Protected wp-login — простейшая защита админки WordPress
Одним из вариантом взлома сайтов на WordPress есть подбор пароля к админке. Особенно это актуально для тех сайтов, где отображается логин пользователя. Очень хорошо, когда вы меняете логин (admin) по умолчанию на свой, но если в шаблоне его значение отображается, то толку от этого мало. Вы можете либо отредактировать тему сайта, либо в настройках своей учетной записи пользователя выбрать отображение имени вместо логина.
Кроме использования отличного от «admin» логина и скрытия его в макете сайта можно также установить простой плагин Protected wp-login. Он как раз таки применяется против брутфорса (подбора пароля). Модуль небольшой, устанавливается легко, поддерживает версии WP начиная с 3.3. Все, что он делает — добавляет секретный «защитный ключ» для страницы логина. Ключ этот передается как обычный GET параметр для форы логина. Ссылка на вход в систему выглядит по типу:
http://example.com/wp-login.php?sk=my_secure_key |
При этом даже, если вы указали правильный логин и пароль, но секретный ключ не определен, то в админку попасть не получится! То есть теоретически, если злоумышленник и подберет пароль, доступ к сайту ему все равно будет закрыт. При этом о попытках взлома, скорее всего, вас уже успеет предупредить ваш хостер.
Устанавливается значение защитного ключа в настройках модуля.
Для этого заходите в пункт меню «Protected wp-login» в разделе «Параметры». В целом, достаточно интересный плагин. Максимально прост в использовании, разобраться с ним может даже начинающий пользователь. Не забывайте также при этом выполнять базовые «защитные меры», о которых я говорил в самом начале статьи. Есть, в принципе, и более продвинутые плагины по защите системы вордпресс тот же Login LockDown и другие.
комментариев 15 к статье “Protected wp-login — простейшая защита админки WordPress”
Блог Wordpress Inside поможет вам научиться работать в вордпресс, закрепить и расширить имеющиеся знания. Плагины и шаблоны, разные хаки и функции wp, оптимизация и безопасность системы – все это и намного больше вы сможете найти на страницах нашего проекта!
Если хотите быстро и оперативно получать последние новости и статьи, то рекомендуем подписаться на обновления блога:
- Вкладки в Woocommerce товарах — как убрать, добавить, изменить (сниппеты + плагин)
- Вывод Woocommerce товаров на странице с Elementor с помощью плагина
- Проблема с адаптивными изображениями в Gutenberg редакторе WordPress
- Хаки для страницы категории в WooCommerce
- Топ-5 плагинов для обеспечения безопасности WordPress сайтов
- Friend Hosting — создание WP сайта в один клик, обзор панели управления и плюсов хостера
- Размеры изображений в WordPress — как изменить, добавить свои и удалить лишние
- WooCommerce (44)
- Безопасность (12)
- Видео (6)
- Виджеты (28)
- Возможности (141)
- Вопрос-ответ (6)
- Начинающим (52)
- Новости (46)
- Оптимизация (23)
- Плагины (244)
- Сервисы (85)
- Хаки и секреты (87)
- Шаблоны (44)
- Как легко раскодировать футер (footer) в wordpress
(5,17 из 7, голосов - 12)
- WordPress File Monitor — мониторинг изменений в файлах системы
(5,60 из 7, голосов - 10)
- Защита текстов от выделения и копирования – плагин WP-CopyProtect
(5,50 из 7, голосов - 10)
- Решение проблемы (хака) в wordpress «hacked by Badi»
(6,75 из 7, голосов - 8)
- WebTotem WordPress Security – бесплатный плагин безопасности сайта + услуга аудита
(4,44 из 7, голосов - 9)
- Бесплатный вебинар по защите WordPress — 13 февраля
(6,00 из 7, голосов - 6)
- Видеокурс WordPress Security по защите блога на WordPress
(6,60 из 7, голосов - 5)

- Дизайн Мания - о веб-дизайне и не только.
- Tod's Blog - все про заработок онлайн.
- Вебдванольные заметки - обзоры веб-сервисов.
- Топ-3 видеокарты среднего класса от AMD: зачем платить больше?
- Доработка фильтра для повышения конферсии
- Зачем нужен домен
- Переваги застосування технології розумний будинок
- Дизайн сайта
- DLE (DataLife Engine) — движок для сателлитов
- Играть бесплатно в игровые автоматы без регистрации
- Продвижение сайта через социальные сети
Интересный плагин! Спасибо!
Пользуюсь этим плагином уже давно и уже успел удостоверится в том что с ним мои данные и сам сайт в полной безопасности, а главное это конечно же что добавили дополнительный ввод ключа без которого на сайт войти просто невозможно.
Лучше комплексной защитой пользоваться, есть плагины такие как All In One WP Security, много что защищать надо
Андрей, спасибо за наводку, с модулем All In One WP Security не сталкивался, нужно будет попробовать. Когда-то давно был пост про WP Security Scan который также предоставлет комплексную защиту.
Зачем все эти хитрости. Просто удаляешь файл через ftp — wp-login.php и все. Когда нужно будет обратно ставишь. Для умников, кто ищет вход в админку кидаешь на его место другой файл с любым содержимым. Я поставил такой —
<?php
// … здесь какой-то код PHP …
echo "»;
// … здесь какой-то код PHP …
?>
Фантазировать можно много……..
Sergei, оригинальный ход) Но если это блог, как допустим этот, то в админку за день я захожу раза 2-4 минимум. Хлопотно каждый раз удалять-возвращать файл.
Сроку входа специально люди меняют. Изначально она фигурирует в 2-ух файлах. И через WordPress на них не выйти. Благодаря этому файлу строка входа уже фигурирует в WP. Одну защиту добавляем, другую открываем.
Здравствуйте, подскажите пожалуйста, каждый день, один человек заходит ко мне на сайт и пытается подобрать пароль к логину админ, после чего его ip сразу автоматически блокируется, но длиться это уже полгода и я не могу понять, как он узнаёт адрес входа в админку, если она у меня переименована, при наборе /wp-admin и /wp-login.php выдаёт ошибку. логина админ нет в помине, но он как то находит страницу авторизации, Как так?
Мария, как он находит адрес, увы, не знаю. Но если все автоматически блокируется, то может проблема не так серьезна. Может попробовать установить данный плагин — секретный ключ точно никак не считать.
Подскажите пожалуйста, что за гемор. Когда устанавливаю этот плагин пишется его англ название в установленных плагинах, т.е. Protected wp-login, а когда активирую его, то «Защищенный вход» и ни настроек ни фига ничего! кроме деактивировать и изменить код, но мне код менять нафиг не надо. Что за фигня!
Drek, по поводу названия — это недоработка в локализации модуля, я так понимаю. Изменить код — это ведь именно то, что нужно — то есть указываете свой ключ/код по которому доступен адрес входа в админку (других настроек, по сути, в плагине и нету).
Установил. Задал секретный ключ. И ссылку не открывает по нему, и естественно по старому адресу админку. Чего делать?
Зубр, плагин не обновлялся более 2х лет, а официальная верстия поддержки ВП до 3.5.2, поэтому, возможно, он сейчас уже и не работает. Удалить модуль можете через FTP найдя его в директории wp-content/plugins.
А этот плагин еще актуальный?
Turyst2011, сам модуль не обновлялся более 2х лет, но он доступен для скачивания — сложно сказать насколько он актуален сейчас, я бы изначально поискал что-то поновее.