htmlJak Znaleźć URL Logowania do WordPressa i Zaktualizować go dla BezpieczeństwaJak Znaleźć URL Logowania do WordPressa i Zaktualizować go dla Bezpieczeństwa

Silne, unikatowe hasła mogą pomóc zapobiec nieautoryzowanemu dostępowi do twojej małej firmy strony internetowej WordPress.

Jednakże atakujący mają kilka sprytnych sposobów, aby je obejść.

Tak jak nieustępliwe dzieci, które zdają się omijać każdą zabezpieczającą przed nimi barierę, podstępni użytkownicy potrafią przeprowadzać ataki brutalnej siły i znajdować furtki przez mniej bezpieczne pluginy.

I oto są, wewnątrz twojej strony, kradną dane szybciej niż małe dziecko może wyciągnąć i opróżnić każdą szufladę w twojej kuchni (czyli, niewiarygodnie szybko).

Innymi słowy, hasła często nie są wystarczające, aby odpowiednio chronić Twoją stronę przed atakami.

Na szczęście istnieje stosunkowo prosta rzecz, którą możesz zrobić, aby zmniejszyć ryzyko włamania hakerów na Twoją stronę — przeniesienie strony logowania WordPress na nowy adres URL. To postawi Cię w lepszej pozycji do obrony przed włamaniami i atakami.

Jeśli nie znasz zbyt dobrze WordPressa, to prawdopodobnie nie będzie to dla Ciebie zbyt zrozumiałe. Dlatego ten artykuł przyjrzy się bliżej, dlaczego warto rozważyć zmianę adresu URL logowania do WordPressa, jak znaleźć swój adres URL logowania, jeśli go zgubiłeś, i co najważniejsze — kilka sposobów na jego modyfikację w celu zwiększenia bezpieczeństwa.

A jeśli zostaniesz z nami aż do końca, dołączymy również listę dodatkowych wskazówek dotyczących dalszego wzmacniania bezpieczeństwa Twojego WordPressa.

Zabezpieczmy się!

Dlaczego należy zaktualizować domyślny adres URL logowania WordPress

Ponieważ WordPress nie ukrywa twojej strony logowania, każdy użytkownik może ją znaleźć, o ile wie, jak WordPress strukturuje swoje adresy URL. Biorąc pod uwagę, że WordPress napędza prawie połowę wszystkich stron internetowych w sieci, można założyć, że wielu ludzi — szczególnie tych, którzy wiedzą, jak wykorzystywać strony internetowe — bardzo dobrze zna typowy układ WordPressa.

Domyślna struktura strony logowania zazwyczaj wygląda mniej więcej tak:

https://example.com/wp-login.php

To oznacza, że gdy użytkownik wpisze adres URL Twojej strony w miejscu, gdzie znajduje się „https://example.com/,” powinien zobaczyć stronę w swojej przeglądarce zachęcającą go do zalogowania się do backendu Twojej strony:

Oczywiście większość hakerów prawdopodobnie nie będzie miała potrzebnych danych logowania. Jednak ta struktura jest nadal ryzykowna, jeśli twoje hasło jest powszechne, słabe lub łatwe do odgadnięcia. Przykładem może być 123456.

Prostymi słowy, to łatwe rozwiązanie niepotrzebnego zagrożenia.

Dla uproszczenia, wiele osób woli trzymać się domyślnej struktury wp-login do logowania do WordPressa, ale pozostawienie jej w takiej formie ułatwia hakerom dostęp do twojego obszaru logowania, co jest jak wykonanie połowy ich pracy za nich.

WPScan odkrył, że WordPress ma obecnie więcej niż 50 000 luk w 2024 roku. Większość z nich znajduje się w wtyczkach WordPress, a setki, jeśli nie tysiące, są odkrywane każdego roku.

Krótko mówiąc, nadszedł czas, aby wzmocnić bezpieczeństwo Twojej strony internetowej.

Realizowalnym sposobem na to jest zmiana adresu URL logowania WordPress, aby zapobiec nieautoryzowanemu dostępowi do witryny i zmniejszyć ryzyko ataków brutalnej siły.

Oto jak znaleźć domyślną stronę logowania WordPress

Wiem, że masz dużo na głowie. Kiedy masz milion spraw na głowie jako właściciel małej firmy, to zgubienie adresu URL do logowania WordPressa nie jest niczym niezwykłym.

Jak wspomnieliśmy w poprzedniej sekcji, WordPress używa standardowej struktury linku do logowania, która wygląda mniej więcej tak:

https://example.com/wp-login.php

Więc wszystko, co musisz zrobić, to dodać sufiks (tę część: wp-login.php) do swojej domeny, a powinieneś trafić na swoją stronę logowania.

Możesz również znaleźć swoją stronę logowania, próbując uzyskać dostęp do swojego panelu WordPress będąc wylogowanym. Wystarczy wpisać „twojastrona.com/admin” lub „twojastrona.com/login” w pasek wyszukiwania, a powinieneś trafić na tę samą stronę logowania.

Nie działa? Nie panikuj.

Niektóre hostingi zmieniają twoją stronę logowania WordPress automatycznie ze względów bezpieczeństwa. Możesz więc już mieć niestandardowy adres URL strony logowania. Jeśli tak, pokażemy ci, jak go znaleźć.

Własny URL logowania? Oto, jak go znaleźć

Jeśli Twój dostawca hostingu zmienił link do logowania, zazwyczaj można go znaleźć w panelu sterowania po zalogowaniu się na swoje konto hostingowe.

Jednakże, jeśli nie możesz zidentyfikować własnego adresu URL logowania tam, nadal możesz go zlokalizować ręcznie, łącząc się ze swoją stroną używając klienta SFTP takiego jak FileZilla.

Możesz znaleźć dane uwierzytelniające w swoim koncie hostingowym lub poprosić swojego dostawcę hostingu o szczegóły.

Po zainstalowaniu klienta i połączeniu przy użyciu tych danych uwierzytelniających, powinieneś trafić na stronę, która wygląda mniej więcej tak:

Znajdź folder o nazwie public_html (możesz go zobaczyć powyżej, po prawej stronie ekranu) i kliknij, aby zlokalizować plik wp-config.php. Jeśli nie znajdziesz go jako public_html, może być on wymieniony jako nazwa twojej domeny.

Otwórz ten plik na swoim komputerze za pomocą edytora tekstu, takiego jak Visual Studio Code. Najlepiej użyć opcji, która oferuje narzędzie do wyszukiwania i zamiany. Użyj tego narzędzia, aby znaleźć ciąg kodu zawierający site_url — to przekieruje Cię do Twojego niestandardowego adresu URL logowania.

Boom, znalazłeś to! Skoro to już za nami, zaktualizujmy ten URL dla lepszego bezpieczeństwa.

Dwie strategie zmiany adresu URL logowania WordPress

Teraz, gdy wiesz, gdzie znaleźć adres URL logowania do WordPress, przyjrzyjmy się dwóm prostym sposobom, dzięki którym możesz go zmienić.

Metoda 1: Zaktualizuj swój adres URL logowania WordPress za pomocą pluginu

Najłatwiejszym sposobem zmiany adresu URL logowania jest użycie pluginu WordPress. Na szczęście dostępnych jest wiele takich narzędzi, które to ułatwiają.

WPS Hide Login to świetna opcja, ponieważ jest lekka i pozwala bezpiecznie zmienić stronę logowania administratora WordPress na dowolną, którą chcesz. Co więcej, WPS Hide Login również uniemożliwia wszystkim wylogowanym użytkownikom dostęp do katalogu wp-admin oraz wp-login.php.

Aby zacząć, musisz zainstalować i aktywować plugin, przechodząc do obszaru admina WordPressa. Kliknij na Plugins > Add New Plugin.

Wyszukaj „WPS Hide Login” i kliknij przycisk Zainstaluj Teraz. Pozostań na tej stronie do zakończenia instalacji, a następnie użyj przycisku Aktywuj .

Po aktywacji, w pasku bocznym panelu administracyjnego WordPress, przejdź do Ustawienia > WPS Hide Login.

Zobaczysz, że możesz utworzyć nowy adres URL logowania. Wpisz, co tylko chcesz, i kliknij Zapisz zmiany.

To takie proste.

Miej na uwadze, że kiedy ten plugin jest aktywny i dokonasz zmian, używanie nowego adresu URL będzie jedynym sposobem dostępu do ekranu logowania Twojej strony.

Więc nie zgub tego adresu URL. I nie udostępniaj go publicznie ani nikomu, kto go absolutnie nie potrzebuje!

Pamiętaj także, że Twoja strona wróci do używania wp-admin i wp-login.php, jeśli dezaktywujesz ten plugin.

Metoda 2: Zaktualizuj swój adres URL logowania do WordPressa, edytując plik wp-login.php

Ta druga metoda jest nieco bardziej skomplikowana i prawdopodobnie najlepiej nadaje się dla doświadczonych użytkowników. Dlatego, zanim zaczniesz wykonywać poniższe kroki, najlepiej będzie wykonać świeżą kopię zapasową WordPressa swojej strony na wypadek, gdyby coś poszło nie tak.

Jest również ważne, aby wiedzieć, że Twoje zmiany mogą zostać przywrócone do poprzednich ustawień, gdy zaktualizujesz swój motyw. Jeśli chcesz uniknąć tego problemu, dowiedz się, jak używać motywu potomnego WordPress.

Teraz zanurkujemy.

Będziesz musiał uzyskać dostęp do plików swojej strony, tak jak zrobiliśmy to wcześniej, gdy szukaliśmy niestandardowego adresu URL do logowania. Będziesz mógł to zrobić za pośrednictwem panelu administracyjnego hosta Twojej strony lub SFTP.

Jeśli to drugie, użyj swoich danych uwierzytelniających, aby połączyć się ze swoją stroną za pomocą wybranego klienta SFTP, i ponownie, znajdź plik public_html (może być również wymieniony jako nazwa twojej domeny). Wewnątrz znajdź folder wp-login.php. Tutaj mieszka kod strony logowania twojej witryny.

Otwórz plik ponownie za pomocą edytora tekstu.

Użyj narzędzia wyszukiwania, aby znaleźć każdą instancję wp_login_url, która będzie wyglądać mniej więcej tak:

Łańcuchy znaków po wp_login_url będą zawierały Twój aktualny adres URL logowania. Zmień każdy na nowy adres URL logowania, którego chcesz użyć.

Pamiętaj, że możesz to ująć prosto, pod warunkiem że będzie oryginalne (i inne niż domyślne). Na przykład, możesz woleć coś takiego jak “access.php” lub “wp-new-login.”

Gdy będziesz zadowolony ze swoich zmian, zapisz je i zamknij edytor. Następnie zmień nazwę pliku na nowy URL, który wybrałeś (na przykład „access.php”).

Uwaga: Technicznie rzecz biorąc, możesz nazwać plik jak chcesz, ale łatwiej jest śledzić i pamiętać, jeśli nazwiesz go zgodnie z nowym adresem URL, którego planujesz użyć.

Przeciągnij plik ze swojego pulpitu do pliku public_html .

Teraz możesz przesłać nowy plik do swojego katalogu głównego za pomocą klienta FTP lub menedżera plików Twojego hosta internetowego. Pokażemy Ci, jak to zrobić, używając filtru WordPress „login_url”.

Zacznij od przejścia do wp-content > themes, wybierz swoje aktywne motywy, a następnie otwórz plik functions.php (najlepiej w motywie potomnym). To informuje WordPress, gdzie znajduje się nowy plik logowania.

Tutaj możesz wkleić poniższą linię kodu do pliku:

/*
*Zmień adres URL pliku logowania WP za pomocą „login_url” hak filtracyjny
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}

Zamień wp-your-new-login-file-name na nazwę pliku, który właśnie utworzyłeś. Następnie zapisz zmiany i przetestuj swoje nowe logowanie.

Będziesz musiał wpisać domenę swojej strony z nowym adresem URL logowania na końcu.

Na przykład: „https://example.com/access.php.”

Jeśli możesz uzyskać dostęp do strony logowania swojej strony WordPress, to działa!

A teraz możesz usunąć oryginalny plik wp-login.php, ponieważ nowy plik, który dodałeś, go zastąpił.

Coś, o czym warto pamiętać – po zaktualizowaniu strony logowania, musisz zaktualizować strony, które odnoszą się do wp-login.php pliku, który właśnie usunęliśmy. Konkretnie, musisz zaktualizować logout_url filtr i lostpassword_url filtr.

4 dodatkowe sposoby na zabezpieczenie procesu logowania do WordPressa

Zmiana adresu URL logowania do WordPressa to świetny sposób na zwiększenie bezpieczeństwa Twojej strony. Jednak to nie wszystko, co możesz zrobić.

Oto kilka dodatkowych sposobów na lepsze zabezpieczenie procesu logowania do WordPress:

1. Ogranicz Liczbę Prób Logowania

Kiedy ograniczasz próby logowania, możesz zatrzymać hakerów i boty, które próbują uzyskać dostęp do Twojej strony, testując setki nazw użytkowników i haseł. Innymi słowy, atak siłowy.

Najłatwiejszym sposobem jest użycie pluginu takiego jak Limit Login Attempts Reloaded.

Ten plugin zaczyna działać od razu po aktywacji na Twojej stronie. Domyślnie użytkownicy mają cztery próby zalogowania się, zanim zostaną zablokowani na stronie WordPress.

Jednakże, możesz bawić się ustawieniami, zmieniając liczbę prób, czas blokad i więcej. Panel administracyjny pluginu może pokazać Ci, ile ataków siłowych zostało zablokowanych przez plugin.

A w zakładce „Logi” możesz nawet ręcznie umieścić konkretne adresy IP na czarnej liście.

2. Wdrożenie uwierzytelniania dwuskładnikowego (2FA)

2FA jest jedną z najczęściej używanych funkcji bezpieczeństwa, której używają użytkownicy WordPressa.

W tym procesie, użytkownicy muszą dostarczyć więcej niż tylko swoje dane logowania. Przed zalogowaniem, użytkownicy muszą również wygenerować drugie poświadczenie. Jest to często kod wysyłany za pośrednictwem wiadomości tekstowej, E-maila lub aplikacji.

Ponieważ Boty i hakerzy nie są w stanie wytworzyć drugiego wymaganego uwierzytelnienia, jest to świetny sposób, aby zapobiec nieautoryzowanemu dostępu do Twojej strony. Jednym z najlepszych sposobów na dodanie tej funkcjonalności do Twojej strony jest użycie pluginu takiego jak miniOrange.

Po aktywacji, przejdź do nowego linku miniOrange dwuetapowej weryfikacji w pasku bocznym administratora WordPress > Moje Konto.

Tutaj musisz zarejestrować konto. Następnie otrzymasz kod, który umożliwi Ci zweryfikowanie swojego adresu e-mail.

Następnie, zalecamy kierowanie się pomocnym „Kreatorem Konfiguracji” pluginu, aby upewnić się, że masz w pełni ustawione 2FA dla każdego, kto korzysta z Twojej strony.

3. Użyj CAPTCHA

CAPTCHA lub reCAPTCHA od Google zapewnia dodatkową warstwę bezpieczeństwa dla Twojej strony internetowej.

Zazwyczaj jest używane do kontrolowania dostępu do wrażliwych stron. Co więcej? Może to zapobiec tworzeniu spamu przez boty lub dostępowi do osobistych informacji na Twojej stronie za pomocą formularzy zamówień lub formularzy logowania.

Znowu, plugin jest najłatwiejszym sposobem na włączenie tej funkcjonalności na Twojej stronie. W naszym przewodniku po reCAPTCHA, przeprowadzimy Cię przez proces uruchamiania go za pomocą pluginu w zaledwie sześciu krokach.

Jeśli wolisz to zrobić ręcznie, to również opcja!

4. Wymuszaj silne hasła

Oczywiście zmiana adresu URL logowania do Twojej strony WordPress to świetny pomysł, aby nie używać łatwego do odgadnięcia sufiksu „admin”. Jednak Twoje wysiłki są marnowane, jeśli nadal używasz słabych lub powtarzalnych haseł, które narażają Twoje konto na większe ryzyko ataku.

Tylko 13% osób używa generatora haseł do tworzenia unikalnych, wysoce bezpiecznych fraz dla różnych stron internetowych. Większość zamiast tego używa liczb i słów, które mają dla nich znaczenie, co czyni je bardziej oczywistymi dla hakerów.

Zalecamy używanie Solid Security, wtyczki WordPress, która może zachęcić użytkowników do stosowania silnych haseł. Jeśli martwisz się, że hasło mogło zostać wykorzystane w naruszeniu danych, możesz również użyć Passwords Evolved, które wysyła alert, jeśli jakiekolwiek hasła użytkowników zostaną naruszone

Obecnie najlepiej jest zresetować hasło do WordPressa, jeśli jest ono używane ponownie lub łatwe do odgadnięcia. Na przyszłość wybieraj długie hasła z połączeniem dużych i małych liter, cyfr oraz znaków specjalnych. Polecalibyśmy również używanie menedżera haseł, takiego jak 1Password dla dodatkowego spokoju ducha.

Ponadto, ważne jest zachęcanie użytkowników mających dostęp do Twojej witryny do stosowania silnych haseł. Możesz to wyjaśnić w powitalnym e-mailu, który użytkownicy otrzymują po zarejestrowaniu się na Twojej stronie.

Bonus: Jeszcze więcej wskazówek dotyczących zwiększania bezpieczeństwa WordPress

Jako najpopularniejszy system zarządzania treścią (CMS) na rynku, WordPress jest również jednym z najczęściej atakowanych.

Nie mówimy tego, aby Cię odstraszyć od korzystania z tego, ale aby uświadomić Ci, jak ważne jest zabezpieczenie Twojej strony WordPress ze wszystkich stron.

Dla całkowitego bezpieczeństwa poza fazą logowania, polecamy kolejny potężny plugin do automatyzacji procesu: Jetpack.

Upewnienie się, że Twój certyfikat SSL/TLS jest aktualny, to najlepszy sposób na zabezpieczenie ważnych danych Twojej strony i użytkownika poprzez szyfrowanie. Często ma to także pozytywny wpływ na optymalizację pod kątem wyszukiwarek (SEO) dla Twojej strony.

Dowiedz się, jak korzystać z wtyczki WordPress Really Simple SSL tutaj.

Czujesz się gotowy, aby zagłębić się jeszcze bardziej w bezpieczeństwo WordPressa? Zapoznaj się z naszym przewodnikiem Wszystko, co musisz wiedzieć o bezpieczeństwie WordPressa dla jeszcze więcej metod zabezpieczania strony.

Buduj Nieprzenikniony Biznes z Najlepszym Hostingiem WordPress

Jednym ostatecznym, ale doskonałym sposobem na trwałe zabezpieczenie Twojego WordPressa?

Partnerstwo z doświadczonym, zaangażowanym hostingiem.

W DreamHost oferujemy szereg rozwiązań dopasowanych do różnych użytkowników, stron internetowych i potrzeb związanych z bezpieczeństwem.

Nasze pakiety zarządzanego hostingu WordPress są świetne dla właścicieli i operatorów małych firm, którzy wolą nie angażować się bezpośrednio, a nasze opcje zarządzanego hostingu VPS są idealne, gdy jesteś gotowy do rozbudowy.

Zapoznaj się z naszymi planami hostingowymi, aby wybrać najlepszą opcję dla siebie! Przy okazji sprawdź DreamCare, aby uzyskać profesjonalny monitoring, raportowanie i konserwację bezpieczeństwa, dzięki czemu możesz odhaczyć to z listy zadań biznesowych.

Ta strona zawiera linki afiliacyjne. Oznacza to, że możemy zarobić prowizję, jeśli zakupisz usługi przez nasz link bez dodatkowych kosztów dla Ciebie.