Как скрыть адрес админки WordPress — простой способ. Как защитить вход в админку WordPress? Примитивные меры и WPS Hide Login Сделать скрытую страницу в wordpress

Добрый день!

Сегодня я расскажу вам как скрыть страницу в WordPress.

Под скрытием страницы имеется в виду исключение её из общего списка страниц при выводе. Но это не означает, что эта страница не будет индексироваться поисковыми роботами. Т.е., если робот узнает об этой странице, то обязательно её проиндексирует. Это может произойти если где-то на сайте будет ссылка на эту скрытую страницу или вы или кто-то другой известит поисковик об этой странице. Вообщем, если вам нужно скрыть страницу именно от роботов, то для этих целей используйте файл .

Для чего может применяться скрытие страницы из списка вывода?

Например, при подключении поиска Яндекс или Google по сайту. Для вывода результатов поиска на сайте вам понадобится страница. По умолчанию, она будет пустой и прямой переход на неё вам не нужен.

Или, просто, у вас есть страницы, на которые вы хотите ссылаться с других страниц, но не с главной. Также, можно часть ссылок на страницы выводить в хедере, а другую часть – в футере или сайдбаре.

Ранее, я писал . Страница скрывается аналогичном способом, только для вывода списка страниц используется функция wp_list_pages .

Как узнать id страницы WordPress

Для того, чтобы скрыть страницу нам понадобится узнать её порядковый номер, который присвоен странице в базе данных (идентификатор или просто id).

Для этого и перейдите в раздел Страницы .

В списке страниц наведите курсор мыши на название той страницы, id которой нужно узнать.

В браузере внизу в информационной строке вы увидите url-адрес ссылки такого типа:

http://сайт/wp-admin/post.php?post=192&action=edit

Найдите в этой строке значение параметра post . В данном случае post=192 – это и есть id страницы. Т.е. в данном примере id страницы равно 192.

Также, чтобы увидеть этот url-адрес, можно нажать на ссылку редактирования страницы и тогда нужный url будет уже вверху в адресной строке браузера.

Еще, id страницы WordPress можно узнать непосредственно в базе данных в таблице wp_posts . Все записи, у которых post_type = "page" – это страницы. Т.е. получить список всех страниц можно следующим SQL-запросом: .

В поле ID хранится нужный нам идентификатор.

Как скрыть страницу в WordPress

Теперь, когда мы знаем id страницы, можем приступить непосредственно к скрытию этой страницы.

Список страниц в WordPress выводится с помощью функции wp_list_pages .

Откройте файл /wp-content/themes/ваш_шаблон/header.php и найдите в нем вызов функции wp_list_pages .

Вот какой код был в моем header.php:

Если вам нужно скрыть несколько страниц, то перечислите их id через запятую.

На самом деле на сегодняшний день существует большое количество причин, по которым вам стоит закрыть от лишних глаз страницу авторизации сайта на движке WordPress. Одной из самых главных и весомых причин станет то, что закрыв от любого желающего страницу авторизации, вы сможете защитить свой сайт от несанкционированного доступа – взлома.

Ведь сегодня в интернете очень много мошенников, которые с помощью специальных программ методом перебора паролей или поиска уязвимостей смогут получить доступ к вашему аккаунту администратора. Конечно, от эксперта по взлому сайтов на WordPress вы не сможете с полной уверенностью на 100% защититься, но это поможет вам сберечь свои нервы от дилетантов-любителей.

Также, некоторые прибегают к методу проверки вашего сайта, автоматически вписывая после URL адреса строку /wp-admin, и если злоумышленнику это удастся сделать – то он будет точно знать куда «копать» и на какие уязвимости вашей CMS стоит обращать большее внимание.

Такие программы мошенники частенько используют для того, чтобы, например, узнать сведения о версии установленной на ваш сайт системы WordPress или любой другой CMS, так как в более старых сборках присутствуют конкретные ошибки и уязвимости, с помощью которых злоумышленнику возможно будет произвести взлом не только вашей информации для входа в панель администрирования сайтом, но и для более глубоко и детального доступа.

Например, мошенник сможет наполнить ваш сайт вирусами или своей навязчивой рекламой, а может и вовсе скопировать себе конфиденциальные данные о ваших клиентах, завладеть базой данных с заказами, почтами зарегистрировавшихся, узнать их логин и пароль.

Установим плагины, повышающие безопасность сайтов, сразу же после загрузки движка на хостинг https://s-host.com.ua . В первую очередь мы изменим спрячем страницу входа в админку веб-портала, изменив стандартный путь к ней (домен/wp-admin).

Установка плагина

Для того, чтобы задать странице новый адрес, мы будем использовать WPS Hide Login - простой, но при этом весьма функциональный плагин. Его преимущество заключается в отсутствие дополнительных настроек.

По сути, вам нужно только перейти на страницу “Консоль”/”Плагины”/”Добавить новый”, а затем воспользоваться поиском. Найдите WPS Hide Login, чтобы установить и активировать его.

Изменение страницы входа в админку WordPress

После установки и активации плагина он появится в списке всех расширений на странице “Консоль”/”Плагины” (обратите внимание на то, что в общем меню плагин не выводится).
Теперь кликните на кнопку Settings под плагином:

Оказавшись на странице “Настройки”/”Общие” вам остается найти блок WPS Hide Login и внести корректировки.

Так, в Login url представлено два поля: первое статичное - ваш домен (изменить нельзя), второе - поле для заполнения (по умолчанию предлагается вариант login).
Впишите желаемый адрес админки и сохраните изменения:

Теперь, если вы перейдете по адресу ваш-сайт/wp-admin, то ничего, кроме уведомления об ошибке не увидите:

Вы наверняка уже знаете как можно попасть в админку WordPress?

Сделать это можно как минимум четырьмя способами, добавив к адресу вашего сайта следующее:

/admin, т.е. так: http://вашсайт/admin
/wp-admin
/login
/wp-login.php

В общем-то, все три первых варианта редиректом (перенаправлением) приведут вас всё равно на страницу: http://ваш_сайт/wp-login.php

Получается, что любой желающий сможет добавить к адресу Вашего сайта любую из четырёх выше описанных приставок и увидит вход админку:

Конечно же, это совсем не значит что этот любой желающий сможет также легко попасть в админку, ведь ему нужно еще знать Имя пользователя или Ваш e-mail и Ваш пароль.

Если Ваш пользователь-администратор имеет логин: – то это совсем не осмотрительно с Вашей стороны и злоумышленнику останется только угадать или подобрать Ваш пароль.

Кроме того, вы увидели надпись: Имя пользователя или e-mail ? Да, да, именно e-mail WordPress может использовать как Имя пользователя. А Вы ведь могли где-нибудь на сайте указать E-mail адрес, который совпадает с E-mail пользователя-администратора. Получается первое, что может попробовать злоумышленник – это ввести Ваш E-mail и тут WordPress ему снова поможет, ведь если E-mail не подходит он увидит такое сообщение:

а если E-mail правильный, WordPress-напишет что пароль для него не верный:

В итоге, мы имеем ситуацию при которой потенциальному злоумышленнику для взлома Вашего сайта (доступа в админку) нужно будет только угадать или подобрать Ваш пароль.

Как же защитить вход в админку от потенциальной угрозы? Ответ прост – постараться увеличить количество неизвестных, необходимых для входа.

А теперь давайте подробнее:

По возможности, сделайте так чтобы E-mail пользователя-администратора на сайте нигде не упоминался – публичный E-mail должен быть каким-нибудь другим.
Ваш пароль должен быть не простым, при установке WordPress сам генерирует для вас сложный пароль, если не хотите его использовать придумайте какой-нибудь более менее сложный пароль, включающий в себя маленькие и большие символы, цифры и какие-нибудь символы типа -, ?, _ и т.д.
Имя Вашего пользователя тоже не должно быть простым, никаких: admin, manager, root, administrator, user и прочих простейших слов!
И наконец, нужно ввести третью самую главную неизвестную – поменять URL-адрес входа в админку, для этого установите простой плагин: WPS Hide Login

WPS Hide Login

Простой, бесплатный и довольно популярный плагин, позволяющий изменить URL-адрес входа в админку.

После установки и активации плагина, вам нужно перейти в раздел админки: Настройки / Общие , далее прокрутить страницу до самого низа и увидеть всего один параметр добавляемый этим плагином:

По умолчанию плагин предлагает использовать вход http://вашсайт/login – но это отнюдь не самый лучший вариант! Придумайте что-нибудь своё, например: yyy12_go )))

После изменения этого параметра не забудьте нажать на кнопку Сохранить изменения – иначе при активном плагине у вас будет вход через http://вашсайт/login

Обязательно попробуйте выйти и снова зайти в админку, но уже по новому адресу входа, который вы сами придумали и главное не забудьте его!

После изменения точки входа в админку, при попытке зайти по стандартным URL-адресам пользователь будет получать 404 страницу ошибки.

Внимание! Если вдруг Вы забудете новый адрес входа в админку, вам нужно будет отключить данный плагин. Сделать это можно не попадая в админку при наличии доступа к папкам и файлам сайта. Нужно просто переименовать или удалить папку плагина wps-hide-login, которая будет в папке plugins (папка plugins находится в папке wp-content).

В итоге: после применения всех выше перечисленных мер мы должны получить защиту входа в админку с тремя неизвестными: E-mail / Имя пользователя, сложный пароль и свой уникальный URL-адрес входа – а это может значительно усложнить потуги юных хакеров)

Мы, конечно же, горячо любим и гордимся Wordpress, но бывают случаи, когда лучше скрыть тот факт, что наш сайт работает на этой платформе. Периодически в ней (а также в темах или плагинах) обнаруживаются критические уязвимости в части безопасности, так зачем же давать злоумышленнику лишнюю подсказку в поисках бреши?

В этом обзоре я хочу рассказать о некоторых, лучших на мой взгляд, плагинах, которые надежно спрячут страницу входа в админпанель Wordpress . Это послужит еще одним барьером против некоторых грубых атак. Таким образом, если кто-то зайдет по адресу.../wp-admin или.../wp-login. , то получит ошибку 404 . А вы сможете задать странице входа другой адрес .

Среди рассматриваемых плагинов есть платные и бесплатные продукты, но я рекомендую использовать плагины премиум-класса, в частности самый популярный и продаваемый плагин Hide My WP.

Hide My WP

Hide My WP защищает от популярных грубых атак на Wordpress сайты . Он контролирует доступ к PHP файлам и блокирует 90% XSS и SQL-Injection атак. Кроме того, он сделает ваш сайт незаметным для некоторых Wordpress-ориентированных ботов.
В общем, Hide My WP относится к категории must have и однозначно стоит своих денег!

Стоимость: $23

Modal Log In for WordPress

Этот плагин не только скрывает стандартную форму входа в админпанель Wordpress , но и предлагает не менее функциональную альтернативу в виде модальной формы на базе .
Из других, заслуживающих внимание функций, стоит отметить:

Обновление плагина из админпанели Wordpress
Редактор , совместимый с и планшетными устройствами
Простой и ясный интерфейс
Перенаправление на другую страницу после авторизации
Admin и login rewrite (установка альтернативных адресов)
Активация режима «Сайт на реконструкции»

Стоимость: $21

Lockdown WP Admin

Lockdown WP Admin делает недоступным административный каталог /wp-admin/ для незалогиненого пользователя. Попытка напрямую перейти в этот каталог приведет к ошибке 404. Сам же URL для входа может быть изменен при помощи этого же плагина.

Стоимость: Бесплатно

WPS Hide Login

WPS Hide Login - очень легкий плагин, позволяющий быстро и безопасно изменить адрес входа в админпанель Wordpress . При этом плагин не изменяет и не переименовывает системные файлы и не устанавливает правила переадресации. Он просто перехватывает обращения к соответствующим страницам. При деактивации плагина Wordpress возвращается к первоначальному состоянию.

Стоимость: Бесплатно

Всем привет! Сегодня я расскажу о защите вашего блога или сайта на WordPress, а именно, о том, как скрыть адрес входа в админку сайта. Если вы уже искали в интернете статьи на темы: защита админки wordpress, скрыть админку wordpress и т.д., то наверняка вы видели везде одно и то же, это либо использовать различные плагины, либо заменять стандартный файл wp-login.php другим файлом с другим названием. Однако использование плагинов замедляет работу сайта, а замена файла wp-login.php не приводит к нужному результату, поскольку адрес http://ваш-сайт/wp-admin всегда перебросит на форму входа на сайт, причём в адресной строке будет прописан ваш заменённый wp-login.php.

Поэтому в этой статье вы увидите простой и универсальный способ скрыть адрес админки WordPress.

Итак, начнём. Суть способа заключается так же в замене файла wp-login.php, но сам файл останется, при запросе к нему будет выдаваться 404 ошибка. Например, изменим адрес входа в админку на adminka.php.

Открываем файл wp-login.php с помощью любого редактора, например, Notepad++. Чтобы открыть поиск слов нажимаем сочетание клавиш Ctrl + F. Выбираем вкладку «Заменить» и заменяем все слова wp-login.php на adminka.php, нажав на кнопку «Заменить всё». Затем сохраняем этот файл, так же назвав его adminka.php. Теперь можем загрузить его в директорию сайта.

У нас теперь есть по сути два файла для входа: первый — это стандартный wp-login.php, второй — это наш adminka.php. Также пока ещё будет работать вход по адресу wp-admin.

Если вы читали какие-то уже статьи по скрытию админки WordPress, то наверняка видели, что после этого шага изменяется ещё файл general-template.php в папке wp-includes. Проблема при таком способе заключается в том, что при обновлении WordpPress обновляется и данный файл, а также, если в способе удаляется или делается пустым файл wp-login.php, этот файл так же обновляется и всё приходится делать по новой, чтобы админка снова была доступна только по вашему адресу.

Я нашёл иной способ и он универсален, так как не зависит от обновлений WordPress.

Суть способа проста: нужно добавить код, который ниже, в файл functions.php вашей темы сразу после открывающего php тега. С помощью данного кода мы будем выдавать 404 ошибку при обращении по адресам wp-admin и wp-login.php, а также сделаем рабочими кнопки входа, выхода и восстановления пароля. Заметьте, что регистрация работать не будет, поэтому этот вариант подойдет только, если вы единственный пользователь вашего сайта и регистрация у вас запрещена. Иначе какой смысл менять адрес входа, если все его всё равно будут знать .

Напоминаю, наш новый адрес админки adminka.php, поэтому вначале мы определяем константу ADMIN_URL с данным значением.

Define("ADMIN_URL", "adminka.php"); add_action("init", "redirect_login_page"); add_filter("login_url", "new_wp_login_url", 10, 3); add_filter("logout_url", "new_wp_logout_url", 10, 2); add_filter("lostpassword_url", "new_wp_lostpassword_url", 10, 2); function redirect_login_page() { $page_viewed = $_SERVER["REQUEST_URI"]; if (strpos($page_viewed, "wp-login.php") !== false || (is_admin() && !(current_user_can("administrator") || current_user_can("super admin")) && !(defined("DOING_AJAX") && DOING_AJAX))) { global $wp_query; $wp_query->set_404(); status_header(404); get_template_part("404"); exit; } } function new_wp_login_url($redirect = "", $force_reauth = false) { $login_url = site_url(ADMIN_URL, "login"); if (!empty($redirect)) $login_url = add_query_arg("redirect_to", urlencode($redirect), $login_url); if ($force_reauth) $login_url = add_query_arg("reauth", "1", $login_url); return $login_url; } function new_wp_logout_url() { $args = array("action" => "logout"); $logout_url = add_query_arg($args, site_url(ADMIN_URL, "login")); $logout_url = wp_nonce_url($logout_url, "log-out"); return $logout_url; } function new_wp_lostpassword_url() { $args = array("action" => "lostpassword"); $lostpassword_url = add_query_arg($args, network_site_url(ADMIN_URL, "login")); return $lostpassword_url; }

Вот и всё! Таким простым способом мы защитили вход в админку нашего сайта, тем самым мы запретили злоумышленникам доступ к нашей админке. Теперь они даже не смогут подобрать пароль, пока не узнают адрес входа. Однако у этого способа тоже есть минус, но не такой значительный. Данный способ будет работать только с текущей темой, хотя вы всегда можете написать данный код в собственный небольшой плагин и тем самым избавиться от этого минуса.