Alterar o URL de login do WordPress e ocultar o seu wp-admin para ser mais esperto que os hackers e impedir ataques de força bruta… é mais fácil para fazer o seu website mais difícil de quebrar do que você pensa!
Não vamos nos iludir. Mesmo script kiddies saber que tudo que eles precisam fazer para tornar um site WordPress do proprietário vida miserável é encontrar a página de login do WordPress e acho que o nome de usuário e senha.
A adivinhação de senhas, a propósito, não é difícil de fazer, especialmente se você usar as mesmas senhas para a maioria de seus logins e compartilhar toda a sua vida em social media.
O WordPress é o CMS mais popular plataforma no mundo, e isso o torna um ímã irresistível para hackers mal-intencionados e tentativas de login. Até mesmo o melhor dos melhores pode ser derrubado por um furtivo maverick com acesso para brute-force ferramentas que irá automaticamente tentar adivinhar o seu nome de utilizador e palavra-passe por bater seu WordPress página de login mais e mais e mais novamente.
A Melhor Maneira De Lutar Contra Os Ataques De Força Bruta… Esconder!
A força bruta tenta fazer para o WordPress são tão comuns, ainda há uma página do Codex dedicados ao tema.
Mas… por que dar hackers e bots maliciosos se a oportunidade de ainda tentar adivinhar a seus detalhes de login? Basta esconder a sua página de login do WordPress e mais bots e software automatizado não vai nem saber que seu site existe.
Neste artigo, você vai aprender como implementar um dos mais simples e mais fácil de estratégias para proteger seu site contra hackers e bots maliciosos: alterar o URL de login do WordPress, ocultar o seu wp-admin e wp-página de início de sessão e redirecionar os visitantes indesejados longe de sua página de início de sessão.
Deixe-o aberto uma fenda e hackers irão hackear. Ocultar a página de login do WordPress… nenhum ataque mal-intencionado!
Por que Mudar A URL de Login do WordPress?
Eu tenho um padrão de site WordPress que eu instalei há alguns anos atrás. Para chegar à página de login, tudo que você tem a fazer é ir para o /wp-admin /ou wp-login.php.
Este site não ver uma tonelada de tráfego. Em um mês típico, gera cerca de 5.000 visualizações de página. No entanto, o site da página de início de sessão vê malicioso tentativas de login em um surpreendentemente regular. Eu tenho o Defensor plugin ativado no site, e ela controla o número de bloqueados malicioso tentativas de login. Desde que eu comecei a acompanhar o número de bloqueados malicioso tentativas de login, eu posso ver que meu site lida com centenas mal-intencionadas tentativas de login a cada mês, com uma média de cerca de 24 por dia, ou um mal-intencionado tentativa de início de sessão a cada 60 minutos.
Tentativas de Login não acontecem a um ritmo de uma por hora. Semanas pode passar sem um único malicioso tentativa de início de sessão está a ser registado. Então, de repente, algumas centenas ou mesmo alguns milhares de tentativas de login será registrado em um curto período de tempo.
A maioria dos sites WordPress configurado como padrão de instalações periodicamente experiência ataques de força bruta, a tentativa para iniciar sessão no dashboard do WordPress. Vocês provavelmente não muito, se você sabe ou não.
Ataque de força bruta bots estão constantemente olhando para entrar em seu site WordPress, se você sabe ou não.
WordPress Segurança Através Da Obscuridade
Você pode pensar que, usando o bom logins vai manter seu site seguro.
Os Hackers podem facilmente saber se um site é alimentado por WordPress ou não (muitas vezes apenas olhando o código fonte da página).
Os Hackers podem facilmente dizer se o seu site funciona em WordPress, trabalhar fora do seu sagaz logins, e entregar-lhe ainda maiores hits.
Uma vez que um hacker sabe que o seu site funciona em WordPress, eles também sabem como encontrar o URL de login do WordPress (alerta de spoiler: o padrão do WordPress URL de login é encontrado digitando seu nome de domínio, seguido por /wp-login.php).
Padrão do WordPress comportamento carrega a página de logon quando você acessar wp-login.php. Digite no wp-admin em vez disso, e você será automaticamente redirecionado para a wp-login.php.
Se você não sabe como mudar o admin nome de usuário, sua vizinhança amigável motherf hacker também vai saber que o seu nome de usuário é provavelmente algo como admin.
Todos os hacker tem a fazer é adivinhar a senha. Mesmo se eles não podem adivinhar a senha, mas continue tentando, este pode utilizar os recursos do servidor e, possivelmente, acabam tirando seu site do ar.
Se os hackers dança ilegalmente em torno de sua sagaz logins tempo suficiente, que provavelmente vai gerar bastante hits para adivinhar a sua palavra-passe.
Se Eles não Podem Ver, Eles não Podem quebrá-la
Muitos hackers são oportunistas e olhar para baixo pendurado fruta madura e um alvo fácil.
Se você não quer que as pessoas para roubar o seu fruto, para ocultar a sua árvore.
Continuando com esta realmente ruim analogia (quando a vida lhe dá limões…), a sua página de login do WordPress dá admin usuários o acesso a todo o pomar, assim como parte da nossa estratégia de criação de “segurança por obscuridade” vamos esconder o seu login URL de página de todos os outros, mas o admin.
Passo Opcional: Instalar O WordPress Em Seu Próprio Diretório
Se você está lidando com uma nova instalação do WordPress já existente ou site WordPress, sempre que possível, considerar a instalação do WordPress em um subdiretório. Enquanto isso não impede os hackers de encontrar o seu WordPress página de login, se eles deliberadamente escolhem alvo de seu site, ele irá desencorajar muitos aleatório bots e usuários mal-intencionados que procuram alvos fáceis para começar a bater até o seu site e abanar a árvore para ver o que cai fora.
Ter o seu site WordPress instalado em um subdiretório, então, é um bom primeiro passo para a criação de ” segurança por obscuridade.’
Como sempre, antes de fazer qualquer outra coisa, como sempre, se você estiver movendo um existente instalação do WordPress, crie um backup completo do seu site e armazená-lo em algum lugar onde você não acidentalmente excluir ou modificar o mesmo. (Relacionados: Como fazer Backup de Suas cópias de segurança Para Proteção à prova de Balas)
Só mais uma coisa. Ao criar uma subpasta, escolha um nome que não é muito previsível como http://example.com/wordpress ou http://example.com/wp. Em vez disso, escolha algo original que ninguém nunca vai ser capaz de adivinhar como http://example.com/dwiiw (um acrônimo para directory waqui eu eunstalled WordPress.)
Sugestão: Instalar o WordPress em seu próprio diretório com um disco rígido para encontrar o nome do subdiretório.
Se você optar por instalar o WordPress em um subdiretório ou não como uma precaução de segurança é até você.
A próxima etapa é a de ocultar a sua página de início de sessão URL (e redirecionar wp-login.php o visitante para outra página do seu site).
Existem algumas maneiras que você pode ocultar sua WP página de início de sessão de outros utilizadores:
- Usar um plugin para mascarar seus URL de login (o jeito mais fácil)
- Máscara de seu URL de login do WordPress sem plugin (o modo nerd)
- Modificar o seu .htaccess (o “eu preciso de código, tudo a partir do zero” caminho)
Hide o Seu Site da Página de início de sessão – exclusão de responsabilidade
Antes de começar, a estratégia compartilhada abaixo não é recomendado se seu site exige uma página de login que necessita para manter-se fácil para os outros usuários a encontrar (como um membro do site).
Se o seu site não é um membro do site e de tentativas de login estão limitados a uma dúzia ou menos administradores, autores, editores e colaboradores, em seguida, esconder a sua página de início de sessão ajudar a proteger seu site contra malicioso tentativas de login.
Esconder wp-login.php Usando um Plugin
Há um número de free-WordPress plugins que lhe permite esconder a URL da página de login. Alguns desses plug-ins, também irá permitir que você redirecionar wp-login.php o visitante para outra página do seu site. Basta visitar o WordPress.org diretório de plugins e procure por “Ocultar WP Login” para ver uma lista de plugins de segurança que você pode usar.
Para este tutorial, vamos usar o WPMU DEV próprio Defensor plugin.
Defender permite ocultar e redirecionar wp-login.php e inclui muitos outros top gun recursos de segurança.
Defender protege o seu site de hackers e ataques de força bruta.
Você pode baixar Defender grátis do plugin WordPress repositório, ou se você é um WPMU DEV-membro, vá em frente e instale o Zagueiro Pro a partir do seu site WordPress centro de gerenciamento.
Instalar Defender WordPress, templates e fazer o seu WordPress página de login invisível para hackers.
Nota: Para a instalação completa e obter instruções de configuração, consulte o Defensor plugin seção de documentação.
Depois de instalar e ativar o plugin, vá para o seu principal painel do WordPress e vá para Defender > Painel de controle.
Localize o ‘Máscara de início de sessão de Área de seção e clique em ‘Activo’ botão para ativar o recurso.
Activar Defensor da ‘Máscara Área de Login’ para ocultar o seu WP URL de login.
Clique em “Concluir a Instalação” botão para abrir a URL máscara tela de opções.
Clique no botão e vamos ativar o WordPress mover página de login do recurso.
Isso traz Ferramentas Avançadas tela.
Defender ‘Ferramentas Avançadas” da tela.
No Mascaramento seção URL, digite a URL de novo slug onde usuários de seu site vão para iniciar sessão ou registar-se no site. Uma vez, eu recomendo escolher algo que você possa lembrar com facilidade, mas todos os outros serão incapazes aleatoriamente adivinhar.
Para este exemplo, vamos usar a mesma sigla método utilizado anteriormente para vir para cima com o nome do diretório dwiiw e vamos nome do nosso novo WordPress URL de login algo único, como:
http://example.com/dwiiw/gli
Neste caso, gli traduzido da edição de stands para get logged in, e ele realiza o objetivo de, ao mesmo tempo, fácil de lembrar e difícil de adivinhar.
Faça a sua nova URL de login do WordPress slug difícil para os hackers de adivinhar.
Salvar as alterações e sair do seu site WordPress.
Agora, tente fazer novamente o login através da página de login padrão em yourdomain.com/wp-login.php.
Espera… o quê? Onde está o WordPress caixa de início de sessão?
Normalmente, digitando wp-admin em um navegador da web automaticamente redireciona os usuários para wp-login.php. Defender também desativa esse recurso.
Ajuda… eu sou um hacker, deixe-me em!
Somente os usuários com acesso ao mascarado URL irá visualizar agora a página de login do WordPress.
O seu WordPress página de início de sessão de URL agora é mascarado.
Dica: Como um extra de toque agradável para o seu blog, você também poderá personalizar sua página de login do WordPress, instalar plugins para melhor utilizador de início de sessão e registo, ou permitir que os usuários façam login em WordPress usando um endereço de e-mail. Se somente alguns usuários têm permissão para acessar sua seção de administração, no entanto, você pode limitar o acesso para a página de login para usuários específicos por endereços IP.
Um personalizados do WordPress página de login. Não há benefícios de segurança, qualquer que seja, mas niiiice!
Passo opcional: Redirecionar wp-login.php
Usando o método mostrado acima, qualquer pessoa que tenta visitar a página de login padrão do WordPress (i.e. wp-login.php) será saudado com uma mensagem de erro (“Esse recurso é desativado”).
Se você deseja enviar os visitantes e utilizadores (ou até mesmo hackers) para uma página diferente (e.g. sua loja página, página de contato, secção de perguntas frequentes, ou qualquer outra página em seu site), você pode redirecionar o padrão wp-login.php URL usando o Defensor Redirecionar o tráfego de recurso.
Para redirecionar o wp-login.php página, vá para o WP painel de menu e selecione Defender > Ferramentas Avançadas > Máscara de Área de Login.
Activar 404 Redirecionamento no Redirecionar o tráfego seção, digite o slug da página que você deseja enviar os visitantes, e clique em Salvar Alterações para atualizar suas configurações.
Ok hackers, tempo para ver se o crime realmente paga…
Agora, quem tenta visite o padrão de URL de login será redirecionado para o post ou página que você especificou.
Vamos lá hackers… dar até dói!
Notas:
- Você pode usar qualquer combinação de a-z e 0-9 no seu slug.
- Você não pode adicionar URLs completos (isso evita o envio de seus erros 404 para outro domínio).
Ocultar A Página De Login Do WordPress Sem Plugin
Se você deseja ocultar sua página de login sem utilizar um plugin, tudo o que você precisa é de um editor de texto, acesso a sua instalação do WordPress ficheiros (FTP, cPanel, Gerenciador de arquivos, etc) e, em seguida, faça o seguinte:
1 – Faça um backup do seu wp-login.php arquivo.
Enquanto você está nisso, vá em frente e faça um backup de tudo também, como você está prestes a mexer com o código e introduza a zona de perigo!
Fazer backup de seu wp-login.php arquivo e copie todo o código para a área de transferência.
Nota: Se você estiver procurando um ótimo plugin para cópia de segurança e restaurar seus arquivos e WordPress site, recomendamos o uso de nosso próprio e Instantâneo.
Em seguida, abra o seu wp-login.php arquivo. Selecione e copie todo o código para a área de transferência.
2 – Criar uma nova PHP do arquivo de logon.
Criar um novo arquivo usando o seu editor de texto. Chamar este arquivo de qualquer coisa que você quiser (exemplo: ‘canny-login.php’, ‘danger-zone.php’ etc.).
Cole o código existente wp-login.php arquivo para o novo arquivo e salve. Como alternativa, abra o seu wp-login.php arquivo e “salvar como” o seu novo nome de arquivo.
O nome wp-login do arquivo. Mesmo código, nervoso nome de arquivo.
3 – Procurar e substituir ‘wp-login.php’ seqüência de caracteres em seu novo arquivo de código.
Procurar e substituir todas as ocorrências de ‘wp-login.php’ no código com o seu novo login nome de arquivo.
Procurar e substituir todas as ocorrências de ‘wp-login.php” com o seu novo login nome de arquivo.
Salve o arquivo com o código modificado.
4 – Carregue o novo arquivo de logon para o servidor.
Faça login em seu servidor e enviar o novo login do arquivo para a pasta raiz ou diretório onde você instalou o WordPress. Exclua o original wp-login.php arquivo do seu servidor.
Substituir wp-login.php no servidor com o seu novo arquivo de logon.
5 – Teste o seu novo URL de login
Tudo o que resta a fazer agora é testar a sua nova página de login URL. Quem visitar o padrão wp-login.php página de ocorrer um erro.
Não sagaz logins furtivos hackers aqui, a menos que eles sabem como cruzeiro na estrada para a zona de perigo.
Para reverter para o original página de login, simplesmente restaurar o wp-login.php arquivo da cópia de segurança e elimine o ficheiro novo a partir do seu servidor.
WordPress URL de Login .htaccess Hacks
Existem maneiras de ‘obscura’ do seu WordPress detalhes de início de sessão utilizando as .htaccess. A obscurecer a sua URL de login do WordPress, no entanto, não significa necessariamente esconder isso dos outros.
Por exemplo, vamos dar uma olhada no que acontece quando você adiciona o encaminhamento de URL para o seu .htaccess. Lembre-se de fazer um backup completo de seu site antes de fazer quaisquer alterações ao seu .htaccess.
WordPress Página de Login Obscuridade Com o Redirecionamento de URL
Você pode alterar a localização da sua página de login alterando o nome do seu WordPress arquivo de logon usando o módulo mod_rewrite no Apache do servidor.
Para fazer isso, adicione a linha abaixo ao seu .htaccess (nota: substituir “newloginpage” com qualquer alias de e alterar o example.com URL para o seu domínio):
RewriteRule ^newloginpage$ http://www.example.com/wp-login.php [NC,L]
Neste exemplo, vamos adicionar um alias chamado ‘dancekevindance’ e o reupload .htaccess para o nosso servidor:
Vamos reescrever as regras e ver se podemos esconder o nosso sagaz inícios de sessão.
Agora, volte para o site e digite o novo URL.
Encaminhamento de URL não esconder a URL de login do WP, ele apenas danças de todo o problema.
Como você pode ver, o método acima não esconde o padrão do WordPress URL de login, ele simplesmente cria um alias que permite que usuários façam logon em seu painel do WordPress usando um endereço da web que é mais fácil de lembrar do que https://yourexample.com/wp-login.php.
Ocultar O Seu WordPress Página De Login Com O Código
Idealmente, recomendamos apenas aderindo ao uso de um plugin se você deseja alterar o URL de login do WordPress, ocultar o wp-admin wp-login.php páginas, ou redirecionar os usuários para fora da página de login padrão. Mexer com código pode causar problemas de compatibilidade, abrandar o seu site, e criar outros problemas.
Se você quer olhar para outras opções que envolvem o código, porém, em seguida, confira este post que escrevi sobre a ocultar a sua página de login do WordPress contra hackers com o código.
Não Deixe que Eles Vão Levar Você diretamente Para A Zona de Perigo
O WordPress é um ímã para os hackers e bots maliciosos, portanto, é importante compreender o WordPress melhores práticas de segurança e implementar várias WordPress estratégias de segurança para proteger seu site contra hackers e ataques de força bruta. Isso inclui a segurança através da obscuridade.
Quando usado como parte de um sistema mais abrangente de estratégia de segurança, obscuridade pode ser útil. Como acabamos de ver, no entanto, simplesmente escondendo o WordPress página de início de sessão não é suficiente para garantir que você vai ver zero malicioso tentativas de login.
A menos que você realmente alterar a URL de login do WordPress do seu site e redirecionar os visitantes indesejados longe de páginas como wp-login.php e wp-admin, os hackers e os bots ainda será capaz de encontrar a sua página de início de sessão e tentar adivinhar as suas informações de login.
Mexer com código pode causar problemas de compatibilidade, abrandar o seu site, e criar outros problemas. Usando um plugin como o Defender é a maneira mais fácil de ocultar a sua página de login do WordPress contra hackers e fazer tudo, mas invisíveis para a grande maioria dos voando baixo malicioso tentativas de login.
