Как найти URL для входа в ваш WordPress и улучшить его для безопасности

Сильные, уникальные пароли могут помочь предотвратить несанкционированный доступ к сайту WordPress вашего малого бизнеса.

Однако, нападающие имеют несколько хитрых способов обойти их.

Точно так же, как неутомимые молодые люди, которые кажутся способными обойти любые меры безопасности, которые вы предпринимаете, злонамеренные актеры знают, как проводить атаки методом грубой силы и находить тайные ходы через менее защищенные плагины.

И вот, они уже внутри вашего сайта и крадут данные быстрее, чем малыш может вытащить все из ящиков на вашей кухне и опустошить их (то есть, чрезвычайно быстро).

Другими словами, пароли часто недостаточны для надежной защиты вашего сайта от атак.

К счастью, есть относительно простой способ уменьшить риск того, что хакеры получат доступ к вашему сайту — перемещение страницы входа в WordPress на новый URL. Это поможет вам лучше защититься от взломов и атак.

Если вы не особо знакомы с WordPress, это, вероятно, не будет иметь для вас большого смысла. Именно поэтому в этой статье мы подробнее рассмотрим, почему вам следует подумать о смене вашего URL для входа в WordPress, как найти ваш URL для входа, если вы его потеряли, и, что наиболее важно — несколько способов его изменения для повышения безопасности.

И если вы останетесь с нами до конца, мы также включим список дополнительных советов для дальнейшего усиления вашей безопасности WordPress.

Давайте обезопасимся!

Почему вам следует обновить стандартный URL входа в WordPress

Поскольку WordPress не скрывает страницу входа, любой пользователь может найти ее, если знает, как WordPress структурирует свои URL. Учитывая, что WordPress управляет почти половиной всех сайтов в интернете, можно с уверенностью предположить, что многие люди — особенно те, кто умеет эксплуатировать сайты — очень хорошо знакомы с общим макетом WordPress.

Стандартная структура страницы входа обычно выглядит примерно так:

https://example.com/wp-login.php

Это означает, что когда пользователь вводит URL вашего сайта в строке, где написано «https://example.com/», он должен увидеть страницу в своем браузере с приглашением войти в backend вашего сайта:

Конечно, у большинства хакеров, вероятно, не будет необходимых учетных данных. Тем не менее, такая структура остается рискованной, если ваш пароль распространенный, слабый или легко угадываемый. Например, как 123456.

Проще говоря, это легкое решение для ненужной уязвимости.

Ради простоты многие предпочитают оставаться с этой стандартной структурой wp-login для входа в WordPress, но сохранение её без изменений упрощает хакерам доступ к вашей зоне входа, что, по сути, выполняет за них половину работы.

WPScan обнаружил, что в 2024 году WordPress имеет более 50 000 уязвимостей. Подавляющее большинство из них обнаружено в плагинах WordPress, и каждый год обнаруживается сотни, если не тысячи новых.

Короче говоря, пришло время усилить безопасность вашего сайта.

Один из доступных способов сделать это — изменить URL для входа в WordPress, чтобы предотвратить несанкционированный доступ к вашему сайту и уменьшить риск атак методом подбора пароля.

Вот как найти стандартную страницу входа в WordPress

Посмотрите, мы знаем, что у вас много дел. Когда у вас много задач в качестве владельца малого бизнеса, потерять ссылку для входа в WordPress не редкость.

Как мы упоминали в предыдущем разделе, WordPress использует стандартную структуру ссылки для входа, которая выглядит примерно так:

https://example.com/wp-login.php

Итак, все, что вам нужно сделать, это добавить суффикс (эта часть: wp-login.php) к вашему домену, и вы должны попасть на вашу страницу входа.

Вы также можете найти свою страницу входа, пытаясь получить доступ к вашей панели управления WordPress во время выхода из системы. Просто введите «yourwebsite.com/admin» или «yourwebsite.com/login» в строку поиска, и вы должны попасть на ту же страницу входа.

Не работает? Не паникуйте.

Некоторые веб-хосты по соображениям безопасности автоматически изменяют вашу страницу входа в WordPress. Поэтому у вас уже может быть пользовательский URL входа. Если это так, мы покажем вам, как его найти прямо сейчас.

Пользовательский URL входа? Вот как его найти

Если ваш хостинг-провайдер изменил ссылку для входа, вы обычно можете найти её в панели управления после входа в ваш хостинг-аккаунт.

Однако, если вы не можете найти свою пользовательскую URL для входа там, вы все равно можете найти ее вручную, подключившись к своему сайту используя SFTP клиент, например FileZilla.

Вы можете найти учетные данные для этого в своем аккаунте хостинга или запросить детали у вашего провайдера хостинга.

После установки клиента и подключения с использованием этих учетных данных, вы должны попасть на страницу, которая выглядит примерно так:

Найдите корневую папку с названием public_html (вы можете увидеть ее выше справа на экране) и кликните на нее, чтобы найти файл wp-config.php. Если вы не можете найти ее как public_html, она может быть перечислена под вашим доменным именем.

Откройте этот файл на своем компьютере с помощью текстового редактора, например, Visual Studio Code. Лучше всего использовать вариант, который предоставляет инструмент поиска и замены. Используйте этот инструмент для поиска строки кода, содержащей site_url — это направит вас на ваш индивидуальный URL для входа.

Бум, вы нашли это! Теперь, когда это позади, давайте обновим этот URL для лучшей безопасности.

Две стратегии изменения URL входа в ваш WordPress

Теперь, когда вы знаете, где найти URL для входа в WordPress, давайте рассмотрим два простых способа изменить его.

Метод 1: Обновите ваш URL для входа в WordPress с помощью плагина

Самый простой способ изменить URL вашей страницы входа — использовать плагин WordPress. К счастью, существует множество таких плагинов, которые помогут это сделать.

WPS Hide Login — отличный выбор, поскольку он легкий и позволяет безопасно изменить страницу входа в административный раздел WordPress на любую, которую вы захотите. Кроме того, WPS Hide Login также не дает всем пользователям, которые вышли из системы, доступ к директории wp-admin и wp-login.php.

Чтобы начать, вам нужно установить и активировать плагин, перейдя в вашу административную зону WordPress. Кликните на Plugins > Add New Plugin.

Найдите «WPS Hide Login» и нажмите кнопку Установить сейчас. Оставайтесь на этой странице до завершения установки, затем используйте кнопку Активировать.

После активации в боковой панели вашего администратора WordPress перейдите в Настройки > WPS Hide Login.

Вы увидите, что можете создать новый URL для входа. Введите, что хотите, и нажмите Сохранить изменения.

Это так просто.

Имейте в виду, что как только этот плагин будет активирован и вы внесете свои изменения, использование нового URL станет единственным способом доступа к экрану входа на ваш сайт.

Не теряйте этот URL. И не делитесь им публично или с кем-либо, кому он абсолютно не нужен!

Также помните, что ваш сайт вернётся к использованию wp-admin и wp-login.php, если вы деактивируете этот плагин.

Метод 2: Обновите URL входа в ваш WordPress, отредактировав файл wp-login.php

Этот второй метод немного сложнее и, скорее всего, лучше подходит для опытных пользователей. Поэтому, прежде чем приступить к следующим шагам, лучше всего создать свежую резервную копию WordPress вашего сайта на случай, если что-то пойдет не так.

Также важно знать, что ваши изменения могут вернуться к предыдущим настройкам при обновлении темы. Если вы хотите избежать этой проблемы, узнайте, как использовать дочернюю тему WordPress.

Теперь давайте начнем.

Вам потребуется доступ к файлам вашего сайта, так же как мы это делали ранее, когда искали ваш пользовательский URL для входа. Вы сможете сделать это через административную панель вашего хостинга или через SFTP.

Если это последнее, используйте свои учетные данные для подключения к вашему сайту через выбранный SFTP-клиент и снова найдите файл public_html (он также может быть указан как имя вашего домена). Внутри найдите папку wp-login.php. Здесь находится код страницы входа вашего сайта.

Откройте файл снова с помощью вашего текстового редактора.

Используйте инструмент поиска, чтобы найти каждый экземпляр wp_login_url, который будет выглядеть примерно так:

Строки, следующие за wp_login_url, будут содержать ваш текущий URL для входа. Измените каждую на новый URL для входа, который вы хотите использовать.

Помните, вы можете держать это простым, при условии, что это оригинально (и отличается от стандартного). Например, вам может подойти что-то вроде «access.php» или «wp-new-login».

Когда вы будете довольны изменениями, сохраните их и закройте редактор. Затем переименуйте файл в соответствии с новым выбранным URL (например, «access.php»).

Примечание: Технически вы можете назвать файл как угодно, но отслеживать и запоминать его будет проще, если вы назовете его в соответствии с новым URL, который планируете использовать.

Перетащите файл с рабочего стола в файл public_html .

Теперь вы можете загрузить новый файл в корневой каталог, используя ваш FTP-клиент или файловый менеджер вашего веб-хоста. Мы покажем вам, как это сделать, используя фильтр-хук WordPress «login_url».

Начните с перехода в wp-content > themes, выберите вашу активную тему и откройте файл functions.php (желательно в дочерней теме.) Это указывает WordPress, где находится новый файл входа в систему.

Здесь вы можете вставить следующую строку кода в файл:

/*
*Измените URL файла входа WP с использованием крючка фильтра “login_url”
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}

Замените wp-your-new-login-file-name на имя только что созданного файла. Затем сохраните изменения и протестируйте ваш новый логин.

Вам нужно будет ввести домен вашего сайта с вашим новым URL для входа в конце.

Например: “https://example.com/access.php.”

Если вы смогли получить доступ к странице входа вашего сайта WordPress, это сработало!

И теперь вы можете удалить оригинальный файл wp-login.php, потому что новый файл, который вы добавили, заменил его.

Что-то, о чем стоит помнить – после того как вы обновили страницу входа, вам нужно обновить страницы, которые ссылаются на файл wp-login.php, который мы только что удалили. В частности, вам нужно обновить фильтр logout_url и фильтр lostpassword_url.

4 дополнительных способа защиты процесса входа в WordPress

Изменение вашего URL для входа в WordPress – отличный способ улучшить безопасность вашего сайта. Однако это не все, что вы можете сделать.

Вот несколько дополнительных способов дополнительной защиты вашего процесса входа в WordPress:

1. Ограничить количество попыток входа

Когда вы ограничиваете количество попыток входа, вы можете остановить хакеров и ботов, которые пытаются получить доступ к вашему сайту, пробуя сотни имен пользователей и паролей. Другими словами, это атака методом грубой силы.

Самый простой способ сделать это – использовать плагин, например, Limit Login Attempts Reloaded.

Этот плагин начинает работать сразу после его активации на вашем сайте. По умолчанию у пользователей есть четыре попытки для входа, прежде чем они будут заблокированы в WordPress.

Однако вы можете поэкспериментировать с настройками, изменяя количество попыток, длительность блокировок и многое другое. Административная панель плагина может показать вам, сколько атак методом подбора было заблокировано плагином.

И на вкладке «Журналы» вы можете даже вручную добавить определенные IP-адреса в черный список.

2. Реализуйте двухфакторную аутентификацию (2FA)

2FA является одной из наиболее широко используемых функций безопасности пользователями WordPress.

В этом процессе пользователям необходимо предоставить больше, чем просто учетные данные для входа. Перед входом в систему пользователи также должны сгенерировать второй идентификатор. Часто это код, отправляемый посредством текстового сообщения, электронной почты или приложения.

Поскольку боты и хакеры не могут предоставить второй необходимый удостоверяющий документ, это отличный способ предотвратить несанкционированный доступ к вашему сайту. Один из лучших способов добавить эту функциональность на ваш сайт — использовать плагин, например, miniOrange.

После активации перейдите по новой ссылке miniOrange двухфакторной аутентификации в боковой панели вашего администратора WordPress > Мой аккаунт.

Здесь вам необходимо зарегистрировать аккаунт. Затем вы получите код, который позволит вам подтвердить вашу электронную почту.

Далее, мы рекомендуем следовать инструкциям полезного “Мастера настройки” плагина, чтобы убедиться, что 2FA полностью настроена для всех, кто использует ваш сайт.

3. Использовать CAPTCHA

CAPTCHA или reCAPTCHA от Google обеспечивает дополнительный уровень безопасности для вашего сайта.

Обычно это используется для контроля доступа к чувствительным страницам. Что еще? Это может предотвратить создание спама ботами или доступ к личной информации на вашем сайте через формы заказа или формы входа.

Опять же, использование плагина — это самый простой способ включить эту функцию на вашем сайте. В нашем руководстве по reCAPTCHA мы покажем вам, как запустить его с помощью плагина всего за шесть шагов.

Если вы предпочитаете делать это вручную, это тоже возможно!

4. Применять сложные пароли

Конечно, изменение URL для входа в ваш сайт WordPress – отличная идея, чтобы не использовать легко угадываемый суффикс «admin». Однако ваши усилия будут напрасны, если вы продолжите использовать слабые или повторяющиеся пароли, которые увеличивают риск атаки на ваш аккаунт.

Только 13% людей используют генератор паролей для создания уникальных, высоко защищенных фраз для различных сайтов. Большинство вместо этого используют числа и слова, имеющие для них значение, что делает их более очевидными для хакеров.

Мы рекомендуем использовать Solid Security, плагин WordPress, который может побудить пользователей использовать надежные пароли. Если вас беспокоит, что пароль может быть участвовать в утечке данных, вы также можете использовать Passwords Evolved, который отправляет уведомление, если пароли каких-либо пользователей скомпрометированы

Сейчас лучше всего сбросить ваш пароль в WordPress, если он используется повторно или легко угадывается. В будущем выбирайте длинные пароли, состоящие из букв верхнего и нижнего регистра, цифр и специальных символов. Мы также рекомендуем использовать менеджер паролей, такой как 1Password для дополнительного спокойствия.

Кроме того, важно поощрять использование сложных паролей пользователями, имеющими доступ к вашему сайту. Вы можете уточнить это в приветственном письме, которое пользователи получают при регистрации на вашем сайте.

Бонус: еще больше советов по повышению безопасности WordPress

Как самая популярная система управления содержимым (CMS) на рынке, WordPress понятно также одна из наиболее часто атакуемых.

Мы не говорим это, чтобы отпугнуть вас от использования, а чтобы подчеркнуть важность защиты вашего сайта на WordPress со всех сторон.

Для обеспечения общей безопасности после этапа входа в систему мы рекомендуем еще один мощный плагин для автоматизации процесса: Jetpack.

Обеспечение актуальности вашего SSL/TLS сертификата — лучший способ гарантировать, что важные данные вашего сайта и пользователей зашифрованы. Это также часто оказывает положительное влияние на оптимизацию для поисковых систем (SEO) вашего веб-сайта.

Узнайте, как использовать WordPress плагин Really Simple SSL здесь.

Готовы углубиться в безопасность WordPress еще больше? Ознакомьтесь с нашим руководством Все, что вам нужно знать о безопасности WordPress для изучения дополнительных методов защиты сайта.

Создайте неприступный бизнес с лучшим хостингом WordPress

Один последний, но превосходный способ навсегда улучшить безопасность вашего WordPress?

Сотрудничество с опытным, преданным своему делу веб-хостом.

В DreamHost мы предлагаем широкий спектр решений для всех видов пользователей, сайтов и потребностей в области безопасности.

Наши пакеты управляемого хостинга WordPress отлично подходят для владельцев и операторов малого бизнеса, предпочитающих не вмешиваться в процесс, а наши опции управляемого VPS-хостинга идеальны, когда вы готовы к масштабированию.

Изучите все наши планы хостинга, чтобы выбрать наиболее подходящий для вас! А заодно ознакомьтесь с DreamCare, чтобы получить профессиональный мониторинг безопасности, отчетность и обслуживание, что позволит вам исключить это из вашего списка дел для бизнеса.

На этой странице содержатся партнерские ссылки. Это означает, что мы можем получить комиссию, если вы приобретете услуги по нашей ссылке без дополнительных расходов для вас.