантов качества было не так много. И метко названный плагин Hide Login не работал у меня (слава богу, я был на сайте WP Engine staging , потому что меня полностью заблокировали). Раньше был плагин Stealth Login, которого больше нет.

    По рекомендации нескольких гуру WordPress я попробовал Better WP Security только для этой цели (хотя у него есть множество замечательных функций), и с самого начала он работал как часы.

    Шаг 3. Установите плагин Better WP Security

    После установки плагина Better WP Security выполните следующие действия:

    1. Откройте страницу параметров плагина wp-admin.
    2. Выполните первые 3 шага настройки, как показано на снимках экрана ниже:
      1. Выберите резервную копию.
      2. Разрешить плагину изменять основные файлы WordPress (сначала прочитайте предупреждение).
      3. Нажмите кнопку «Защитить мой сайт от основных атак».
    3. Перейдите на вкладку «Скрыть».
      1. Установите флажок «Включить скрытие серверной части».
      2. Введите нужные слаги для входа, регистрации и администрирования или оставьте для них значения по умолчанию плагина «логин», «регистрация» и «админ».
      3. Нажмите «Сохранить изменения».
    4. Не забывайте свои новые URL-адреса, особенно URL-адрес входа! Возможно, вы захотите записать их где-нибудь, пока не привыкнете к ним. Или никогда не нужно запоминать URL-адрес для входа, если вы используете инструмент автоматического входа, такой как ManageWP (далее следуют дополнительные шаги).

    Скриншоты каждого вышеописанного шага показаны ниже:

    Страница начальной настройки. Выберите вариант резервного копирования, который вы считаете лучшим. (Если вы уже создали резервную копию с помощью ManageWP, вы можете пропустить эту резервную копию.) Шаг установки 2. Прочтите инструкции и, как правило, нажмите, чтобы разрешить изменение основных файлов WordPress. Шаг установки 3. В общем, выберите параметр, чтобы разрешить плагину активировать настройки безопасности по умолчанию, поскольку этот плагин делает больше, чем просто меняет URL-адрес для входа. После нажатия на вкладку «Скрыть» вверху установите флажок, чтобы включить эту функцию. Измените текстовые поля по своему усмотрению. Затем нажмите «Сохранить». (Не волнуйтесь, вы не выйдете из системы при сохранении.) После сохранения один раз вы сможете снять флажок, если хотите отключить функцию, или вы можете оставить его установленным и просто изменить логин. URL-адреса в любое время.
    Шаг 4. Добавьте (или повторно добавьте) свой сайт в панель инструментов ManageWP

    Если вы используете ManageWP для сайта, для которого вы изменили URL-адрес входа, выполните следующие действия:

    1. Войдите в панель управления ManageWP.
    2. В левом меню навигации щелкните сайт, для которого вы изменили URL-адрес входа.
    3. Нажмите «Параметры».
    4. Измените параметр «URL-адрес администратора веб-сайта» с …/wp-admin/ на …/login/ (или на что вы его изменили).
    5. Нажмите «Сохранить изменения», и окно автоматически закроется после того, как на секунду или две появится зеленое сообщение «Параметры обновлены».
    6. Нажмите на сайт еще раз и нажмите «Администратор сайта» (или значок рядом с ним, чтобы открыть его в новом окне), чтобы убедиться, что ManageWP может автоматически войти в систему для вас по новому URL-адресу.
    7. Если вы смогли войти в систему через панель инструментов ManageWP, все готово.

    Скриншоты каждого шага приведены ниже:

    Перейдите на панель управления ManageWP, щелкните URL-адрес сайта и выберите «Параметры». Во всплывающем окне параметров сайта ManageWP вы увидите свой текущий URL-адрес для входа. ваш новый URL-адрес для входа и нажмите «Сохранить изменения». Убедитесь, что панель инструментов ManageWP по-прежнему может выполнять автоматический вход в систему. Щелкните URL-адрес сайта, для которого вы только что обновили параметры, и щелкните ссылку «Администратор сайта», чтобы проверить, работает ли он.

    Как плагин Better WP Security меняет URL-адрес входа

    Некоторым может быть все равно, как это работает; для других, вы можете хотеть знать все детали. Скажем так, — это магия файла .htaccess.

    Не вдаваясь в подробности, плагин добавляет около 30 строк в начало вашего основного файла WordPress .htaccess. Это действительно все волшебство, которое необходимо для изменения URL-адресов входа.

    Примечание. Ни файл wp-login.php , ни файл Файл wp-config.php изменен, перемещен или переименован.

    Если вы разработчик и хотите изучить все тонкости файлов и правил .htaccess, рассмотрите возможность приобретения электронной книги .htaccess made easy. Для ясности: для использования плагина Better WP Security не требуется знание .htaccess.

    Подробнее о Better WP Security

    Плагин Better WP Security имеет множество функций, одна из которых — возможность скрыть URL-адреса для входа, регистрации и администрирования WordPress. Вот несколько дополнительных функций, включенных в этот бесплатный плагин:

    • Дополнительные опции «безопасность через неясность»
    • Изменить текущий префикс базы данных WordPress
    • Переименуйте имя пользователя по умолчанию «admin»
    • Изменить идентификатор пользователя с идентификатором 1
    • Удаляет сообщения об ошибках входа в систему (чтобы неудачные попытки входа не получали подсказки, было ли неправильное имя пользователя или пароль)
    • Регистрирует ошибки 404, неудачные попытки входа в систему и изменения в файлах

    Есть много других преимуществ использования плагина Better WP Security, и он работает даже на отдельных сайтах и ​​на нескольких сайтах.

    Узнайте больше о его функциях на странице плагина WordPress и поставьте ему хорошую оценку, если он вам подходит.

    Измените URL-адрес входа в WordPress сегодня.

    Не стесняйтесь оставлять комментарии ниже, как только вы это сделаете или если у вас возникнут какие-либо проблемы.

    Сообщение в блоге обновлено 17 июля 2014 г.

    Изображение предоставлено Saxon.

    Пользовательская страница входа для WordPress — плагин безопасности WordPress, брандмауэр и защита от спама

    Функция пользовательской страницы входа в систему — отличный инструмент для уменьшения поверхности атаки и устранения регистрации спама. Это первое, что вы должны включить на только что установленном WordPress. Еще одна настоятельно рекомендуемая мера безопасности — переименование папки плагинов WordPress.

    Почему это важно и почему это работает


    Согласно нашим исследованиям в Cerber Lab, большинство хакерских инструментов и атак основаны на предположениях, что веб-сайт жертвы на основе WordPress имеет страницу входа по умолчанию, а плагины расположены в папке по умолчанию. Хотя рекомендуется не использовать значения по умолчанию на любом веб-сайте, многие владельцы веб-сайтов игнорируют эти простые принципы, что позволяет хакерам успешно атаковать их. И именно поэтому хакеры так любят WordPress, и в любой момент времени мы видим сотни тысяч взломанных веб-сайтов.

    Настройте пользовательскую страницу входа

    WP Cerber позволяет легко и безопасно изменить URL-адрес входа в WordPress по умолчанию wp-login.php на любой нужный URL-адрес. Другими словами, вы можете настроить свою уникальную, известную вам пользовательскую страницу входа (пользовательский URL-адрес входа означает то же самое в этом контексте) и скрыть wp-login.php от злоумышленников, сканеров и ботов. Вам не нужно редактировать файл .htaccess или переименовывать файл wp-login.php. С WP Cerber вы можете настроить его в несколько кликов.

    1. Перейти на страницу администрирования плагина Основные настройки .
    2. Введите новый желаемый URL-адрес для входа в поле Пользовательский URL-адрес для входа и сохраните настройки. Вот и все.
    3. Если вы используете подключаемый модуль кэширования, добавьте новый URL-адрес для входа в список страниц, которые не следует кэшировать.
    4. Убедитесь, что ваш новый URL-адрес для входа работает правильно, и вы можете использовать его для входа в систему. Сделайте это в окне браузера в режиме инкогнито. Не выходите из своего веб-сайта, пока не убедитесь, что ваш новый URL-адрес для входа работает правильно.

    Пользовательские настройки страницы входа в WordPress

    Как скрыть wp-login.php от ботов и сканеров

    После того, как вы включили страницу входа клиента, имеет смысл скрыть страницу входа WordPress по умолчанию, чтобы предотвратить атаки на нее путем перебора. Для этого установите параметр Обработка запросов аутентификации wp-login.php на «Блокировать доступ к wp-login.php». При попытке доступа к странице WP Cerber отобразит стандартную страницу «404 Not Found». Есть только один недостаток, о котором вам следует подумать. Если злоумышленник достаточно умен, он может продолжить сканирование веб-сайта в поисках вашей настоящей страницы входа.

    Как отключить wp-login.

    php

    Еще один более продвинутый вариант, который вам следует рассмотреть, — это отключение wp-login.php без блокировки доступа к нему. Как это работает? Эта уникальная функция WP Cerber останавливает любые попытки аутентификации через wp-login.php. При попытке войти в систему WP Cerber имитирует ошибку неправильного пароля по умолчанию и прерывает процесс аутентификации пользователя. Неважно, какой пароль вводится; никто не может войти в систему даже с правильным паролем. Чтобы включить эту функцию, установите Обработка запросов аутентификации wp-login.php Настройка «Отклонить аутентификацию через wp-login.php».

    Необходимо принять во внимание недостаток: если вы или ваш пользователь забудете, что wp-login.php больше не работает должным образом, вы или они никогда не сможете войти в систему и будете заблокированы через несколько попытки сделать это.

    Важные вещи, которые вам нужно знать

    • Если вы используете подключаемый модуль кэширования, например W3 Total Cache или WP Super Cache вам необходимо добавить слаг нового пользовательского URL-адреса входа в список страниц, которые не нужно кэшировать.
    • Для многосайтовой установки WordPress новый URL-адрес для входа устанавливается для всех сайтов по всему миру.
    • Не удаляйте и не переименовывайте файл wp-login.php вручную. После обновления вашего WordPress до более новой версии, wp-login.php будет восстановлен и снова доступен для злоумышленников.

    Обеспечьте безопасность с помощью двухфакторной аутентификации

    Рассмотрите возможность включения 2FA для защиты учетных записей администраторов. Двухфакторная аутентификация обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации помимо имени пользователя и пароля.

    Узнайте больше: как включить двухфакторную аутентификацию для WordPress

    Устранение неполадок с функцией пользовательского URL-адреса для входа

    Включение пользовательской страницы входа может привести к тому, что некоторые подключаемые модули перестанут работать. Если вы используете плагин для настройки страницы входа или плагин для входа в социальную сеть, возможно, такой плагин больше не работает. Чтобы решить эту проблему, включите «Отложить отрисовку пользовательской страницы входа». Подробнее об этой настройке.

    Если вы настроили свой собственный URL-адрес для входа и через некоторое время забыли его, прежде всего, проверьте почтовый ящик администратора сайта, чтобы получить уведомление по электронной почте о вашем новом URL-адресе для входа или любой еженедельный отчет по электронной почте. В этих письмах вы можете увидеть свой собственный URL-адрес для входа. Если вы не можете их найти, вам необходимо переустановить плагин вручную, выполнив следующие действия.

    1. Удалите папку плагина /wp-cerber/ вручную с помощью FTP или любого файлового менеджера в панели управления хостингом.
    2. Войдите в свою панель управления WordPress как обычно, используя URL-адрес по умолчанию /wp-login.php или другой способ, который вы использовали до включения пользовательского URL-адреса для входа.
    3. Установите и активируйте плагин WP Cerber Security как обычно.
    4. Перейти на страницу основных настроек плагина.
    5. Проверьте поле Пользовательский URL-адрес для входа . Он отображает ваш пользовательский URL-адрес для входа, который вы должны использовать. Запомни это.

    Следующие шаги, которые укрепят вашу безопасность WordPress

    • Как скрыть wp-admin и wp-login.php от возможных атак
    • Как заблокировать спамерские регистрации пользователей
    • Как заблокировать отправку спам-форм
    • Как заблокировать доступ к WordPress REST API
    • Как заблокировать определенные имена пользователей

    Есть вопросы?

    Если у вас есть вопросы о безопасности WordPress или WP Cerber, оставьте их в разделе комментариев ниже или получите ответы здесь: G2.COM/WPCerber.

    Закалка

    Предыдущий пост

    WordPress Security

    Узнайте больше об IP-адресе злоумышленника

    Следующий пост

    Релизы

    WP Cerber Security 2.

    No related posts.