Як знайти URL для входу в WordPress та оновити його для забезпечення безпеки

Сильні, унікальні паролі можуть допомогти запобігти несанкціонованому доступу до WordPress сайту вашого малого бізнесу.

Проте, нападники мають кілька хитрих способів обходу цих заходів.

Як і нестримні молоді люди, які здаються більш винахідливими за всі ваші спроби їх обмежити, зловмисники знають, як виконувати атаки грубої сили та знаходити таємні входи через менш захищені плагіни.

І ось, вони вже на вашому сайті, крадуть дані швидше, ніж маленька дитина може витягнути і спустошити всі шухляди у вашій кухні (тобто, надзвичайно швидко).

Іншими словами, паролі часто недостатньо для належного захисту вашого сайту від атак.

На щастя, є відносно простий спосіб зменшити ризик проникнення хакерів на ваш сайт — перенесення вашої сторінки входу WordPress на нову URL-адресу. Це поставить вас у краще становище для захисту від зломів та атак.

Якщо ви не дуже обізнані з WordPress, це, ймовірно, не матиме для вас багато сенсу. Саме тому ця стаття детальніше розгляне, чому вам слід розглянути можливість зміни вашої URL-адреси входу в WordPress, як знайти вашу URL-адресу входу, якщо ви втратили її, і, що найважливіше — кілька способів її модифікації для підвищення безпеки.

І якщо ви залишитесь з нами до самого кінця, ми також включимо список додаткових порад для подальшого посилення безпеки вашого WordPress.

Забезпечимо безпеку!

Чому вам слід оновити стандартну URL-адресу входу в WordPress

Оскільки WordPress не приховує свою сторінку входу, будь-який користувач може її знайти, якщо знає, як WordPress структурує свої URL-адреси. Враховуючи, що WordPress становить майже половину всіх веб-сайтів в інтернеті, можна припустити, що багато людей — особливо тих, хто знає, як експлуатувати веб-сайти — дуже добре знайомі зі звичайним макетом WordPress.

Стандартна структура сторінки входу зазвичай виглядає приблизно так:

https://example.com/wp-login.php

Це означає, що коли користувач вводить URL вашого веб-сайту в поле, де написано “https://example.com/,” вони повинні побачити сторінку у своєму браузері, яка вимагає увійти до backend вашого веб-сайту:

Звичайно, більшість хакерів, ймовірно, не матимуть необхідних облікових даних для входу. Проте, ця структура все ще ризикована, якщо ваш пароль поширений, слабкий або легко передбачуваний. Наприклад, 123456.

Просто кажучи, це легкий спосіб усунути непотрібну вразливість.

Для простоти багато людей воліють залишитися з цією стандартною структурою wp-login для входу в WordPress, але її незмінність полегшує хакерам доступ до вашої зони входу, що є ніби виконанням половини їхньої роботи за них.

WPScan виявив, що WordPress має понад 50,000 уразливостей у 2024 році. Велика більшість з них знаходиться у плагінах WordPress, і щороку виявляють сотні, якщо не тисячі нових.

Коротко кажучи, настав час посилити безпеку вашого вебсайту.

Досяжним способом це зробити є зміна URL вашого входу в WordPress для запобігання несанкціонованому доступу на ваш сайт та зменшення ризику атак методом «грубої сили».

Ось як знайти стандартну сторінку входу в WordPress

Дивіться, ми розуміємо, що у вас багато справ. Коли у вас мільйон справ на плечах як у власника малого бізнесу, загубити URL для входу в WordPress не є незвичним.

Як ми згадували у попередньому розділі, WordPress використовує стандартну структуру посилання для входу, яка виглядає приблизно так:

https://example.com/wp-login.php

Отже, все, що вам потрібно зробити, це додати суфікс (ця частина: wp-login.php) до вашого домену, і ви повинні потрапити на свою сторінку входу.

Ви також можете знайти свою сторінку входу, спробувавши відкрити свою панель керування WordPress під час виходу з системи. Просто введіть “yourwebsite.com/admin” або “yourwebsite.com/login” у рядок пошуку, і ви маєте потрапити на ту ж сторінку входу.

Не працює? Не панікуйте.

Деякі веб-хости автоматично змінюють сторінку входу у WordPress з міркувань безпеки. Тому у вас може вже бути власна URL-адреса входу. Якщо так, ми покажемо вам, як її знайти прямо зараз.

Індивідуальна URL-адреса входу? Ось як її знайти

Якщо ваш веб-хост змінив посилання для входу, ви зазвичай можете знайти його у своїй панелі керування після входу в свій хостинговий обліковий запис.

Однак, якщо ви не можете знайти свою URL-адресу для входу там, ви все ще можете знайти її вручну, підключившись до свого сайту за допомогою клієнта SFTP на кшталт FileZilla.

Ви можете знайти облікові дані для цього у своєму хостинг-акаунті або запитати у вашого хостинг-провайдера деталі.

Після встановлення клієнта та підключення за допомогою цих облікових даних, ви повинні потрапити на сторінку, що виглядає приблизно так:

Знайдіть кореневу папку під міткою public_html (ви можете побачити її вище праворуч на екрані) та клацніть, щоб знайти файл wp-config.php. Якщо ви не можете знайти її як public_html, вона може бути перелічена як ваше доменне ім’я.

Відкрийте цей файл на своєму комп’ютері за допомогою текстового редактора, наприклад, Visual Studio Code. Найкраще використовувати опцію, яка надає інструмент пошуку та заміни. Використовуйте цей інструмент, щоб знайти рядок коду, що містить site_url — це направить вас до вашої власної URL-адреси для входу.

Бум, ви це знайшли! Тепер давайте оновимо цю URL-адресу для кращої безпеки.

Дві стратегії зміни URL-адреси входу у WordPress

Тепер, коли ви знаєте, де знайти URL для входу в WordPress, давайте розглянемо два простих способи, як ви можете його змінити.

Метод 1: Оновіть URL входу в WordPress за допомогою плагіна

Найпростіший спосіб змінити URL для входу – використовувати WordPress plugin. На щастя, є багато таких, що допоможуть це зробити.

WPS Hide Login є чудовим варіантом, оскільки він легкий і дозволяє безпечно змінити сторінку входу адміністратора WordPress на будь-яку, яку ви хочете. Крім того, WPS Hide Login також запобігає доступу всіх користувачів, які вийшли з системи, до директорії wp-admin та wp-login.php.

Щоб розпочати, вам потрібно встановити та активувати плагін, перейшовши до вашої адміністративної зони WordPress. Клікніть на Plugins > Add New Plugin.

Знайдіть “WPS Hide Login” та натисніть кнопку Встановити зараз. Залишайтеся на цій сторінці, поки триватиме інсталяція, потім використовуйте кнопку Активувати.

Після активації, у бічній панелі вашого адміністратора WordPress, перейдіть до Налаштувань > WPS Hide Login.

Ви побачите, що можете створити нову URL-адресу для входу. Введіть будь-що, що вам подобається, та натисніть Зберегти зміни.

Це так просто.

Майте на увазі, що як тільки цей плагін буде активовано і ви внесете свої зміни, використання нового URL буде єдиним способом доступу до екрану входу на ваш сайт.

Тож не втрачайте це посилання. І не діліться ним публічно чи з тими, кому воно абсолютно не потрібне!

Також пам’ятайте, що ваш сайт повернеться до використання wp-admin та wp-login.php, якщо ви деактивуєте цей плагін.

Метод 2: Оновіть URL вашого входу в WordPress, редагуючи файл wp-login.php

Цей другий метод трохи складніший і, ймовірно, найкраще підходить для досвідчених користувачів. Тому, перш ніж розпочати наступні кроки, краще створити свіжу резервну копію WordPress вашого сайту на випадок, якщо щось піде не так.

Також важливо знати, що ваші зміни можуть повернутися до попередніх налаштувань, коли ви оновите свою тему. Якщо ви хочете уникнути цієї проблеми, дізнайтеся, як використовувати дочірню тему WordPress.

Тепер, зануримося в це.

Вам потрібно отримати доступ до файлів вашого сайту, як ми це робили раніше, коли шукали вашу спеціальну URL для входу. Ви зможете зробити це через адміністративну панель вашого хостингу або через SFTP.

Якщо це другий варіант, використовуйте свої облікові дані для підключення до свого сайту через обраний клієнт SFTP, і знову, знайдіть файл public_html (знову, він може бути позначений як назва вашого домену.) Всередині знайдіть папку wp-login.php. Тут знаходиться код сторінки входу вашого сайту.

Відкрийте файл за допомогою вашого текстового редактора знову.

Скористайтеся інструментом пошуку, щоб знайти кожен випадок wp_login_url, який виглядатиме приблизно так:

Рядки, що йдуть за wp_login_url, міститимуть ваш поточний URL входу. Змініть кожен на новий URL входу, який ви хочете використовувати.

Пам’ятайте, ви можете тримати це простим, доки це оригінально (і відрізняється від стандартного). Наприклад, вам може бути до вподоби щось на кшталт «access.php» або «wp-new-login».

Як тільки ви будете задоволені своїми змінами, збережіть їх та закрийте редактор. Потім перейменуйте файл відповідно до нової URL-адреси, яку ви обрали (наприклад, «access.php»).

Примітка: Технічно ви можете назвати файл як завгодно, але його легше відстежувати та пам’ятати, якщо назвати його відповідно до нової URL-адреси, яку ви плануєте використовувати.

Перетягніть файл з робочого столу в файл public_html .

Тепер ви можете завантажити новий файл у кореневий каталог за допомогою вашого FTP-клієнта або файлового менеджера вашого веб-хоста. Ми покажемо вам, як це зробити, використовуючи WordPress “login_url” filter hook.

Почніть з переходу до wp-content > themes, виберіть вашу активну тему і відкрийте файл functions.php (бажано у дочірній темі.) Це покаже WordPress, де розташований новий файл входу.

Тут ви можете вставити наступний рядок коду у файл:

/*
*Змініть URL файлу входу WP за допомогою фільтру “login_url”
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-your-new-login-file-name.php’, ‘login’ );
return $login_url;
}

Замініть wp-your-new-login-file-name на назву файлу, який ви щойно створили. Потім збережіть зміни та протестуйте ваш новий вхід.

Вам потрібно ввести домен вашого сайту з новою URL-адресою входу в кінці.

Наприклад: “https://example.com/access.php.”

Якщо ви можете отримати доступ до сторінки входу вашого сайту WordPress, це спрацювало!

А тепер ви можете видалити оригінальний файл wp-login.php, оскільки новий файл, який ви додали, замінив його.

Щось, що варто пам’ятати – як тільки ви оновили свою сторінку входу, вам потрібно оновити сторінки, які посилаються на файл wp-login.php , який ми щойно видалили. Зокрема, вам потрібно оновити logout_url фільтр та lostpassword_url фільтр.

4 додаткові способи захисту процесу входу в WordPress

Зміна URL-адреси входу у ваш WordPress є чудовим рішенням для посилення безпеки вашого сайту. Однак, це не все, що ви можете зробити.

Ось деякі додаткові способи додаткового захисту вашого процесу входу в WordPress:

1. Обмеження спроб входу

Коли ви обмежуєте спроби входу, ви можете зупинити хакерів та ботів, які намагаються отримати доступ до вашого сайту, спробувавши сотні імен користувачів та паролів. Іншими словами, атака грубою силою.

Найпростіший спосіб зробити це – використовувати плагін, наприклад Limit Login Attempts Reloaded.

Цей плагін починає працювати відразу після його активації на вашому сайті. За замовчуванням користувачі мають чотири спроби для входу, перш ніж вони будуть заблоковані у WordPress.

Проте ви можете поекспериментувати з налаштуваннями, змінюючи кількість спроб, тривалість блокувань і більше. Панель керування адміністратора плагіна може показати вам, скільки атак методом “грубої сили” було заблоковано плагіном.

А в закладці “Логи” ви навіть можете вручну додати до чорного списку конкретні IP-адреси.

2. Впровадіть двофакторну аутентифікацію (2FA)

2FA є однією з найбільш широко використовуваних функцій безпеки, яку застосовують користувачі WordPress.

У цьому процесі користувачам необхідно надавати більше, ніж просто свої дані для входу. Перед входом користувачам також потрібно створити другий обліковий запис. Це часто код, який надсилається через текстове повідомлення, електронну пошту або додаток.

Оскільки боти та хакери не можуть згенерувати другий необхідний креденціал, це чудовий спосіб запобігти несанкціонованому доступу до вашого сайту. Один із найкращих способів додати цю функціональність на ваш сайт – використовувати плагін, як от miniOrange.

Після активації перейдіть до нового посилання двофакторної аутентифікації miniOrange у бічній панелі вашого адміністратора WordPress > Мій обліковий запис.

Тут вам потрібно буде зареєструватися для отримання облікового запису. Потім ви отримаєте код, який дозволить вам підтвердити вашу адресу електронної пошти.

Далі ми рекомендуємо слідувати “Майстру налаштування” плагіна, щоб переконатися, що 2FA повністю налаштовано для всіх, хто використовує ваш сайт.

3. Використовуйте CAPTCHA

CAPTCHA або reCAPTCHA від Google забезпечує додатковий рівень безпеки для вашого веб-сайту.

Зазвичай, це використовується для контролю доступу до чутливих сторінок. Що ще? Це може запобігти Bot від створення Spam або доступу до особистої інформації на вашому вебсайті через форми замовлень або форми входу.

Знову ж таки, плагін — це найпростіший спосіб активувати цю функцію на вашому сайті. У нашому посібнику до reCAPTCHA, ми покажемо вам, як налаштувати його за допомогою плагіну всього за шість кроків.

Якщо ви бажаєте зробити це вручну, це також можливо!

4. Використовуйте надійні паролі

Звичайно, зміна URL для входу на ваш сайт WordPress є чудовою ідеєю, щоб ви не використовували легко вгадуване додавання “admin”. Однак, ваші зусилля будуть марними, якщо ви продовжуєте використовувати слабкі або повторювані паролі, що піддають ваш акаунт більшому ризику атаки.

Лише 13% людей використовують генератор паролів для створення унікальних, високо захищених фраз для різних вебсайтів. Більшість замість цього використовує числа та слова, що мають для них значення, що робить їх більш очевидними для хакерів.

Ми рекомендуємо використовувати Solid Security, плагін WordPress, який може спонукати користувачів використовувати надійні паролі. Якщо ви турбуєтеся про те, що пароль може бути частиною витоку даних, ви також можете використовувати Passwords Evolved, який надсилає сповіщення, якщо будь-які паролі користувачів були скомпрометовані

Зараз найкраще скинути ваш пароль на WordPress, якщо він використовується повторно або легко вгадується. Надалі вибирайте довгі паролі з великими та малими літерами, поєднуючи їх з цифрами та спеціальними символами. Ми також рекомендуємо використовувати менеджер паролів, наприклад 1Password для додаткового спокою.

Крім того, важливо заохочувати користувачів з доступом до вашого сайту використовувати надійні паролі. Ви можете уточнити це у привітальному листі, який користувачі отримують після реєстрації на вашому сайті.

Бонус: Ще більше порад для підвищення безпеки WordPress

Як найпопулярніша система управління контентом (CMS) на ринку, WordPress, зрозуміло, також одна з найчастіше атакованих.

Ми не кажемо це, щоб вас лякати або відмовитися від його використання, а лише для того, щоб ви усвідомили важливість захисту вашого сайту WordPress з усіх боків.

Для загальної безпеки після фази входу ми рекомендуємо ще один потужний плагін для автоматизації процесу: Jetpack.

Переконайтеся, що ваш SSL/TLS сертифікат оновлено, це найкращий спосіб забезпечити шифрування важливих даних сайту і користувача. Це також часто позитивно впливає на оптимізацію для пошукових систем (SEO) вашого вебсайту.

Дізнайтеся, як користуватися плагіном WordPress Really Simple SSL тут.

Готові поглибити свої знання в безпеці WordPress? Ознайомтеся з нашим путівником Все, що вам потрібно знати про безпеку WordPress для вивчення ще більше методів захисту сайту.

Створіть непробивну бізнес-структуру з найкращим хостингом WordPress

Останній, але чудовий спосіб посилити безпеку вашого WordPress назавжди?

Співпраця з досвідченим, відданим веб хостом.

У DreamHost ми пропонуємо різноманітні рішення, що підходять для всіх типів користувачів, вебсайтів та потреб у безпеці.

Наші керовані пакети хостингу WordPress чудово підходять для власників та операторів малого бізнесу, які не хочуть вникати у деталі, а наші опції керованого VPS хостингу ідеально підходять, коли ви готові до розширення.

Вивчіть всі наші хостинг плани, щоб вибрати найкращий для вас! І, поки ви за цим займаєтеся, перегляньте DreamCare, щоб отримати професійний моніторинг безпеки, звітність та обслуговування, так що ви можете викреслити це зі свого ділового списку справ.

Ця сторінка містить партнерські посилання. Це означає, що ми можемо отримати комісію, якщо ви придбаєте послуги через наше посилання без будь-яких додаткових витрат для вас.