LH.pl · Dział pomocy
Zabezpieczenie strony internetowej opartej na WordPressie jest niezwykle ważne dla każdego właściciela witryny. Jednym z fundamentalnych i często pomijanych elementów zabezpieczenia jest adres strony logowania. Pozostawienie tego adresu bez zmian może otwierać drogę do potencjalnych niebezpieczeństw.
Domyślny adres logowania do WordPressa, zazwyczaj kończący się na /wp-admin lub /wp-login.php. Oczywiście, sam dostęp do tego adresu nie stanowi niebezpieczeństwa – koniec końców, aby ktoś mógł faktycznie zalogować się do panelu zarządzania stroną, musi znać Twój login oraz hasło. Niemniej jednak, domyślne adresy logowania WordPressa są dobrze znane hakerom i osobom próbującym uzyskać nieautoryzowany dostęp do witryn. Mogą oni próbować wykorzystać formularz logowania do przeprowadzania ataków, np. brute force, których celem jest odgadnięcie hasła poprzez automatyczne i nieustanne próby logowania.
Dlaczego warto zmienić adres logowania do WordPressa?
Adres logowania można, a nawet powinno się zmienić. Może być to podyktowane chęcią nadania mu bardziej przyjaznej formy np. www.adresdomeny.pl/zaloguj
Drugim – moim zdaniem ważniejszym – aspektem jest kwestia bezpieczeństwa WordPressa. Najpopularniejsze skrypty dokonujące ataków brute force wykorzystują właśnie ścieżkę /wp-admin. Każda próba wejścia na ten adres przez bota powoduje zużycie zasobów serwera i w konsekwencji jego przeciążenie. To natomiast skutkuje wyłączeniem strony.
Zmiana standardowego adresu logowania na inny, mniej oczywisty, może znacznie zwiększyć zarówno wygodę, jak i bezpieczeństwo strony. W tym kontekście wtyczka WPS Hide Login staje się nieocenionym narzędziem. Dzięki niej możemy w prosty i szybki sposób zmienić adres logowania do naszej witryny WordPress.
Wtyczka WPS Hide Login
W WordPressie przejdź do zakładki Wtyczki > Dodaj wtyczkę, a następnie wyszukaj w repozytorium dodatków wtyczkę o nazwie WPS Hide Login.
Po znalezieniu, kliknij przycisk Zainstaluj, a następnie Włącz. Gdy wtyczka jest już zainstalowana, przejdź w swoim WordPressie do zakładki Ustawienia > Ogólne. Wtyczka WPS Hide Login umieszcza w tym miejscu swoją sekcję, w której możesz dostosować adres logowania.
Login URL – w tym miejscu wpisz, jaki chcesz ustawić adres, który zastąpi ścieżki /wp-admin oraz /wp-login.php
Redirection URL – w tym miejscu wpisz, w jakie miejsce chcesz przekierować osoby, które próbują dostać się do pierwotnej ścieżki /wp-admin lub /wp-login.php
Po wprowadzeniu zmian kliknij przycisk „Zapisz zmiany”.
Podsumowanie
Po pomyślnym skonfigurowaniu i przetestowaniu nowego adresu logowania, Twoja witryna jest teraz lepiej zabezpieczona przed atakami brute force oraz próbami nieautoryzowanego dostępu. Pamiętaj jednak, że bezpieczeństwo witryny to proces ciągły. Regularnie aktualizuj wtyczki, motywy i samego WordPressa. Używaj silnych haseł i rozważ dodanie dodatkowych środków bezpieczeństwa, takich jak dwuetapowa weryfikacja w WordPressie.
Podobał Ci się artykuł? Zostaw opinię!
5 komentarzy
Możliwość komentowania została wyłączona.
Bez sensu skoro zmienia się tylko wp-login, a głupie wp-admin pozostaje bez zmian.
Owszem, wp-admin zostaje jako ścieżka kokpitu po zalogowaniu. Celem powyższego poradnika miało być poprawienie zabezpieczenia przed atakami brute force oraz kosmetyczna zmiana linku logowania na bardziej przyjazny i łatwiejszy do zapamiętania dla przeciętnego użytkownika.
Musisz wczytać pliki strony i bazę danych z backupu. Jeśli sam nie potrafisz poproś o pomoc support Twojego hostingodawcy.
Ma ktoś jakiś sprawdzony sposób jak wykonać to zabezpieczenie ale manualnie kodem? Ładowanie wtyczki, która sama w sobie może mieć dziurę to nie zbyt bezpieczna opcja
Dziękuję za te wszystkie merytoryczne artykuły.
Naprawdę kawał dobrej roboty. Wiedza zostanie dobrze spożytkowana hehe.
Dzięki jeszcze raz.