Защита сайта на Wordpress - переименовываем wp-login.php

WordPress, конечно, хороший движок, но он также очень популярен у хакеров, взламывающих чужие сайты.

Недавно я обнаружил существенное увеличение нагрузки на хостинг, где хранятся несколько моих сайтов. Просмотр логов обращений показал, что по сайтам идут непрерывные обращение к файлам wp-login.php. Это файл, с помощью которого мы авторизуемся на сайте.

Такие данные в логах означают, что какие-то злоумышленники пытаются подобрать логин/пароль от административной панели сайта. Но помимо риска взлома, такие обращения создают еще и высокую нагрузку на хостинг, в результате чего замедляется работа самих сайтов.

Закрыть wp-login.php можно вручную через код или с помощью плагинов.

Закрываем wp-login.php через код

Надо учесть, что мы здесь меняем только имя файла php, для защиты от тех, кто напрямую обращается к этому файлу. При этом остается возможность входа через стандартный адрес админ панели — wp-admin.

Создаем копию файла wp-login.php (должен находиться в корне вашего сайта) и переименовываем его, например, в login2.php.
В новом файле login2.php заменяем все вхождения wp-login.php на новое имя — в нашем случае login2.php. Новый файл нужно поместить в корень вашего сайта. Такие же замены делаем в файле wp-includes/general-template.php.
Закрываем доступ к файлу wp-login.php в файле .htaccess

Для этого добавляем в .htaccess следующие строчки:

<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

Order Deny,Allow

Deny from all

</Files>

Можно, конечно, просто удалить wp-login.php, тогда сервер будет возвращать ответ 404 (страница не существует). Однако это тоже создает нагрузку на сайт. Закрывая доступ к файлу в .htaccess мы существенно снижаем нагрузку на сервер.

После из изменения версии WP, скорее всего, нужно будет повторить описанный процесс, поскольку в новой версии может измениться его содержимое.

Теперь доступ к админ. панели сайта можно произвести только через файл login2.php (то есть набрав в браузере строку — http://ваш_сайт/login2.php).

Дополнительно стоит добавить следующий код в function.php (в папке вашей темы). Этот код обеспечит правильную работу с виджетами, использующими вход и выход WP . Обратите внимание, что вместо имени файла login2.php вы должны использовать имя своего нового файла входа в админ. панель.

add_filter('login_url', 'my_custom_login_url');
add_filter('logout_url', 'my_custom_logout_url');

function my_custom_login_url($force_reauth, $redirect=null){
$login_url = site_url('login2.php');
if (empty($redirect)) $redirect=home_url();
$login_url = add_query_arg('redirect_to', urlencode( $redirect ), $login_url );
return $login_url ;
}

function my_custom_logout_url($force_reauth, $redirect=null){
$logout_url = wp_nonce_url(site_url('login2.php')."?action=logout", 'log-out' );
if (empty($redirect)) $redirect=home_url(); 
$logout_url = add_query_arg('redirect_to', urlencode( $redirect )."/?loggedout=true", $logout_url ); 
return $logout_url ; }

add_filter('login_url', 'my_custom_login_url');

add_filter('logout_url', 'my_custom_logout_url');

function my_custom_login_url($force_reauth, $redirect=null){

$login_url = site_url('login2.php');

if (empty($redirect)) $redirect=home_url();

$login_url = add_query_arg('redirect_to', urlencode( $redirect ), $login_url );

return $login_url ;

}

function my_custom_logout_url($force_reauth, $redirect=null){

$logout_url = wp_nonce_url(site_url('login2.php')."?action=logout", 'log-out' );

if (empty($redirect)) $redirect=home_url();

$logout_url = add_query_arg('redirect_to', urlencode( $redirect )."/?loggedout=true", $logout_url );

return $logout_url ; }

Используем плагины

Чаще всего изменить страницу входа проще и удобнее через подходящий плагин. Перечислю несколько:

WPS Hide Login — позволяет легко изменить адрес страницы авторизации;
WP Hide & Security Enhancer — кроме страницы входа, умеет скрывает файлы ядра Вордпресс, пути к плагинам и темам;
WP Cerber Security, Anti-spam & Malware Scan — это целый комбайн по защите сайта со множеством функций.

Также есть плагины, позволяющие ограничить количество попыток авторизации на сайте, например Limit Login Attempts.

Комментарии: 6

alex 12.05.2015 в 06:54

то есть после обновления движка, не нужно заново делать всю эту процедуру?

Ответить
Ложников Андрей (автор) 12.05.2015 в 07:11

alex, конечно, здесь нужно добавить, что при обновлении версии движка, ваш измененный файл login.php может перестать работать и нужно проделать эту процедуру заново.

Ответить
yawll 27.01.2016 в 14:33

alex, вы пишете об изменениях только в двух файлах, поиск в файловом менеджере выдал обращение к wp-login в большем числе файлов, в корневом, и в директории контента, и в инклюдах. Изменения во всех не дестабилизирует сайт?

Ответить
Ложников Андрей (автор) 27.01.2016 в 14:43

yawll, изменения не дестабилизируют сайт. У меня такое на многих сайтах работает. Обычно достаточно внести изменения в wp-login.php и htaccess и сайт будет работать.

Ответить
yawll 27.01.2016 в 15:29

если заменить только в указанных в статье файлах, получается ерунда. не получается даже выйти, перелогиниться для проверки. нужно или менять все встречающиеся во всех файлах упоминания о wp-login или откатываться. сервер дает 500 ошибку — не правильной настройки.

Ответить
divanoff 17.09.2016 в 10:34

при обновлении версии движка, ваш измененный файл login.php может перестать работать и нужно проделать эту процедуру заново

Ответить

Добавить комментарии