Как скрыть свою страницу входа в WordPress от хакеров и ботов. Как скрыть страницу WordPress Wordpress скрыть wp login php

Всем привет! В статье о массовых брутфорс атаках, которые стали особенно активны в начале этого лета, я описал несколько простых от взлома. В одном из пунктов упоминался плагин wSecure Authentication , который позволяет сменить адрес админки WordPress и усложнить задачу для взломщиков. Сегодня решил написать о нем подробнее, тем более что Brute Force атаки продолжаются.

Как зайти в админку WordPress?

Многие начинающие блоггеры (и не только), чтобы не забыть адрес панели администратора устанавливают в сайдбаре виджет “Мета ” с прямой ссылкой “Вход “. Запомните раз и навсегда – этот виджет не нужен на блоге, если вы не используете систему регистрации пользователей. Чтобы попасть в админку WordPress достаточно перейти по ссылке ваш-сайт.ru/wp-login.php или ваш-сайт.ru/wp-admin .

Надеюсь, все это прекрасно знают? Во всяком случае, хакеры уж точно знают и используют эти адреса для взлома админки Вордпресс. Поэтому не надо им помогать, лишний раз показывая где “Вход “. Будет лучше спрятать админку, изменив стандартные ссылки.

Как скрыть админку WordPress с помощью плагина wSecure Authentication

Для решения этой задачи существует несколько способов. Например, с помощью скрипта, как это реализовано на хостинге Макхост, или некоторых сложных плагинов, типа Better WP Security . Но я покажу самый простой способ, который не вызовет ни у кого сложностей.

Для этого установим плагин wSecure Authentication , единственной задачей которого является скрыть страницы /wp-admin и /wp-login.php и ограничить доступ в админку посторонним. Взамен мы создадим свой уникальный URL для входа в панель администратора блога WordPress.

Переходим в меню “Настройки ” – “wSecure Configuration “. Настраиваем плагин, заполнив три строчки:

• 1. Enable (Включить) – включаем плагин и ставим “Да”.
• 2. Ключ – вводим секретный ключ. Можно использовать английские буквы в разном регистре и цифры. Например, если выбрать wpMgSkz , то адрес админки WordPress будет выглядеть так: /wp-admin/?wpMgSkz . Обязательно перед ключом ставить знак вопроса.
• 3. Redirect Options (Опции перенаправления) – указываем, куда будет перенаправлен пользователь, если он введет стандартный URL входа.

По умолчанию в “Redirect Options ” стоит редирект на главную страницу, но можно задать “Пользовательский путь “. Для этого выбираем в выпадающем списке “Custom Path ” и вписываем любой адрес или оставляем тот, который прописан в плагине. В этом случае все будут видеть такую страницу:

Можно вообще перенаправить взломщика на специально созданную страницу и написать ему там пару ласковых слов:-).

Чтобы проверить работу плагина зайдите на блог с другого браузера или почистите cookie. А то бывает, что сначала админпанель блога открывается и по новому, и по старому адресу.

Вот так просто можно изменить адрес админки WordPress, спрятав стандартный URL. Если вдобавок к этому выбрать сложный пароль, не использовать логин “admin” и установить плагин блокировки IP при подборе пароля, то это практически обезопасит ваш блог от взлома путем перебора паролей.

Что делать, если невозможно зайти в админку?

Если по каким-то причинам, после установки плагина wSecure Authentication у вас не получается попасть в админпанель блога, то не стоит паниковать. Лично у меня проблем с этим не возникало, но была похожая ситуация.

Дело в том, что некоторые хостинги, например, Макхост и Спринтхост, заботясь о безопасности сайтов своих клиентов, сами сменили стандартные адреса и предоставили альтернативные ссылки для входа в админку Вордпресс. У меня уже был установлен плагин, и по этим ссылкам меня перебрасывало на несуществующую страницу. Что делать?

Чтобы изменить страницу логина, надо сделать изменения в файле .htaccess . Ошибка в одной букве может положить весь сайт, поэтому сделайте бэкап файла .htaccess и папки с темой.

Бэкап можно сделать на хостинге или с помощью плагина. Сделайте полный бэкап, или проверьте, что последний автоматический бэкап был после последних изменений на сайте.

Если у вас на сайте есть посетители, вы можете протестировать изменение URL авторизации на локальном или техническом сайте.

В первом способе вы сделаете изменения в файле .htaccess , во втором — изменения в файлах .htaccess и functions.php . После этого надо будет отключить доступ к старой странице входа в админку …/wp-login.php .

Файл находится в корневой папке сайта, файл находится в папке темы.

Как изменить страницу авторизации в Вордпресс

Способ 1. Редактирование файла .htaccess

Добавьте код в начале .htaccess в одиночной установке Вордпресс и после этих строк в Мультисайт установке:

Добавьте этот код:

Измените myloginpage11 в строке 2 на свой адрес, по которому вы хотите иметь страницу входа на сайт. Если вы ничего не измените, то страница входа на сайт будет мой-сайт.ru/myloginpage11 .

Измените 123456qwerty в строках 2 и 7 на что-нибудь свое. Это секретный ключ, который может содержать только латинские буквы и цифры.

Сохраните файл и проверьте сайт. Если вы получили ошибку сервера 500, значит, вы где-то допустили ошибку. Просмотрите изменения еще раз или начните заново.

Если сайт работает, но изменения не применились, сбросьте кеш в браузере и попробуйте еще раз.

Способ 2. Отредактируйте файл .htaccess и functions.php

Вставьте код в самом начале файла .htaccess в одиночной установке или после этих строк в Мультисайт установке:

Добавьте этот код:

Замените myloginpage22 на свой адрес. Если вы оставите как есть, то новый адрес входа на сайт будет мой-сайт.ru/myloginpage22 .

Сохраните файл и проверьте, как работает сайт. Если у вас ошибка 500, попробуйте найти ошибку или начните сначала.

После этого можно начать пользоваться этим адресом входа в админку, но если вы хотите, чтобы Вордпресс начал везде использовать этот адрес в качестве адреса входа на сайт, надо добавить снипет в файл functions.php или добавьте код в плагин , который добавит код в текущую тему.

Добавьте этот код в functions.php :

Код из форума техподдержки Вордпресс . Измените myloginpage22 на ваш адрес, который вы добавили в .htaccess .

Все готово, можно проверить. Добавьте виджет с мета информацией в сайдбар и нажмите на ссылку входа на сайт. Если вы все сделали правильно, вы должны попасть на новую страницу входа на сайт.

Как скрыть старую страницу входа на сайт wp-login.php

Новая страница входа на сайт будет дополнительной мерой безопасности сайта, но без запрета доступа к стандартной странице wp-login.php это не имеет смысла.

Как скрыть страницу wp-login.php от посетителей читайте .

Администраторская панель WordPress позволяет выполнять большую часть управления сайтом. Так, с ее помощью Вы можете создавать/редактировать контент, устанавливать/удалять плагины, работать с зарегистрированными пользователями, получать какую-то статистику по работе сайта и пр.

Зачем прятать админку?

По умолчанию, в WordPress для входа в административную панель используются следующие адреса:

Http://site.ru/wp-admin/ http://site.ru/wp-login.php

Вроде бы ничего страшного, правда? Но, к сожалению, существует зловредное программное обеспечение, которое, зная адрес Вашей админки, может внести вред работе всего сайта. Например, запустить подбор паролей и получить доступ к управлению всем сайтом.

Существует несколько способов добится того, чтобы вход в админ-панель Вашего сайта осуществлялся по другому, заданному Вами, адресу. Мы будем использовать плагин, который решит задачу в один клик. Благодаря ему, Вам не придется писать ни одной строчки кода, а достаточно будет просто активировать плагин и указать нужный адрес.

Плагин Rename wp-login.php

Итак, после установки и активации плагина Rename wp-login.php , Вас сразу “перекинет” на страницу Настройки -> Постоянные ссылки , где Вы сможете вписать тот адрес, по которому необходимо будет заходить в администраторскую панель.

По умолчанию плагин предлагает вход в админку по адресу

Http://site.ru/login

Теперь, пытаясь перейти по адресу

http://site.ru/wp-login.php

Вы получите 404 ошибку, т.е. что страница недоступна.

Конечно, защита сайта не ограничивается только переименованием адреса входа в админ-панель, но в комплексе с другими решениями поможет защитить Ваш сайт от нехорошего влияния.

Начиная с сегодняшней статьи, я решил опубликовать на своем блоге сайт целый ряд статей, которые будут нацелены на то, чтобы помочь каждому владельцу сайта на WordPress, без чьей-либо посторонней помощи, а значит, совершенно бесплатно, практически максимально защитить свой сайт от взлома.

Что касается сегодняшний статьи, то в ней, пойдет речь о том, как скрыть логин администратора/админа сайта на WordPress.

Наверняка, многим будет интересно знать, зачем это вообще нужно делать? Поэтому, для начала дам ответ именно на этот вопрос, ну а потом уже, наглядно объясню, как это все дело реализовать.

Как всем известно, при публикации статей от имени администратора, ну или хотя бы, при написании ответов на комментарии, рядом с датой публикации статьи или комментария отображается логин автора. Это значит, что узнать логин администратора потенциальному взломщику в принципе не составляет особого труда. Следовательно, зная логин, он без каких-либо проблем может начать подбор пароля к вашей админке, что, собственно, не есть хорошо.

Да, несомненно, при установке движка WordPress, стандартное имя администратора, которым является — «admin», можно при желании изменить на любое, какое только душе будет угодно, что собственно многие и советуют делать для повышения безопасности. Однако, данная хитрость не позволяет полностью скрыть отображение логина админа. Причем, даже в том случае, если вы при помощи подручных средств (т.е. стандартной возможности, которая имеется в админке вордпресса), измените отображаемое имя автора при публикации статей и написании комментариев.

Кто не знает, делается это непосредственно в самой админке, а именно, в меню «Пользователи » — «Ваш профиль ». Там в графе «Отображать как » можно задать, какой именно логин (Имя+Фамилия, Ник или просто Имя или Фамилия), вместо имени пользователя, т.е. логина, который используется для входа в админку, будет отображаться в ваших публикациях и комментариях:

Многие еще советуют, для повышения безопасности, вовсе убрать вывод авторов в WordPress. Делается это при помощи правки кода в соответствующих файлах темы. Но это все равно не выход из ситуации, потому как даже если вы и уберете вывод авторов, т.е. они будут не видны, ни для кого, реальный логин админа, да и других пользователей (если они есть) тоже, все равно можно будет узнать, причем очень и очень просто.

Все дело в том, что в движке WordPress имеется так сказать не совсем полезная фишка, которая позволяет при вводе в адресной строке браузера следующего адреса — «http://vash-site.ru/?author=1 », увидеть все статьи того или иного автора на блоге, причем с отображением его реального логина, а не подмененного.

Плюс ко всему, если у вас на блоге статьи публикуются не одним автором, то меняя цифру 1 в конце адреса, на любую другую (2,3,4 и т.д.), т.е. методом перебора, можно запросто узнать и их реальные логины.

Можете удостовериться в этом, а заодно и проверить свой блог на данный недочет, добавив к своему домену (типа http://vash-site.com) вот такой вот кусок адреса «/?author=1 ». Если вы увидите в результате, что адрес изменился на следующий «http://vash-site.ru/author/ваш реальный логин », то знайте, вам стоит задумать о немедленном скрытии своего логина. Собственно, как это сделать, я далее и расскажу.

Как скрыть логин администратора/админа в WordPress?

Итак, для того чтобы стопроцентно убрать возможность узнать логин администратора в WordPress, вам нужно проделать следующее:

Найти в корне своего сайта файл «.htaccess » и отредактировать его, добавив в него перед строчкой «# END WordPress » следующие строчки кода:

Перед редактированием, советую, на всякий случай сделать резервную копию данного файла. Ну, мало ли, вдруг, что-то не так сделаете, а так, будет возможность восстановиться.

При этом, вот этот адрес в коде — «http://vash-site.ru », вам нужно будет заменить на адрес главной страницы своего блога, хотя, если хотите, можете указать и любую другую его действующую страницу.

После введения этого кода и сохранения введенных данных, теперь при попытке узнать ваш логин, всех, кто это будет делать, выше приведенным способом, будет перебрасывать на главную страницу вашего блога, ну или на ту, которую вы укажите. Не верится? А вы проверьте, уверен, будете приятно удивлены.

Вот собственно и все, как видите, ничего сложного в скрытии логина админа в WordPress вот таким вот простым способом нет.

Ну, а для более надежной защиты своего WordPress блога от взлома, советую, вам на него установить еще и .

На этом у меня сегодня все. Но напоследок, хотелось бы отметить еще вот что. Многие почему-то думают, что пока у них ресурс еще молодой, то взламывать их никто не будет. Поверьте, это совсем не так, всегда найдется тот, кому будет интересен и полезен ваш блог. Поэтому, старайтесь сразу установить на него соответствующую защиту, и не откладывайте это дело на потом, потому что потом, может быть уже поздно.

Добрый день!

Сегодня я расскажу вам как скрыть страницу в WordPress.

Под скрытием страницы имеется в виду исключение её из общего списка страниц при выводе. Но это не означает, что эта страница не будет индексироваться поисковыми роботами. Т.е., если робот узнает об этой странице, то обязательно её проиндексирует. Это может произойти если где-то на сайте будет ссылка на эту скрытую страницу или вы или кто-то другой известит поисковик об этой странице. Вообщем, если вам нужно скрыть страницу именно от роботов, то для этих целей используйте файл .

Для чего может применяться скрытие страницы из списка вывода?

Например, при подключении поиска Яндекс или Google по сайту. Для вывода результатов поиска на сайте вам понадобится страница. По умолчанию, она будет пустой и прямой переход на неё вам не нужен.

Или, просто, у вас есть страницы, на которые вы хотите ссылаться с других страниц, но не с главной. Также, можно часть ссылок на страницы выводить в хедере, а другую часть – в футере или сайдбаре.

Ранее, я писал . Страница скрывается аналогичном способом, только для вывода списка страниц используется функция wp_list_pages .

Как узнать id страницы WordPress

Для того, чтобы скрыть страницу нам понадобится узнать её порядковый номер, который присвоен странице в базе данных (идентификатор или просто id).

Для этого и перейдите в раздел Страницы .

В списке страниц наведите курсор мыши на название той страницы, id которой нужно узнать.

В браузере внизу в информационной строке вы увидите url-адрес ссылки такого типа:

http://сайт/wp-admin/post.php?post=192&action=edit

Найдите в этой строке значение параметра post . В данном случае post=192 – это и есть id страницы. Т.е. в данном примере id страницы равно 192.

Также, чтобы увидеть этот url-адрес, можно нажать на ссылку редактирования страницы и тогда нужный url будет уже вверху в адресной строке браузера.

Еще, id страницы WordPress можно узнать непосредственно в базе данных в таблице wp_posts . Все записи, у которых post_type = "page" – это страницы. Т.е. получить список всех страниц можно следующим SQL-запросом: .

В поле ID хранится нужный нам идентификатор.

Как скрыть страницу в WordPress

Теперь, когда мы знаем id страницы, можем приступить непосредственно к скрытию этой страницы.

Список страниц в WordPress выводится с помощью функции wp_list_pages .

Откройте файл /wp-content/themes/ваш_шаблон/header.php и найдите в нем вызов функции wp_list_pages .

Вот какой код был в моем header.php:

Если вам нужно скрыть несколько страниц, то перечислите их id через запятую.