Existem 40 milhões de ataques de força bruta em sites todos os dias , por isso é altamente provável que seu site sucumbirá a um ataque. Uma maneira relativamente fácil de proteger seu site é ocultar sua página de login de hackers.
Tornar mais difícil o hacker encontrar a localização do seu arquivo de página de login significa que há menos chance de tentar adivinhar suas credenciais e se infiltrar em seu site.
Então como você faz isso? Você pode criar um novo URL da página de login e ocultar seu login com o código em algumas etapas simples, adicionando uma camada extra de defesa ao seu site.
Você não precisa instalar nenhum plugin e demora apenas alguns minutos para implementar.
O tempo é um desperdício e os hackers não estão deixando-se em breve, então vamos começar.
Baby Back, Back, Back It Up
Como você precisa fazer edições em seu arquivo .htaccess para ocultar seu login, é importante que você crie um backup completo do seu site. Seu arquivo .htaccess é importante, onde um pequeno erro pequeno poderia tirar completamente seu site, então é melhor não viver na ponta e correr o risco aqui.
Se você zombar da ideia e insistir em que ninguém possa abrandar a vida de rock , então, pelo menos, faça backup do seu arquivo .htaccess , bem como a pasta para qualquer tema que você esteja usando.
Você pode verificar algumas de nossas outras postagens para obter detalhes sobre como fazer backup do seu site:
Também é uma boa idéia tentar o código abaixo em um ambiente de teste. É opcional, mas se você está preocupado com o fato de seu site ter diminuído por um minuto ou mais, então é a melhor opção para você. Afinal, é melhor que o seu site de teste implose, ao invés de seu site ao vivo – não importa quão de curta duração.
Uma vez que está fora do caminho, você pode tentar uma das opções para alterar a slug da sua página de login com base em sua zona de conforto. Uma vez que seu novo slug é criado, você pode ocultar a página original wp-login.php .
A primeira opção requer que você apenas edite seu arquivo .htaccessenquanto você precisa editar os arquivos functions.php e .htaccess do seu tema com a segunda opção.
Não hesite em ignorar a opção com a qual você está mais confortável tentando.
Ligue-me, talvez por um Slug diferente
Independentemente da opção que você escolher, você pode editar os arquivos necessários diretamente em seu cliente SSH favorito na linha de comando , com o FTP usando certos clientes, como FileZilla ou no cPanel.
1. Usando apenas regras .htaccess
O código que você precisa adicionar deve idealmente ser incluído na parte superior do seu arquivo .htaccess para instalações únicas do WordPress ou após as seguintes linhas para instalações Multisite:
| RewriteEngine On | |
| RewriteBase / | |
| RewriteRule ^ index \ .php $ – [L] |
por Aqui está o código que você precisa adicionar:
| # COMEÇA Ocultar página de login | |
| RewriteRule ^ mylogin $ https: // % {SERVER_NAME} /wp-login.php?key=123&redirect_to=https://% {SERVER_NAME} /wp-admin/index.php [L] | |
| RewriteCond % {HTTP_REFERER} ! ^ Https : // % {SERVER_NAME} / wp-admin | |
| RewriteCond % {HTTP_REFERER} ! ^ Https : // % {SERVER_NAME} /wp-login.php | |
| RewriteCond % {HTTP_REFERER} ! ^ Https : // % {SERVER_NAME} / login | |
| RewriteCond % {QUERY_STRING} ! ^ Key = 123 | |
| RewriteCond % {QUERY_STRING} ! ^ Action = logout | |
| RewriteCond % {QUERY_STRING} ! ^ Action = lostpassword | |
| RewriteCond % {REQUEST_METHOD} ! POST | |
| # END Ocultar página de login |
Certifique-se de mudar mylogin na linha dois para o que quiser, sua lingueta seja. Se você não mudar, você pode encontrar sua página de login em www.your-site.com/mylogin. Se você mudar, sua estrutura de URL deve ser a mesma, exceto com a sua lesma no lugar de mylogin.
Recomenda-se que você altere a lingueta, uma vez que esta publicação está disponível para o público, o que significa que os hackers também têm acesso a ela. Se você usar, eles não terão que adivinhar seu URL de login, pois ele está impresso aqui.
Além disso, 123certifique -se de mudar nas linhas duas e sete para outra coisa. Esta é uma chave secreta que não é exibida para hackers. Você deve escolher algo que não é óbvio, então não altere a chave secreta para “wordpress” ou o título do seu site. Sua chave também deve ter letras e números.
Salve seu arquivo .htaccess e verifique se seu site ainda está em andamento . Se você receber um erro no servidor interno de 500, significa que cometeu um erro em algum lugar, não importa quão pequeno. Restaure o arquivo e tente novamente.
Se o seu site estiver terminado, mas não está funcionando para você, tente limpar o cache do navegador.
2. Arquivos de Funções do seu Tema e .htaccess
Antes de continuar a adicionar o código ao seu site, é importante que você primeiro crie um tema filho. Isso evita que você perca as mudanças que você faz para o seu tema na próxima vez que for atualizado.
Você pode conferir algumas de nossas postagens. Como criar um Tema de criança do WordPress e como criar automaticamente temas para crianças em WordPress para obter detalhes sobre como criar um.
Uma vez que você está pronto para ir, você precisa começar adicionandoalgum código ao topo do seu arquivo .htaccess para instalações únicas do WordPress e do Multisite, depois disso:
| RewriteEngine On | |
| RewriteBase / | |
| RewriteRule ^ index \ .php $ – [L] |
Este código de um dos nossos desenvolvedores, Leighton Sapir, cria o novo slug para você usar em seu site:
| RewriteBase / | |
| RewriteRule ^ myprivatelogin $ wp-login.php |
Você pode substituirmyprivatelogin com qualquer slug que você deseja usar em vez de wp-login.php . Nesse caso, o novo URL de login que você criou deve ser www.you-site.com/myprivatelogin.
Salve o arquivo e verifique se o seu site funciona corretamente. Se você encontrar um erro de servidor interno de 500, você cometeu alguns erros para corrigir. Se você não tiver certeza do que deu errado, restaure seu arquivo .htaccess e tente novamente .
Você poderia seguir seu caminho feliz neste momento e começar a usar seu novo URL de login, mas você poderia avançar um pouco e obter o WordPress para usar esse novo URL em todos os lugares, ele está vinculado em seu site.
Abra o arquivo functions.php do seu tema . Você pode encontrá-lo em / wp-content / themes / your-theme / .
Você pode adicionar o seguinte código de um tópico de suporte do WordPress a quase qualquer lugar no arquivo, no entanto, o fundo geralmenteé uma aposta segura:
| Add_filter (‘site_url’, ‘wplogin_filter’, 10, 3); | |
| Função wplogin_filter ($ url, $ path, $ orig_scheme) | |
| { | |
| $ Old = array (“/(wp-login\.php)/”); | |
| $ New = array (“myprivatelogin”); | |
| Retornar preg_replace ($ old, $ new, $ url, 1); | |
| } |
Não se esqueça de mudar myprivateloginna linha cinco com a lingueta que você escolheu para escrever no seu arquivo .htaccess .
Quando isso for feito, salve o arquivo e experimente. Se você ainda tiver as informações de meta padrão em sua barra lateral, você pode clicar no link de login, por exemplo. Deve ir para a sua página de login com o slug novo inserido.
Você pode correr, você pode esconder e fugir de meus hacks
Esses dois métodos dão uma alternativa ao wp-login.php antigo e ratty e adiciona uma nova slug para usar em seu URL de login. No entanto, ambas as opções são completamente utilizáveis neste ponto, por isso ainda é importante que você esconda sua página wp-login.php real .
Uma vez que o seu novo URL de login não é fácil de adivinhar e impresso várias vezes no WordPress Codex, será mais difícil para os hackers tentar ataques de força bruta, uma vez que você os negue acessar a página de login padrão que eles já conhecem.
Usar as opções de código acima ajuda você a adicionar uma camada extra de segurança ao seu site para evitar ataques de força bruta. Além disso, ajuda a manter seu site o mais leve possível, pois você não precisa usar um plugin que possa diminuir a velocidade do seu site.
