Как переименовать или скрыть wp-login.php?

Question

Как переименовать или скрыть wp-login.php?

6 янв. 2011 г., 03:46:18

Просмотры: 54.5K

Голосов: 29

Есть ли способ изменить URL wp-login.php? Кажется небезопасным, что любой, кто когда-либо использовал WordPress, может легко определить, использует ли ваш сайт эту CMS, и получить прямой доступ к странице входа.

Раньше существовал плагин под названием "Stealth login", но он не обновлялся (именно поэтому мы не хотим полагаться на плагины).

dfcode3

711

вход безопасность

Комментарии

Ну... вам также нужно скрыть /wp-admin/, верно?

Iulian

6 янв. 2011 г. 04:46:36

Смотрите мой ответ здесь http://wordpress.stackexchange.com/questions/217828/how-to-hide-wordpress-files-structure/219258#219258 - он делает именно то, что вам нужно, и блокирует оригинальный путь, так что никто не узнает, что вы используете WordPress https://wordpress.org/plugins/wp-hide-security-enhancer/

WP-Silver

29 февр. 2016 г. 12:25:48

Плагин WPS Hide Login https://wordpress.org/plugins/wps-hide-login/

crmpicco

20 сент. 2017 г. 12:17:45

Все ответы на вопрос

Комментарии

wp-login.php все еще работает с rewrite, верно?

khaled_webdev

4 февр. 2014 г. 10:48:54

нам нужен фиксированный IP для использования deny from all, allow from IP, но этот метод ограничивает доступ отовсюду, если человек хочет получить доступ со своего телефона или планшета из разных мест, не входящих в разрешенные IP.

khaled_webdev

4 февр. 2014 г. 11:18:03

Я недавно столкнулся с той же проблемой, и вы правы — плагин Stealth больше не поддерживается. Однако, поскольку я понял, что Stealth был лучшим вариантом, я сделал чистую установку WordPress последней версии, которую поддерживал этот плагин, чтобы разобраться, как он работает. Оказалось, что плагин всего лишь создает файл .htaccess с некоторой магией. Этот файл будет выглядеть примерно так:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^logout wp-login.php?action=logout&_wpnonce=asdfasdf&stealth_out_key=asdfasdfasdfasdf [L]
RewriteRule ^login wp-login.php?stealth_in_key=asdfasdfasdf&redirect_to=http://example.com/login [R,L]
RewriteRule ^admin wp-admin/?stealth_admin_key=asdfasdfasdfasdf [R,L]
RewriteCond %{HTTP_REFERER} !^http://example.com/wp-admin
RewriteCond %{HTTP_REFERER} !^http://example.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^http://example.com/login
RewriteCond %{HTTP_REFERER} !^http://example.com/admin
RewriteCond %{QUERY_STRING} !^stealth_in_key=asdfasdfasdfasdf
RewriteCond %{QUERY_STRING} !^stealth_out_key=asdfasdfasdfasdfasd
RewriteCond %{QUERY_STRING} !^stealth_reg_key=asdfasdfasdfasdfasdf
RewriteCond %{QUERY_STRING} !^stealth_admin_key=asdfasdfasdfasdfasdf
RewriteRule ^wp-login\.php http://example.com [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^wp-login\.php http://example.com [R,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Я заменил все ключи на вариации "asdfasdfasdf" — очевидно, вам нужно будет создать свои собственные секретные ключи.

Надеюсь, это поможет!

epaps

506

6 янв. 2011 г. 10:19:42

Комментарии

Как мне перейти на страницу входа?

DropHit

14 сент. 2017 г. 06:49:07

Вот что я сделал:

Я просто переименовал директорию wp-admin в какое-нибудь неочевидное имя, например pfgkn.

При переходе по адресу http://ваш-домен.com/wp-admin/ вас перенаправляет на главную страницу http://ваш-домен.com/ или куда у вас настроен редирект для 404 ошибки.

Когда мне нужно войти - я просто переименовываю директорию pfgkn обратно в wp-admin, вношу изменения, а затем снова переименовываю её в pfgkn.

BigArn

1

19 апр. 2013 г. 04:58:27

Комментарии

Не понимаю, как это может ничего не сломать.

s_ha_dum

19 апр. 2013 г. 05:18:45

"или куда там у вас перенаправляется 404 страница" - ваша страница 404 Not Found вообще не должна никуда перенаправлять!?

MrWhite

9 нояб. 2013 г. 18:03:37

Я в агонии

amarinediary

24 мар. 2021 г. 14:52:09

или вы можете переименовать wp-login.php в какое-нибудь скрытое имя, например some-obscure-name.php, и тогда для входа в систему вам нужно будет вводить ваш-сайт/some-obscure-name.php вместо перехода на wp-admin.php

user35833

1

27 июл. 2013 г. 00:26:48

Комментарии

Я почти уверен, что если вы сделаете только это, возникнет множество проблем с функциональностью. Как вы планируете это компенсировать?

s_ha_dum

27 июл. 2013 г. 00:48:25

MikeSchinkel 37.5K · Accepted Answer · 2011-01-06T11:06:13Z

Если вы делаете это для своего сайта, то использование .htaccess может быть самым простым способом, хотя это может стать сложным, если вы хотите, чтобы это работало для плагина, так как потребуется учитывать множество тонких различий в конфигурации.

Вот несколько статей, которые могут помочь; не все из них напрямую отвечают на ваш вопрос, но все они так или иначе затрагивают ваши опасения по безопасности:

И, конечно же, нет лучшего эксперта по Apache и WordPress, чем автор блога AskApache. Обязательно ознакомьтесь с этими материалами: