Wp login php защита

Защита сайта на Вордпресс- закрываем wp-login.php

WordPress, конечно, хороший движок, но он также очень популярен у хакеров, взламывающих чужие сайты.

Недавно я обнаружил существенное увеличение нагрузки на хостинг, где хранятся несколько моих сайтов. Просмотр логов обращений показал, что по сайтам идут непрерывные обращение к файлам wp-login.php. Это файл, с помощью которого мы авторизуемся на сайте.

Такие данные в логах означают, что какие-то злоумышленники пытаются подобрать логин/пароль от административной панели сайта. Но помимо риска взлома, такие обращения создают еще и высокую нагрузку на хостинг, в результате чего замедляется работа самих сайтов.

Закрыть wp-login.php можно вручную через код или с помощью плагинов.

Закрываем wp-login.php через код

Надо учесть, что мы здесь меняем только имя файла php, для защиты от тех, кто напрямую обращается к этому файлу. При этом остается возможность входа через стандартный адрес админ панели — wp-admin.

1. Создаем копию файла wp-login.php (должен находиться в корне вашего сайта) и переименовываем его, например, в login2.php.
2. В новом файле login2.php заменяем все вхождения wp-login.php на новое имя — в нашем случае login2.php. Новый файл нужно поместить в корень вашего сайта. Такие же замены делаем в файле wp-includes/general-template.php.
3. Закрываем доступ к файлу wp-login.php в файле .htaccess

Для этого добавляем в .htaccess следующие строчки:

Источник

Как защитить wp-login.php и скрыть форму входа и админку

Админка — наиболее уязвимое место WordPress-сайта. В ней есть доступ ко всем разделам и функциям сайта. Попав сюда, с сайтом можно делать что угодно. Поэтому защите этого раздела нужно уделять особое внимание.

По умолчанию в административную панель ВордПресс вы можете попасть, введя в браузере

Поэтому для безопасности лучше сменить этот адрес на тот, который знаете только вы. Например:

Сейчас мы расскажем, как это сделать.

Как защитить wp-login.php и скрыть форму входа и админку: 2 способа

Есть два простых способа переименовать URL входа в админку. Рассмотрим детально.

Способ 1. Плагин Clearfy Pro

Самое простое и надежное решение для защиты wp-login.php и скрытия формы входа и админки — премиум-плагин Clearfy Pro.

Просто перейдите на вкладку Защита и активируйте нужную опцию:

Кроме того, этот плагин улучает Ваш сайт еще по 50 пунктам.

• Очищает исходный код от мусора, минифицирует (сжимает) код для быстрой загрузки
• Удаляет ненужные и вредные внешние ссылки
• Удаляет дубли страниц, которые так не любят поисковые системы
• Улучшает SEO на сайте
• Усиливает защиту сайта от злоумышленников
• Защита от копирования контента
• и многое другое

Плагин платный, но стоит всего 970 рублей на 1 домен и 1940 неограниченная лицензия. То есть Вы можете установить его на любое количество Ваших сайтов. Смешные деньги за тот мощный функционал, который выдает плагин.

И что важно ⚠️ Вы платите один раз — никаких регулярных платежей. Вы получаете неограниченную поддержку (можете написать ребятам по любому вопросу) и обновления плагина на всю жизнь.

Кроме того в плагине Clearfy Pro есть такие крутые фишки, которые заменяют еще 4 плагина:

Бонус! 👍 Для пользователей нашего сервиса мы подготовили приятный бонус — промокод со скидкой 15%. Просто перейдите по ссылке ниже для его активации. Стоимость плагина упадет до 825 рублей за один домен и 1649 рублей за неограниченную лицензию.

Clearfy Pro быстро установить и активировать, моментально улучшает сайт по 50 пунктам, очищает код сайта, удаляет дубли страниц, усиливает защиту, улучшает SEO. Заменяет собой не один десяток плагинов.

Способ 2. Плагин Rename wp-login.php

1. Установите и активируйте дополнение.
2. Откройте Настройки > Постоянные ссылки .
3. В поле Login url укажите адрес.

Быстро установить и активировать.

Решает всего одну задачу. Для решения всех проблем WP нужно установить 10-20 дополнительных плагинов.

Источник

Как защитить свой сайт на WordPress или 12 советов по защите Wp-login.php

Последнее время участились атаки хакеров на блоги тысячники и в связи с этим я написал подробную инструкцию, по применению мер безопасности для защиты вашей панели администрирования. Как говориться предупреждён, значит, вооружен. Ведь в будущем когда вы станете блогом тысячником вам понадобиться защита и лучше уж защитить свой блог сейчас, а для этого внимательно прочитайте данную статью “Как защитить свой сайт“, а так же установите себе социальные кнопки wordpress на свой блог.

Настоятельно советую применить несколько моих приёмов на своём блоге так как чем больше приёмов вы примените тем труднее будет пробраться в вашу админку хакеру. Перед тем как я перейду к практической части подпишитесь на мою Rss-ку, а то пропустите следующую мою статью по доступу к не своей панели администрирования или как взломать чужой блог 😉

1.Меняем WP-login.php на что-то своё

Совершенно очевидно, что для того, чтобы получить доступ к панели администратора WordPress, все, что нужно сделать, это ввести адрес сайта в WP-login.php.

Теперь если вы используете тот же пароль для входа на других сайты, то считайте что вы поставили ваш блог под угрозу. Плагин под названием Stealth Login позволяет создавать пользовательские URL-адреса для входа в систему, выхода из системы, администрирования и регистрации в вашем блоге WordPress. Так же вы можете включить режим невидимости, который не позволяет пользователям возможность доступа к WP-login.php напрямую. После этого можно настроить свой URL к панели администрирования например “wp-jony” или “wp-toha”. Это не гарантирует полную защиту вашему блогу, но если кто то захочет взломать вашу панель администрирования он уже не будет знать, как войти в ваш блог.

Такой способ также предотвращает доступ к вашей панели администрирования любым ботам использующие вредоносные намерения.

2.Выберите надежный пароль

Это очень очевидный шаГ, но давайте поговорим об этом. Поскольку новички не совсем понимают всю серьёзность этого действия. Не используйте этот же пароль на других сайтах. Постарайтесь, чтобы ваш пароль было невозможно угадать. Ещё один момент это периодическое изменение пароля, примерно раз в 3 месяца.

3.Предел попыток для входа в WP-login

Иногда хакер может догадываться о вашем пароле и с помощью нескольких попыток сможет проникнуть в систему. В таком случае вам нужно сделать предел попыток входа в систему. Осуществить это вы можете с помощью плагина названием login-lockdown который будет блокировать вход пользователю, если он исчерпал число попыток или указанное время для входа в систему. Таким образом у вас будет вполне нормальная защита wordpress.

4.Использование защищенной SSL Страницы для Входа в wp-login.php

Вы можете войти в админ-панель wordpress через зашифрованный канал SSL. URL-адрес вашей ссесии уже будет выглядеть так https://. Но вы должны договориться с вашим
хостингом, о том что вы будете использовать зашифрованный канал SSL. После того как хостинг разрешит вам использовать SSL, вставьте следующий код в WP-config.php

define(’FORCE_SSL_ADMIN’, true)

Существует также плагин который называется Admin SSL, который заставит работать SSL на всех страницах блога, но он совместим только с версией 2.7 и выше.

5.Защита паролем WP-Admin каталог

Существует такая штука как два пароля. Просто добавляется ещё один уровень безопасности. Это можно осуществить с помощью плагина AskApache Он шифрует ваш пароль и создаёт Htpasswd файл, а так же утанавливает права для защиты к доступа к файлам.

6.Ограничить доступ через IP-адрес

Вы можете ограничить доступ к вашей панели администратора и разрешить только определенным IP-адресам доступ. Все, что нужно сделать, это создать Htaccess файл в WP-admin папке и вставить следующий код:

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName «WordPress Admin Access Control» AuthType Basic order deny,allow deny from all # whitelist Syed’s IP address allow from xx.xx.xx.xxx # whitelist David’s IP address allow from xx.xx.xx.xxx # whitelist Amanda’s IP address allow from xx.xx.xx.xxx # whitelist Muhammad’s IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx

Недостаток этого приема в том, что если вы хотите получить доступ к админ-панели из другого места, то вы не сможете сделать этого, если не добавить дополнительный IP в вашем Htaccess файле.

7.Никогда не используйте имя пользователя “admin”

Это первый пользователь, который создается при установке WordPress. Вы никогда не должны использовать или держать этого пользователя, воздержитесь от его использования. Создайте другого пользователя и назначьте административные роли ему. Попробуйте придумать нестандартное имя пользователя, чтобы было тяжелее угадать его хакерам. Затем удалить пользователя с Admin чтобы быть в безопасности. У вас всегда должна быть безупречная защита wordpress.

8. Удалить сообщение об ошибке на странице Wp-login.php

При вводе неправильного пароля или неверного имя пользователя, вы получаете сообщение об ошибке в Логин странице. Так что, если хакер получает сообщение об ошибке, то он сразу же понимает что вводит не правильные данные. Поэтому рекомендуется удалить сообщение об ошибке полностью. Откройте ваш functions.php который находиться в папке темы и вставьте следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

add_filter(‘login_errors’,create_function(‘$a’, «return null;»));

Плагин под названиемSecure-wordpress также решает эту задачу и имеет другие функции.

9. Использование зашифрованных паролей к WP-login.php

Когда у вас нет SSL, то этот метод может быть полезным. Существует плагин, который позволяет сделать это и он называется Semisecure-login-reimagined . Он повышает безопасность входа с использованием ключа RSA для шифрования пароля на стороне клиента при входе пользователя в систему, а сервер уже расшифровывает зашифрованный пароль и закрывает сессию.

10. WordPress защита от вирусов

Antivirusдля WordPress является умным и эффективным решением для защиты вашего блога от эксплойтов и спам инъекций. Особенность этого плагина является ручное тестирование с немедленным результатом зараженных файлов, а также автоматическая проверка ежедневно с уведомлением по электронной почте. Советую очень.

11. Оставайтесь в курсе последних версии WordPress

И последнее, но определенно не в последнюю очередь это оставаться в курсе последних версий WordPress, потому что после каждой версии, WordPress также выпускает исправленные ошибки предыдущей версии, которая не ставит вашу админку под угрозу, если вы обновлены.

12. One Time Password

One Time Password плагин который позволяет войти в свой блог с использованием паролей, которые активны в течение одной сессии. Одноразовые пароли предотвращают кражи вашего основного пароля WordPress например клавиатурные шпионы

Тоже хочу отметить что это прекрасный плагин.

P.S.
Ну вот и всё дорогой друг теперь ты знаешь как как защитить свой сайт от атаки хакеров.Чтобы эффективнее оптимизировать свой блог настоятельно рекомендую прочитать мои статьи Тонкая настройка SEO для WordPress и 8 Лучших плагинов кэширования WordPress, чтобы ускорить ваш сайт и продолжаем настройку worpress статьей “трюки настройке Wp-config.php”

Не забудь подписаться на мою Rss-ку, а то пропустите следующую мою статью “Как взломать чужой блог”.

И кстати, а как вы защищаете свой WP-login.php от хакеров?;)

Ну и напоследок видео: Как получить бесплатный трафик

Мы не используем платные CMS и за счет этого мы привлекаем низкой ценой клиентов. Не используем шаблоны у нас только уникальный дизайн. В подарок мы делаем SEO оптимизацию сайта и настройку контекстной рекламы.

Частный оптимизатор выходит гораздо дешевле web-студии. Я помогу вам вывести cайт в ТОП-3 и настроить автоматические продажи. В стоимость услуг входит аудит, техническая и seo оптимизация сайта.

Сэкономьте годы возни на созданием и продвижением своего блога. Отдайте это дело блоггеру с пятилетним стажем. В услугу уже входит SEO оптимизация блога. В подарок вы получаете видео-курс «Мой авторитетный блог»

Источник