Доброе время суток!
Сегодняшний обзор будет посвящен безопасности вашего блоге, сайта который работает на движке wordpress. Ранее я уже публиковал статьи, как запретить пользователям доступ к странице wp-admin по айпи тут и как заблокировать пользователя, который пытается подобрать пароль к вашему блогу здесь. Данный способ будет еще эффективнее мы вообще спрячем вход в админку от посторонних глаз, разумеется вы будите знать.
Прячем вход wp-admin и wp-login на блоге
Итак, приступим.
Первая и основная наша задача это спрятать всем известный вход в админ. панель wordpress блога
http://fin-dolg.ru/wp-admin
http://fin-dolg.ru/wp-login.php
1. Заходим через FTP в корневую папку сайта и находим там файл wp-login.php копируем его (сделайте резервную копию) на свой ПК на рабочий стол.
2. Переименуйте его на свое усмотрение (к примеру, 12345.php)
3. Открываем данный файл в блокноте, лучше работать Notepad++ в нем много всяких полезностей, сейчас увидите.
- 1. Переименованный файл wp-login.php на 12345.php
- 2. Поиск – присутствует в Notepad++ и упрощает вам работу.
- 3.Замена.
- 4. Прописываем wp-login.php (так как мы его будем менять)
- 5. Заменить на – вписываем наш файл 12345.php
- 6. Нажимаем – заменить все.
- 7. Показано количество изменений (в данном случаи 12 замен с wp-login.php на 12345.php).
- 8. Сохранить.
Сохраненный файл 12345.php закачиваем обратно на сайт, а файл wp-login.php — удаляем.
2. Перемещаемся в пакту wp-includes находится там же в корневой пакте сайта и находим файл general-template.php копируем его на ПК и открываем в редакторе Notepad++
Делаем 8 действий, как и с файлом wp-login.php. Только учтите, данный файл не нужно переименовывать он остается с названием general-template.php меняем только содержимое файла.
Также в данном файле строка 334 остается без изменений, функция:
334 335 | function wp_login_url($redirect = '', $force_reauth = false) { $login_url = site_url('wp-login.php', 'login'); |
Закидываем файл обратно на сайт, попросит запрос «заменить» соглашаемся.
3. В корневой папке сайта находим файл .htaccess копируем на ПК, открываем и в самом начале прописываем ниже приведенный код
<files wp-login.php> Order Deny,Allow Deny from all </files> |
Благодаря данному коду мы снимаем нагрузку, при вводе мошенником запрос к админки (http://fin-dolg.ru/wp-login.php ) будет выдаваться ошибка 403 Forbidden «запрещено» You don’t have permission to access «У вас нет прав».
Также при запросе http://fin-dolg.ru/wp-admin также сработает ошибка 403 Forbidden.
Вот таким простым способом мы спрятали вход админки wp-admin и wp-login.php от сторонних глаз.
Удачи!
Сайта пока своего нет, но информация полезная, возьму на заметку.
Добрый день!
При регистрации «бота», действительно выдает ошибку, но в DASHBOARD-USERS попадает запись о попытке.