Вы наверняка уже знаете как можно попасть в админку WordPress?

Сделать это можно как минимум четырьмя способами, добавив к адресу вашего сайта следующее:

/admin, т.е. так: http://вашсайт/admin
/wp-admin
/login
/wp-login.php

В общем-то, все три первых варианта редиректом (перенаправлением) приведут вас всё равно на страницу: http://ваш_сайт/wp-login.php

Получается, что любой желающий сможет добавить к адресу Вашего сайта любую из четырёх выше описанных приставок и увидит вход админку:

Конечно же, это совсем не значит что этот любой желающий сможет также легко попасть в админку, ведь ему нужно еще знать Имя пользователя или Ваш e-mail и Ваш пароль.

Если Ваш пользователь-администратор имеет логин: – то это совсем не осмотрительно с Вашей стороны и злоумышленнику останется только угадать или подобрать Ваш пароль.

Кроме того, вы увидели надпись: Имя пользователя или e-mail ? Да, да, именно e-mail WordPress может использовать как Имя пользователя. А Вы ведь могли где-нибудь на сайте указать E-mail адрес, который совпадает с E-mail пользователя-администратора. Получается первое, что может попробовать злоумышленник – это ввести Ваш E-mail и тут WordPress ему снова поможет, ведь если E-mail не подходит он увидит такое сообщение:

а если E-mail правильный, WordPress-напишет что пароль для него не верный:

В итоге, мы имеем ситуацию при которой потенциальному злоумышленнику для взлома Вашего сайта (доступа в админку) нужно будет только угадать или подобрать Ваш пароль.

Как же защитить вход в админку от потенциальной угрозы? Ответ прост – постараться увеличить количество неизвестных, необходимых для входа.

А теперь давайте подробнее:

По возможности, сделайте так чтобы E-mail пользователя-администратора на сайте нигде не упоминался – публичный E-mail должен быть каким-нибудь другим.
Ваш пароль должен быть не простым, при установке WordPress сам генерирует для вас сложный пароль, если не хотите его использовать придумайте какой-нибудь более менее сложный пароль, включающий в себя маленькие и большие символы, цифры и какие-нибудь символы типа -, ?, _ и т.д.
Имя Вашего пользователя тоже не должно быть простым, никаких: admin, manager, root, administrator, user и прочих простейших слов!
И наконец, нужно ввести третью самую главную неизвестную – поменять URL-адрес входа в админку, для этого установите простой плагин: WPS Hide Login

WPS Hide Login

Простой, бесплатный и довольно популярный плагин, позволяющий изменить URL-адрес входа в админку.

После установки и активации плагина, вам нужно перейти в раздел админки: Настройки / Общие , далее прокрутить страницу до самого низа и увидеть всего один параметр добавляемый этим плагином:

По умолчанию плагин предлагает использовать вход http://вашсайт/login – но это отнюдь не самый лучший вариант! Придумайте что-нибудь своё, например: yyy12_go )))

После изменения этого параметра не забудьте нажать на кнопку Сохранить изменения – иначе при активном плагине у вас будет вход через http://вашсайт/login

Обязательно попробуйте выйти и снова зайти в админку, но уже по новому адресу входа, который вы сами придумали и главное не забудьте его!

После изменения точки входа в админку, при попытке зайти по стандартным URL-адресам пользователь будет получать 404 страницу ошибки.

Внимание! Если вдруг Вы забудете новый адрес входа в админку, вам нужно будет отключить данный плагин. Сделать это можно не попадая в админку при наличии доступа к папкам и файлам сайта. Нужно просто переименовать или удалить папку плагина wps-hide-login, которая будет в папке plugins (папка plugins находится в папке wp-content).

В итоге: после применения всех выше перечисленных мер мы должны получить защиту входа в админку с тремя неизвестными: E-mail / Имя пользователя, сложный пароль и свой уникальный URL-адрес входа – а это может значительно усложнить потуги юных хакеров)

Время на чтение: 4 мин

Еще год назад у меня очень часто нагрузка на сервер превышала предел допустимого по тарифу лимита. При этом проблема была не в самих сайтах, а банальной атаке злоумышленников на админку, с целью получить доступ для каких-то своих целей.

Сегодня я расскажу как справился с проблемой, что советую и вам сделать на всякий случай у себя.

В результате было принято решение сменить адрес формы логина в админку, а так же прикрыть админку для всех посторонних, у кого не мой IP.
Стоит заметить, что некоторые хостинг-компании сами автоматически создали для всех пользователей новый адрес админки. Если вы пользуетесь услугами подобных хостингов, то дальше не читайте статьи и не тратьте время.
Как сменить адрес админки WordPress
Раньше публиковал такую статью . Здесь вроде бы и похожий результат, но эффект и назначение другие.
Не забываем делать резервные копии файлов, с которыми работаем.
Для начала скопируем файл wp-login.php из корня сайта (там где лежит wp-config.php) на ftp к себе на компьютер.
Переименовываем его как душе угодно. Например vhod.php
Открываем этот файл бесплатной программой Notepad++ (или чем вам удобнее редактировать) и подменяем все вхождения фразы wp-login.php на vhod.php .

Сделать это быстро можно нажатием сочетания клавиш CTRL+F в Notepad++. Ну а в появившемся окне вводим:
Вот так за секунду я заменил во всем файле нужное мне вхождение фразы. Попадалось оно 12 раз.
Новый файл закидываем на ftp.
Аналогичную штуку нужно будет провернуть в файле general-template.php , который найдете в папке wp-includes тут же на ftp. Т.е. меняете вхождение фразы wp-login.php на vhod.php , а само название файла не меняете!
Теперь там же в корне сайта у вас есть файл .htaccess . Тоже копируем его к себе на компьютер и открываем на редактирование (можно обычным блокнотом Windows Notepad). Вставляем такой кусок кода, который блокирует доступ всем к файлу wp-login.php
Order Deny,Allow Deny from all

< Files wp - login . php >
Order Deny , Allow
Deny from all
< / Files >

Именно данный шаг снял нагрузку, а так же спрятал форму авторизации. Нагрузка была снята за счет вставки представленного кода в.htaccess: если шло обращение к http://site.ru/wp-login.php, то отдавало 403 ошибку, а не 404.
Повторим кратко алгоритм работы:
Переименовываем файл wp-login.php на произвольное имя и подменяем в нем вхождения названия на новое.
Аналогично подменяем в файле general-template.php старое название wp-login.php на новое.
Прописываем в файле.htaccess запрет к доступу wp-login.php для всех

После обновления WordPress останется поправить только файл general-template.php. Но т.к. обновляется движок не так уж часто - это мелочь по сравнению с эффектом.
Ставим ограничение на вход по IP через.htaccess
В качестве дополнительных мер по защите сайта мною было принято ограничение на вход в админку по IP. Проблема решалась очень просто: создаем пустой файл.htaccess и добавляем в него такой код
order deny,allow allow from 192.168.0.1 deny from all

order deny , allow
allow from 192.168.0.1
deny from all

Файл сохраняем и закидываем в папку wp-admin там же в корне сайта.
Вместо моего IP из примера поставьте свой настоящий. Притом можно добавить несколько IP с новой строки каждый:
order deny,allow allow from 126.142.40.16 allow from 195.234.69.6 deny from all

order deny , allow
allow from 126.142.40.16
allow from 195.234.69.6
deny from all

Если IP динамический, то можете поставить цифры только до первой-второй-третьей точки:

Добрый день!

Сегодня я расскажу вам как скрыть страницу в WordPress.

Под скрытием страницы имеется в виду исключение её из общего списка страниц при выводе. Но это не означает, что эта страница не будет индексироваться поисковыми роботами. Т.е., если робот узнает об этой странице, то обязательно её проиндексирует. Это может произойти если где-то на сайте будет ссылка на эту скрытую страницу или вы или кто-то другой известит поисковик об этой странице. Вообщем, если вам нужно скрыть страницу именно от роботов, то для этих целей используйте файл .

Для чего может применяться скрытие страницы из списка вывода?

Например, при подключении поиска Яндекс или Google по сайту. Для вывода результатов поиска на сайте вам понадобится страница. По умолчанию, она будет пустой и прямой переход на неё вам не нужен.

Или, просто, у вас есть страницы, на которые вы хотите ссылаться с других страниц, но не с главной. Также, можно часть ссылок на страницы выводить в хедере, а другую часть – в футере или сайдбаре.

Ранее, я писал . Страница скрывается аналогичном способом, только для вывода списка страниц используется функция wp_list_pages .

Как узнать id страницы WordPress

Для того, чтобы скрыть страницу нам понадобится узнать её порядковый номер, который присвоен странице в базе данных (идентификатор или просто id).

Для этого и перейдите в раздел Страницы .

В списке страниц наведите курсор мыши на название той страницы, id которой нужно узнать.

В браузере внизу в информационной строке вы увидите url-адрес ссылки такого типа:

http://сайт/wp-admin/post.php?post=192&action=edit

Найдите в этой строке значение параметра post . В данном случае post=192 – это и есть id страницы. Т.е. в данном примере id страницы равно 192.

Также, чтобы увидеть этот url-адрес, можно нажать на ссылку редактирования страницы и тогда нужный url будет уже вверху в адресной строке браузера.

Еще, id страницы WordPress можно узнать непосредственно в базе данных в таблице wp_posts . Все записи, у которых post_type = "page" – это страницы. Т.е. получить список всех страниц можно следующим SQL-запросом: .

В поле ID хранится нужный нам идентификатор.

Как скрыть страницу в WordPress

Теперь, когда мы знаем id страницы, можем приступить непосредственно к скрытию этой страницы.

Список страниц в WordPress выводится с помощью функции wp_list_pages .

Откройте файл /wp-content/themes/ваш_шаблон/header.php и найдите в нем вызов функции wp_list_pages .

Вот какой код был в моем header.php:

Если вам нужно скрыть несколько страниц, то перечислите их id через запятую.

Всем привет! Сегодня я расскажу о защите вашего блога или сайта на WordPress, а именно, о том, как скрыть адрес входа в админку сайта. Если вы уже искали в интернете статьи на темы: защита админки wordpress, скрыть админку wordpress и т.д., то наверняка вы видели везде одно и то же, это либо использовать различные плагины, либо заменять стандартный файл wp-login.php другим файлом с другим названием. Однако использование плагинов замедляет работу сайта, а замена файла wp-login.php не приводит к нужному результату, поскольку адрес http://ваш-сайт/wp-admin всегда перебросит на форму входа на сайт, причём в адресной строке будет прописан ваш заменённый wp-login.php.

Поэтому в этой статье вы увидите простой и универсальный способ скрыть адрес админки WordPress.

Итак, начнём. Суть способа заключается так же в замене файла wp-login.php, но сам файл останется, при запросе к нему будет выдаваться 404 ошибка. Например, изменим адрес входа в админку на adminka.php.

Открываем файл wp-login.php с помощью любого редактора, например, Notepad++. Чтобы открыть поиск слов нажимаем сочетание клавиш Ctrl + F. Выбираем вкладку «Заменить» и заменяем все слова wp-login.php на adminka.php, нажав на кнопку «Заменить всё». Затем сохраняем этот файл, так же назвав его adminka.php. Теперь можем загрузить его в директорию сайта.

У нас теперь есть по сути два файла для входа: первый — это стандартный wp-login.php, второй — это наш adminka.php. Также пока ещё будет работать вход по адресу wp-admin.

Если вы читали какие-то уже статьи по скрытию админки WordPress, то наверняка видели, что после этого шага изменяется ещё файл general-template.php в папке wp-includes. Проблема при таком способе заключается в том, что при обновлении WordpPress обновляется и данный файл, а также, если в способе удаляется или делается пустым файл wp-login.php, этот файл так же обновляется и всё приходится делать по новой, чтобы админка снова была доступна только по вашему адресу.

Я нашёл иной способ и он универсален, так как не зависит от обновлений WordPress.

Суть способа проста: нужно добавить код, который ниже, в файл functions.php вашей темы сразу после открывающего php тега. С помощью данного кода мы будем выдавать 404 ошибку при обращении по адресам wp-admin и wp-login.php, а также сделаем рабочими кнопки входа, выхода и восстановления пароля. Заметьте, что регистрация работать не будет, поэтому этот вариант подойдет только, если вы единственный пользователь вашего сайта и регистрация у вас запрещена. Иначе какой смысл менять адрес входа, если все его всё равно будут знать .

Напоминаю, наш новый адрес админки adminka.php, поэтому вначале мы определяем константу ADMIN_URL с данным значением.

Define("ADMIN_URL", "adminka.php"); add_action("init", "redirect_login_page"); add_filter("login_url", "new_wp_login_url", 10, 3); add_filter("logout_url", "new_wp_logout_url", 10, 2); add_filter("lostpassword_url", "new_wp_lostpassword_url", 10, 2); function redirect_login_page() { $page_viewed = $_SERVER["REQUEST_URI"]; if (strpos($page_viewed, "wp-login.php") !== false || (is_admin() && !(current_user_can("administrator") || current_user_can("super admin")) && !(defined("DOING_AJAX") && DOING_AJAX))) { global $wp_query; $wp_query->set_404(); status_header(404); get_template_part("404"); exit; } } function new_wp_login_url($redirect = "", $force_reauth = false) { $login_url = site_url(ADMIN_URL, "login"); if (!empty($redirect)) $login_url = add_query_arg("redirect_to", urlencode($redirect), $login_url); if ($force_reauth) $login_url = add_query_arg("reauth", "1", $login_url); return $login_url; } function new_wp_logout_url() { $args = array("action" => "logout"); $logout_url = add_query_arg($args, site_url(ADMIN_URL, "login")); $logout_url = wp_nonce_url($logout_url, "log-out"); return $logout_url; } function new_wp_lostpassword_url() { $args = array("action" => "lostpassword"); $lostpassword_url = add_query_arg($args, network_site_url(ADMIN_URL, "login")); return $lostpassword_url; }

Вот и всё! Таким простым способом мы защитили вход в админку нашего сайта, тем самым мы запретили злоумышленникам доступ к нашей админке. Теперь они даже не смогут подобрать пароль, пока не узнают адрес входа. Однако у этого способа тоже есть минус, но не такой значительный. Данный способ будет работать только с текущей темой, хотя вы всегда можете написать данный код в собственный небольшой плагин и тем самым избавиться от этого минуса.

Страница логина WordPress является одной из самых уязвимых частей Вашего веб-сайта. Конечно же, злоумышленники прекрасно знают об этом. Поэтому важной задачей любого владельца сайта является максимальная защита страницы логина.

В сети существует множество способов для решения данной задачи – разных по сложности и времени исполнения. Однако в данной статье мы поговорим о защите страницы логина WordPress с помощью плагинов.

Table of Contents

Для чего нужно защищать страницу входа WordPresss?

На страницу входа можно попасть двумя способами:

Введите wp-login.php в адресную строку браузера;
Перейдите по ссылке http://yoursite.dev/wp-admin/

Для чего хакеры и боты атакуют вашу страницу входа?

А теперь представьте себе, какая нагрузка на сайт создается при каждом таком подборе пароля и нажатия кнопки «Войти»! Обычные пользователи могут испытывать трудности при работе с сайтом, а причиной того служат роботы, перебирающие пароли. Это называется «брутфорс атака» или «атака перебора паролей».

Самый простой способ защититься от брутфорс атак – это создать уникальный адрес вашей страницы входа, то есть не wp-login, и wp-admin, а какой-то свой. Причем важно, чтобы при открытии стандартных адресов авторизации выскакивала «страница 404». Тогда бот, при попадании на такую страницу, видит «Ошибку 404» и уходит с сайта. Очень хитрый и простой способ!

Как защитить страницу входа в WordPress с помощью плагина Clearfy

Для защиты страницы логина мы будем использовать один из наших бесплатных плагинов. Первый – это плагин Clearfy со встроенной функцией защиты страницы входа WordPress. Помимо этого, в плагине присутствует множество функций для защиты, оптимизации (в том числе и SEO) и ускорения.