Як знайти URL для входу у WordPress та оновити його для забезпечення безпеки

Сильні, унікальні паролі можуть допомогти запобігти несанкціонованому доступу до сайту WordPress вашого малого бізнесу.

Проте, нападники мають кілька хитрих способів їх обходу.

Так само, як нестримні молоді люди, які здаються більш кмітливими у порівнянні з кожною захисною тактикою, яку ви використовуєте проти них, зловмисники вміють проводити атаки грубою силою та знаходити таємні входи через менш захищені плагіни.

І ось, вони всередині вашого сайту крадуть дані швидше, ніж маленька дитина може витягти і спорожнити кожну шухляду на вашій кухні (тобто, неймовірно швидко).

Іншими словами, паролі часто недостатньо для належного захисту вашого сайту від атак.

На щастя, існує відносно проста річ, яку ви можете зробити, щоб зменшити ризик проникнення хакерів на ваш сайт — переміщення вашої сторінки входу WordPress на нову URL-адресу. Це поставить вас у краще становище для захисту від зламів та атак.

Якщо ви не дуже знайомі з WordPress, це, мабуть, не матиме для вас великого сенсу. Саме тому ця стаття детальніше розгляне, чому вам слід розглядати можливість зміни URL вашого входу в WordPress, як знайти ваш URL входу, якщо ви втратили до нього доступ, і, що найважливіше — кілька способів змінити його для підвищення безпеки.

І якщо ви залишитеся з нами до кінця, ми також включимо список додаткових порад для подальшого посилення безпеки вашого WordPress.

Давайте забезпечимо безпеку!

Чому вам слід оновити стандартну URL-адресу входу WordPress

Оскільки WordPress не приховує свою сторінку входу, будь-який користувач може її знайти, якщо знає структуру URL WordPress. Враховуючи, що WordPress є основою майже половини всіх вебсайтів в інтернеті, можна припустити, що багато людей — особливо тих, хто знає, як експлуатувати вебсайти — дуже добре знайомі зі стандартною структурою WordPress.

Стандартна структура сторінки входу зазвичай виглядає приблизно так:

https://example.com/wp-login.php

Це означає, що коли користувач вводить URL вашого сайту в поле, де написано “https://example.com/,” вони повинні побачити сторінку у своєму браузері, яка запрошує їх увійти до backend вашого веб-сайту:

Звичайно, більшість хакерів, ймовірно, не матимуть необхідних облікових даних для входу. Однак, ця структура все ще ризикована, якщо ваш пароль поширений, слабкий або його легко вгадати. Наприклад, 123456.

Простіше кажучи, це легке вирішення непотрібної вразливості.

Для простоти багато людей вважають за краще дотримуватися цієї стандартної структури wp-login для входу в WordPress, але залишення її без змін сприяє легкому доступу хакерів до вашої зони входу, що є як ніби виконанням половини їхньої роботи за них.

WPScan виявив, що WordPress наразі має більше ніж 50,000 вразливостей у 2024 році. Переважна більшість знаходиться в плагінах WordPress, і щороку виявляються сотні, якщо не тисячі нових.

Скорочено, настав час посилити безпеку вашого сайту.

Одним з досяжних способів є зміна URL вашого входу в WordPress для запобігання несанкціонованому доступу до вашого сайту та зменшення ризику атак методом «грубої сили».

Ось як знайти стандартну сторінку входу WordPress

Дивіться, ми розуміємо, що у вас багато справ. Коли у вас мільйон справ на тарілці як у власника малого бізнесу, втрата стеження за URL-адресою входу в WordPress не є незвичною.

Як ми згадували в попередньому розділі, WordPress використовує стандартну структуру посилання для входу, яка виглядає приблизно так:

https://example.com/wp-login.php

Отже, все, що вам потрібно зробити, це додати суфікс (ця частина: wp-login.php) до вашого домену, і ви маєте потрапити на вашу сторінку входу.

Ви також можете знайти свою сторінку входу, спробувавши отримати доступ до своєї панелі керування WordPress під час виходу з системи. Просто введіть “yourwebsite.com/admin” або “yourwebsite.com/login” у рядок пошуку, і ви повинні потрапити на ту саму сторінку входу.

Не працює? Не панікуйте.

Деякі веб-хости автоматично змінюють вашу сторінку входу в WordPress з міркувань безпеки. Тому можливо, у вас вже є спеціальна URL-адреса входу. Якщо так, ми покажемо вам, як знайти її прямо зараз.

Спеціальна URL адреса для входу? Ось як її знайти

Якщо ваш веб-хост змінив ваше посилання для входу, ви зазвичай можете знайти його у вашій панелі керування після входу в ваш обліковий запис хостингу.

Проте, якщо ви не можете знайти свою користувацьку URL-адресу входу там, ви все ще можете знайти її вручну, підключившись до свого сайту за допомогою клієнта SFTP, такого як FileZilla.

Ви можете знайти дані для цього у своєму хостинг-акаунті або запитати у свого веб-хоста деталі.

Після встановлення клієнта та підключення за допомогою цих облікових даних, ви повинні потрапити на сторінку, яка виглядає приблизно так:

Знайдіть кореневу папку з назвою public_html (ви можете побачити її вище праворуч на екрані) і клацніть, щоб знайти файл wp-config.php. Якщо ви не знайдете її як public_html, замість цього вона може бути перелічена як ваше доменне ім’я.

Відкрийте цей файл на своєму комп’ютері за допомогою текстового редактора, наприклад Visual Studio Code. Найкраще використовувати опцію, яка надає інструмент пошуку та заміни. Використовуйте цей інструмент, щоб знайти рядок коду, який містить site_url — це направить вас до вашої власної URL-адреси для входу.

Бум, ви це знайшли! Тепер оновімо цю URL-адресу для кращої безпеки.

Дві стратегії зміни URL входу у ваш WordPress

Тепер, коли ви знаєте, де знайти URL для входу в WordPress, давайте розглянемо два простих способи, як ви можете його змінити.

Метод 1: Оновіть URL вашого входу в WordPress за допомогою Plugin

Найпростіший спосіб змінити ваш URL для входу – використовувати WordPress plugin. На щастя, є багато таких, що сприяють цьому.

WPS Hide Login є чудовим варіантом, оскільки він має невеликий розмір і дозволяє вам безпечно змінити сторінку входу адміністратора WordPress на будь-яку, яку ви хочете. Більше того, WPS Hide Login також запобігає доступу всіх користувачів, які не увійшли в систему, до директорії wp-admin та wp-login.php.

Щоб розпочати, вам потрібно встановити та активувати плагін, перейшовши до вашої адміністративної зони WordPress. Клікніть на Plugins > Add New Plugin.

Пошукайте «WPS Hide Login» і натисніть кнопку Встановити зараз. Залишайтеся на цій сторінці, поки триває встановлення, а потім використайте кнопку Активувати .

Після активації, у бічній панелі вашого адміністратора WordPress, перейдіть до Налаштувань > WPS Hide Login.

Ви побачите, що можете створити нову URL-адресу для входу. Введіть будь-що, що вам подобається, та натисніть Зберегти зміни.

Це так просто.

Майте на увазі, що після активації цього плагіна та внесення змін, використання нової URL-адреси буде єдиним способом доступу до екрану входу вашого сайту.

Отже, не втрачайте цей URL. І не діліться ним публічно або з тими, хто абсолютно його не потребує!

Також пам’ятайте, що ваш сайт повернеться до використання wp-admin та wp-login.php, якщо ви деактивуєте цей плагін.

Метод 2: Оновіть URL вашого входу в WordPress, редагуючи файл wp-login.php

Цей другий метод трохи складніший і, швидше за все, найкраще підходить для досвідчених користувачів. Тому, перш ніж приступити до наступних кроків, краще створити свіжу резервну копію WordPress вашого сайту на випадок, якщо щось піде не так.

Також важливо знати, що ваші зміни можуть повернутися до попередніх налаштувань, коли ви оновлюєте вашу тему. Якщо ви хочете уникнути цієї проблеми, дізнайтеся, як використовувати дочірню тему WordPress.

Тепер давайте зануримося.

Вам потрібно отримати доступ до файлів вашого сайту, як ми це робили раніше, коли відстежували вашу власну URL-адресу для входу. Ви зможете зробити це через адміністративну панель хостингу вашого веб-сайту або через SFTP.

Якщо це другий варіант, використовуйте свої дані для підключення до свого сайту через обраний клієнт SFTP, і знову, знайдіть файл public_html (знову ж таки, він може бути вказаний як назва вашого домену.) Всередині знайдіть папку wp-login.php. Тут розташований код сторінки входу вашого сайту.

Знову відкрийте файл у вашому текстовому редакторі.

Використовуйте інструмент пошуку, щоб знайти кожен випадок wp_login_url, який виглядатиме приблизно так:

Рядки, що слідують за wp_login_url, міститимуть ваш поточний URL входу. Змініть кожен на новий URL входу, який ви хочете використовувати.

Пам’ятайте, ви можете тримати це простим, доки це оригінально (і відрізняється від стандартного). Наприклад, вам може бути до вподоби щось на кшталт «access.php» або «wp-new-login».

Як тільки ви будете задоволені змінами, збережіть їх та закрийте редактор. Потім перейменуйте файл відповідно до нової URL-адреси, яку ви обрали (наприклад, “access.php”).

Примітка: Технічно ви можете назвати файл як завгодно, але його легше відстежувати та пам’ятати, якщо ви назвете його за новою URL-адресою, яку плануєте використовувати.

Перетягніть файл з вашого робочого столу до файлу public_html .

Тепер ви можете завантажити новий файл у ваш каталог Root за допомогою вашого FTP-клієнта або файлового менеджера вашого веб-хоста. Ми покажемо вам, як це зробити, використовуючи фільтр-хук WordPress “login_url”.

Почніть з переходу до wp-content > themes, оберіть вашу активну тему та відкрийте файл functions.php (бажано у дочірній темі.) Це показує WordPress, де знаходиться новий файл входу.

Тут ви можете вставити наступний рядок коду у файл:

/*
*Змініть URL файлу входу WP за допомогою фільтра-гачка "login_url"
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}

Замініть wp-your-new-login-file-name на назву файлу, який ви щойно створили. Потім збережіть зміни та перевірте свій новий вхід.

Вам потрібно буде ввести домен вашого сайту з вашою новою URL-адресою входу в кінці.

Наприклад: “https://example.com/access.php.”

Якщо ви маєте доступ до сторінки входу вашого сайту WordPress, це спрацювало!

А тепер ви можете видалити оригінальний файл wp-login.php, оскільки новий файл, який ви додали, замінив його.

Щось, що варто пам’ятати – коли ви оновили сторінку входу, вам потрібно оновити сторінки, які посилаються на wp-login.php файл, який ми щойно видалили. Зокрема, вам потрібно оновити logout_url фільтр та lostpassword_url фільтр.

4 додаткові способи захисту процесу входу в WordPress

Зміна URL-адреси входу до WordPress – це чудово для посилення безпеки вашого сайту. Однак, це не все, що ви можете зробити.

Ось деякі додаткові способи додаткового захисту процесу входу у WordPress:

1. Обмеження спроб входу

Коли ви обмежуєте спроби входу, ви можете зупинити хакерів та ботів, які намагаються отримати доступ до вашого сайту, спробувавши сотні імен користувачів та паролів. Іншими словами, атака грубою силою.

Найпростіший спосіб зробити це – використати плагін, такий як Limit Login Attempts Reloaded.

Цей плагін починає працювати одразу після його активації на вашому сайті. За замовчуванням, користувачі мають чотири спроби увійти до системи перед тим, як їх заблокують у WordPress.

Проте, ви можете поекспериментувати з налаштуваннями, змінюючи кількість спроб, тривалість блокувань та багато іншого. Панель керування адміністратора плагіна може показати вам, скільки спроб грубої сили було заблоковано плагіном.

І на вкладці “Логи” ви можете вручну блокувати конкретні IP-адреси.

2. Впровадження двофакторної (2FA) автентифікації

2FA є однією з найбільш широко використовуваних функцій безпеки, яку впроваджують користувачі WordPress.

У цьому процесі користувачі повинні надати не лише свої дані для входу. Перед входом в систему користувачі також повинні створити другий обліковий запис. Це часто код, який надсилається через текстове повідомлення, електронну пошту або за допомогою додатка.

Оскільки боти та хакери не можуть сформувати другий необхідний реквізит, це чудовий спосіб запобігти несанкціонованому доступу до вашого сайту. Один із найкращих способів додати цю функціональність на ваш сайт — використовувати плагін, як от miniOrange.

Після активації перейдіть до нового посилання miniOrange з двофакторною аутентифікацією у бічній панелі вашого адміністратора WordPress > Мій обліковий запис.

Тут вам потрібно буде зареєструвати обліковий запис. Після цього ви отримаєте код, який дозволить вам підтвердити вашу електронну пошту.

Далі ми рекомендуємо пройти за допомогою корисного “Майстра налаштування” плагіна, щоб переконатися, що 2FA повністю налаштовано для кожного, хто користується вашим сайтом.

3. Використовуйте CAPTCHA

CAPTCHA або reCAPTCHA від Google забезпечує додатковий рівень безпеки для вашого веб-сайту.

Зазвичай, воно використовується для контролю доступу до конфіденційних сторінок. Що ще? Це може запобігти створенню спаму ботами або доступу до особистої інформації на вашому веб-сайті через форми замовлень або форми входу.

Знову ж таки, plugin – це найпростіший спосіб включення цієї функціональності на вашому сайті. У нашому посібнику до reCAPTCHA, ми покажемо вам, як налаштувати його за допомогою plugin всього за шість кроків.

Якщо ви бажаєте виконати це вручну, це також можливо!

4. Вимагайте надійних паролів

Звичайно, зміна URL для входу на ваш сайт WordPress є чудовою ідеєю, щоб ви не використовували легко вгадуване суфікс «admin». Однак, ваші зусилля будуть марними, якщо ви продовжуватимете використовувати слабкі або повторювані паролі, які піддають ваш обліковий запис більшому ризику атаки.

Лише 13% людей використовують генератор паролів для створення унікальних, високозахищених фраз для різних вебсайтів. Більшість використовує числа та слова, які є значущими для них, що робить ці паролі більш очевидними для хакерів.

Ми рекомендуємо використовувати Solid Security, плагін WordPress, який може спонукати користувачів використовувати надійні паролі. Якщо вас турбує, що пароль може бути частиною витоку даних, ви також можете використовувати Passwords Evolved, який надсилає сповіщення, якщо будь-які паролі користувачів були скомпрометовані

Зараз найкраще скинути ваш пароль в WordPress, якщо він використовується повторно або легко вгадується. Надалі вибирайте довгі паролі, що поєднують великі та малі літери з цифрами та спеціальними символами. Ми також рекомендуємо використовувати менеджер паролів, такий як 1Password для додаткового спокою.

Крім того, важливо заохочувати користувачів, які мають доступ до вашого сайту, використовувати надійні паролі. Це можна уточнити в листі-вітанні, який користувачі отримують після реєстрації на вашому сайті.

Бонус: Ще більше порад для підвищення безпеки WordPress

Як найпопулярніша система управління контентом (CMS) на ринку, WordPress, зрозуміло, також одна з найчастіше атакованих.

Ми не кажемо це, щоб відлякати вас від використання, а лише щоб зробити вас усвідомленими щодо важливості забезпечення безпеки вашого сайту WordPress на всіх фронтах.

Для загальної безпеки після етапу входу ми рекомендуємо ще один потужний плагін для автоматизації процесу: Jetpack.

Переконатись, що ваш SSL/TLS сертифікат оновлено є найкращим способом захистити важливі дані вашого сайту та користувачів. Це часто позитивно впливає також на пошукову оптимізацію (SEO) вашого вебсайту.

Дізнайтеся, як користуватися плагіном WordPress Really Simple SSL тут.

Готові заглибитися ще більше у безпеку WordPress? Ознайомтеся з нашим посібником Все, що вам потрібно знати про безпеку WordPress для отримання ще більше методів захисту веб-сайту.

Створіть непробивну бізнес-структуру з кращим хостингом WordPress

Один останній, але чудовий спосіб надійно посилити безпеку вашого WordPress?

Співпраця з досвідченим, відданим хостингом.

У DreamHost ми пропонуємо широкий спектр рішень, які підходять для всіх типів користувачів, веб-сайтів та потреб у безпеці.

Наші пакети керованого хостингу WordPress чудово підходять для власників і операторів малих бізнесів, які не хочуть займатися налаштуванням, а наші варіанти керованого VPS хостингу ідеально підходять, коли ви готові до розширення.

Дослідіть усі наші хостинг-плани, щоб вибрати найкращий для себе! І поки ви займаєтесь цим, перегляньте DreamCare, щоб отримати професійний моніторинг безпеки, звітність та обслуговування, що дозволяє вам викреслити це зі свого ділового списку завдань.

Ця сторінка містить партнерські посилання. Це означає, що ми можемо отримати комісійну винагороду, якщо ви придбаєте послуги через наше посилання без будь-яких додаткових витрат для вас.