Можно ли переименовать папку wp-admin?

Люди продолжают задавать этот вопрос, но его постоянно помечают как дубликат. Однако выбранный ответ на самом деле не отвечает на вопрос.

Чтобы переименовать админку WordPress, необходимо выполнить два шага.

В следующем коде я использую "dashboard" как название новой админки. Замените "dashboard" в коде ниже на любое желаемое название для вашей админки.

Сначала необходимо сообщить WordPress, что вы хотите изменить URL админки.

В строке 2558 файла wp-includes/link-template.php находится код, определяющий URL админки.

Используя фильтр admin_url, вы можете успешно изменить URL админки с помощью следующей функции:

function my_custom_admin_url($path) { 
    return str_replace('wp-admin', 'dashboard', $path); 
}
add_filter('admin_url', 'my_custom_admin_url');

Вы можете проверить новый URL, выполнив следующее:

function whats_my_admin_url() {
    $url = admin_url();
    echo '<pre><code>'; print_r( $url ); echo '</code></pre>';
    }
add_action( 'admin_notices', 'whats_my_admin_url' );

Однако вы заметите, что при переходе по ссылкам в админке не всё работает, и некоторые ссылки могут выдавать ошибку 404 или что-то подобное.

Во-вторых, измените файл .htaccess в корневой директории WordPress и добавьте следующее в самое начало перед всем остальным.

#ПЕРЕЗАПИСЬ URL АДМИНКИ
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^dashboard[^/]*$ dashboard/ [R=301,L]
RewriteCond %{QUERY_STRING} (.*)$
RewriteRule ^dashboard(.*)$ wp-admin$1? [QSA,L,NE]
RewriteCond %{QUERY_STRING} (.*)$
RewriteRule ^wp-admin/?$ / [NE,R=404,L]
RewriteCond %{QUERY_STRING} (.*)$
RewriteRule ^wp-admin/(.*)$ dashboard/$1 [QSA,R=301,L,NE]
</IfModule>
#ПЕРЕЗАПИСЬ URL АДМИНКИ

Я не эксперт в редактировании .htaccess, поэтому некоторые части могут быть излишними. Однако у меня это всегда работало.

Вот полный код. Создайте файл и поместите его в папку плагинов или mu-plugins. (не забудьте заменить все вхождения "dashboard" на желаемый URL админки)

<?php
/**
 * Plugin Name: Change My Admin URL
 * Plugin URI: http://wordpress.stackexchange.com/questions/106/can-i-rename-the-wp-admin-folder
 * Description: Меняет URL админки, где wp-admin становится dashboard (или любым другим указанным названием)
 * Version: 1.0
 * Author: Bryan Willis
 * Author URI: http://profiles.wordpress.org/codecandid
 * License: GPL2
 */

/* 

#ПЕРЕЗАПИСЬ URL АДМИНКИ ДЛЯ HTACCESS
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^dashboard[^/]*$ dashboard/ [R=301,L]
RewriteCond %{QUERY_STRING} (.*)$
RewriteRule ^dashboard(.*)$ wp-admin$1? [QSA,L,NE]
RewriteCond %{QUERY_STRING} (.*)$
RewriteRule ^wp-admin/?$ / [NE,R=404,L]
RewriteCond %{QUERY_STRING} (.*)$
RewriteRule ^wp-admin/(.*)$ dashboard/$1 [QSA,R=301,L,NE]
</IfModule>
#ПЕРЕЗАПИСЬ URL АДМИНКИ

*/

function my_custom_admin_url($path) { 
    return str_replace('wp-admin', 'dashboard', $path); 
}
add_filter('admin_url', 'my_custom_admin_url');

Проблемы?

У меня их не было за год использования этого метода. Вы можете заметить, что wp-admin всё ещё будет работать, что не очень хорошо, но это скорее мера предосторожности. У меня были плохо написанные плагины, которые жёстко прописывали wp-admin в некоторых местах и не загружались при попытке заблокировать или перенаправить wp-admin. Я уверен, что есть способ сделать это через htaccess, но я не смог разобраться. Также этот метод не тестировался на мультисайтах.

Обновление: Альтернативный подход

Это довольно похоже, но по какой-то причине мой предыдущий ответ не работал на всех хостингах.

Добавьте в .htaccess

RewriteRule ^admin/(.*) wp-admin/$1?%{QUERY_STRING} [L]

Создайте файл в папке mu-plugins с именем new-admin.php и добавьте туда следующее:

<?php
define('WP_ADMIN_DIR', 'admin');
defined('SITECOOKIEPATH') || define('SITECOOKIEPATH', preg_replace('|https?://[^/]+|i', '', get_option('siteurl') . '/' ) );
define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);

add_filter('site_url',  'wpadmin_filter', 10, 3);
 function wpadmin_filter( $url, $path, $orig_scheme ) {
  $old  = array( "/(wp-admin)/");
  $admin_dir = WP_ADMIN_DIR;
  $new  = array($admin_dir);
  return preg_replace( $old, $new, $url, 1);
}

Примечание: Этот подход лучше работал на некоторых хостингах, но всё равно оставалась проблема с перенаправлением ссылок wp-admin на новый URL админки. Вот подход, который я пробовал ниже. Хотя этот вариант не работает, я думаю, что он на правильном пути. Я не совсем уверен, какой хук использовать. Возможно, htaccess — лучшая альтернатива, но у меня возникали бесконечные редиректы при таком подходе.

add_action('init', 'redirect_wp_admin_url_to_404');
function redirect_wp_admin_url_to_404(){
  $redirect_to = $_SERVER['REQUEST_URI'];
  if(count($_REQUEST)> 0 && array_key_exists('redirect_to', $_REQUEST)){
    $redirect_to = $_REQUEST['redirect_to'];
    $check_wp_admin = stristr($redirect_to, 'wp-admin');
    if($check_wp_admin){
      wp_safe_redirect( '404.php' );
    }
  }
}

Нет, вы не можете переименовать папку. Путь жёстко прописан в нескольких местах исходного кода WordPress.

Безопасность через скрытность — это не настоящая безопасность в любом случае.

Подход, официально поддерживаемый WordPress, заключается в перемещении файлов установки WordPress в подкаталог, при этом сам сайт остается в корневой директории, например:

URL сайта: http://my-blog.com

URL админки: http://my-blog.com/7nxnkkugrdzm/wp-admin

Хотя это не дает полной свободы в изменении URL админки, вы можете добавить к нему любой префикс по вашему выбору. С точки зрения безопасности это так же эффективно. Кроме того, это дает преимущество в виде перемещения всех файлов WordPress в неизвестное пользователям место, что должно быть частью любой стратегии усиления безопасности WordPress.

Из WordPress Codex: Выделение WordPress отдельной директории

Также обратите внимание, что хотя эта схема безопасности называется Скрытый URL, это не то же самое, что безопасность через скрытность. Скрытый URL — это абсолютно валидная схема безопасности, которая так же надежна, как пароль, в то время как безопасность через скрытность полагается на использование секретных непроверенных методов.

Однако здесь действуют те же предостережения, что и с паролями: назовите кастомную папку чем-то вроде 7nxnkkugrdzm, а не happy-snappy-admin. Также убедитесь, что пользователи знают, что URL админки является секретным.

Есть действительно хорошее руководство по этому поводу:

Как скрыть информацию о WordPress в исходном коде ^{зеркало}

Включает переименование wp-content, wp-admin и удаление тега генератора WordPress.

Это руководство изменит явные признаки WordPress в вашем исходном коде, эффективно удалив информацию о WordPress с вашего сайта.

В нем объясняется, как изменить имя папки, URL входа в wp-admin и убедиться, что login.php перенаправляет на основной сайт, чтобы пользователи могли перейти туда напрямую.

Если вы хотите скрыть директорию wp-admin от пользователей с уровнем подписчика, вы можете создать отдельные версии страниц входа/регистрации и профиля/редактирования в собственных директориях. Затем вы можете защитить папку администратора через htaccess или ограничение по IP. (Хотя если вы сделаете это, стоит сделать исключение для файла admin-ajax, так как некоторые плагины используют его для добавления AJAX-функциональности).

Такой подход дает вам желаемую "неочевидность" (которая на самом деле мало что дает, но часто успокаивает клиентов и менеджеров), а также добавляет реальную безопасность, ограничивая доступ к админке. Кроме того, честно говоря, URL вида "/login" выглядит гораздо приятнее, чем "wp-login.php".

Само собой разумеется, это не сделает ваш сайт неуязвимым. Но это хорошее базовое улучшение.

Один из способов защиты административной панели управления — использование правил .htaccess. Просто добавьте файл .htaccess в корневую директорию wp-admin. После добавления файла, внесите следующее правило для запрета доступа со всех IP-адресов, кроме вашего:

http://wp.tutsplus.com/tutorials/10-steps-to-securing-your-wordpress-installation/

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Контроль доступа к админке WordPress"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
whitelist address
allow from <ВАШ IP-АДРЕС>
</LIMIT>

Если вы хотите переименовать wp-admin с целью добавления дополнительного уровня безопасности к вашей установке WordPress, вы также можете попробовать Roots / Bedrock WordPress Boilerplate. Это может помочь изолировать корневую веб-директорию для ограничения доступа к не-веб файлам. Также это может помочь в организации/защите всего ядра WordPress, поместив его в отдельную поддиректорию, например, переименовав wp-content/ в app/, а также предоставляет следующие дополнительные возможности:

• Управление зависимостями с помощью Composer
• Простая конфигурация WordPress с файлами для конкретных окружений
• Переменные окружения с Dotenv
• Автозагрузчик для mu-плагинов (использование обычных плагинов как mu-плагинов)
• Улучшенная безопасность (отдельная корневая веб-директория и безопасные пароли с wp-password-bcrypt)

Вы также можете посмотреть их репозиторий на GitHub для более детального ознакомления с использованием:

Ознакомьтесь с http://wordpress.org/extend/plugins/stealth-login/, это может вам помочь.

Нет, переименовать папку wp-admin с помощью какого-либо кода или хакеров .htaccess невозможно.

Раньше я делал подобное для клиента, выполнив полный поиск по папкам через Coda (редактор, который я использую) по тегам "wp-admin, wp-content... и т.д." и удалил "wp-" из файлов.

После этого вы сможете установить систему, но:
Вам придется делать то же самое с плагинами, которые вы хотите установить, Вам придется обновлять ядро вручную, очищая тег "wp-" из новых версий.

В любом случае, я не советую вам делать что-то подобное, оставьте как есть и попробуйте реализовать страницу входа/регистрации/профиля пользователя, чтобы улучшить опыт ваших пользователей/клиентов.

Кристиан из Cozmolabs написал очень хороший туториал. Вы можете немного отредактировать код и заставить его работать в любой теме WordPress.

Вы также можете добавить форму публикации со фронтенда, чтобы администратор и пользователи с соответствующими правами могли публиковать записи прямо с фронтенда.

Здесь вы можете увидеть пример и код о том, как создать страницу публикации на фронтенде. Отправка публикаций с фронтенда

Также вы можете посмотреть на несколько хороших плагинов здесь, которые делают то же самое с большей функциональностью.

КАК НАСЧЁТ РАБОТЫ С WP-ADMIN ИЗ IFRAME?

Создайте новую страницу в админке WordPress под названием "Admin". Например: yourdomain/admin/

Вы можете использовать условные конструкции в файлах header.php, page.php и/или footer.php, чтобы отключить ненужные элементы шаблона, используя:

<?php
if(!is_page('admin')): //если это не страница "admin".

//оберните код, который не нужен.

else: ?>

<style type="text/css">
    .responsive-iframe {
    position: relative;
    padding-bottom: 56.25%; /*16:9*/
    height: 0;
    overflow: hidden;

    iframe {
        position: absolute;
        top:0;
        left: 0;
        width: 100%; //или 100vw
        height: 100%; //или 100vh
    }
}   
</style>

<div class="responsive-iframe">
<iframe seamless="seamless" scrolling="yes" src="http://yourdomain/wp-admin/" frameborder="0" allowfullscreen></iframe>
</div>

<?php 
endif;

Это не самое элегантное решение, но по крайней мере вы частично сможете скрыть wp-admin из URL. Другой способ - возможно использовать переадресацию домена с включённой маскировкой URL.

Я сам удаляю файл wp-login.php и загружаю его обратно через FTP перед тем, как войти в систему, а затем снова удаляю до следующего раза. В остальном я бы порекомендовал следующее:

1. Плагин Wordfence значительно поможет блокировать попытки взлома. Используйте очень длинное и сложное имя пользователя для учетной записи администратора (хакеры и боты не ожидают, что люди будут использовать длинные имена пользователей, только пароли), такое, которое даже вы не сможете запомнить. Вход с помощью email-адреса, который вы указали, также является отличной практикой.
2. Удалите содержимое файла comments.php и никогда не разрешайте комментарии на своем сайте, а также регистрацию новых пользователей. Лучше ограничить доступ только для администраторов и, возможно, авторов и редакторов, если они вам нужны. Удаление содержимого comments.php предотвращает множество случаев внедрения вредоносного кода и взломов.
3. Используйте пробел между двумя словами в качестве имени для входа, так как большинство хакеров не догадываются, что можно использовать имя пользователя с пробелом, и часто применяют подчеркивания, даже когда угадывают ваше имя (особенно при социальной инженерии). Доказано, что длинные и сложные пароли не всегда надежнее, чем 8-символьные комбинации букв и цифр, так что это стоит изучить.
4. И последнее, но не менее важное: нужно защищать не только login.php (кстати, никогда не используйте имя пользователя "[login]"), но и файл xml-rpc, который хакеры также любят использовать для попыток входа. Обычно такие атаки проводятся низкоквалифицированными злоумышленниками, использующими ИИ для автоматизации, и они просто пытают удачу. Но лучше перестраховаться. Плагин WP All in One Migration позволяет загрузить весь сайт с базой данных и настройками и восстановить его в случае взлома или удаления. Ежедневное резервное копирование перед сном гарантирует, что ваш сайт всегда будет в том состоянии, в котором вы его оставили. Храните резервные копии офлайн на внешнем жестком диске, и вы всегда будете в безопасности.

И еще: используйте минимальное количество плагинов, так как разработчики часто забрасывают их и не обновляют. Если ваш блог использует плагин (например, для вставки плейлистов YouTube), удаление устаревшего плагина может сделать множество постов бессмысленными из-за отсутствующего контента (всегда думайте наперед). Но обязательно используйте необходимые плагины, такие как Akismet, Wordfence (бесплатная версия) и WP All in One Migration для резервного копирования файлов, контента и базы данных сайта. Многие плагины содержат уязвимости, и быстрый анализ вашего сервера покажет хакеру все папки, что позволит ему атаковать через них. Не используйте Disqus или другие сторонние системы комментариев, так как через них собирается и утекает больше данных (например, YouTube недавно взломали через геометки в приложениях), чем пользы. Лучше создать страницу в Facebook и позволить людям комментировать там, но не встраивать виджеты или код, связывающий ваш сайт с другими доменами и их API, так как передаваемые данные легко перехватываются профессиональными хакерами. На моих сайтах WordPress нет кнопок комментариев и репостов именно по этой причине (и я прекрасно обхожусь без них). Например, если бы этот вопрос был видео на YouTube, все бы оставили WordPress на StackExchange (что не значит, что я против — StackExchange прекрасен!) и комментировали бы на YouTube. Это безопаснее. Так что создайте канал на YouTube и страницу в Facebook для комментариев, а сайт WordPress оставьте максимально простым, без возможности входа.

Вы можете использовать плагин "HC Custom WP-Admin URL":

• установите и активируйте плагин;
• перейдите в Настройки --> Постоянные ссылки;
• прокрутите вниз до "WP-Admin slug"; Измените slug;
• выйдите из системы; -войдите снова, используя новый slug.