Защита сайта на Вордпресс- закрываем wp-login.php

WordPress, конечно, хороший движок, но он также очень популярен у хакеров, взламывающих чужие сайты.

Недавно я обнаружил существенное увеличение нагрузки на хостинг, где хранятся несколько моих сайтов. Просмотр логов обращений показал, что по сайтам идут непрерывные обращение к файлам wp-login.php. Это файл, с помощью которого мы авторизуемся на сайте.

Такие данные в логах означают, что какие-то злоумышленники пытаются подобрать логин/пароль от административной панели сайта. Но помимо риска взлома, такие обращения создают еще и высокую нагрузку на хостинг, в результате чего замедляется работа самих сайтов.

Опишу один из самых простых и эффективных способов, как закрыть wp-login.php.

  1. Создаем копию файла wp-login.php (должен находиться в корне вашего сайта) и переименовываем его, например, в login2.php.
  2. В новом файле login2.php заменяем все вхождения wp-login.php на новое имя – в нашем случае login2.php. Новый файл нужно поместить в корень вашего сайта. Такие же замены делаем в файле wp-includes/general-template.php.
  3. Закрываем доступ к файлу wp-login.php в файле .htaccess

Для этого добавляем в .htaccess следующие строчки:

Можно, конечно, просто удалить wp-login.php, тогда сервер будет возвращать ответ 404 (страница не существует). Однако это тоже создает нагрузку на сайт. Закрывая доступ к файлу в .htaccess мы существенно снижаем нагрузку на сервер.

После из изменения версии WP, скорее всего, нужно будет повторить описанный процесс, поскольку в новой версии может измениться его содержимое.

Теперь доступ к админ. панели сайта можно произвести только через файл login2.php (то есть набрав в браузере строку – http://ваш_сайт/login2.php).

Дополнительно стоит добавить следующий код в function.php (в папке вашей темы). Этот код обеспечит правильную работу с виджетами, использующими вход и выход WP . Обратите внимание, что вместо имени файла login2.php вы должны использовать имя своего нового файла входа в админ. панель.

Возможно, в какой-то из версий движка этот способ перестанет работать. В этом случае можно воспользоваться плагином Limit Login Attempts.

6 комментариев

  1. alex 5 лет назад
  2. admin 5 лет назад
  3. yawll 4 года назад
  4. admin 4 года назад
  5. yawll 4 года назад
  6. divanoff 4 года назад

Добавьте комментарий