Поддержка Проблемы и решения Скрыть страницу /wp-admin

  • Решено nokogerra

    (@nokogerra)


    Доброго времени суток.
    Пытался найти вариант для смены адреса /wp-login, /wp-admin без использования плагинов. Обнаружил способ, заключающийся в создании нового файла в корне wp (например, newlogin.php) с содержанием, аналогичным wp-login.php, но все вхождения «wp-login.php» в этом файле заменяются на «newlogin.php», после чего файл wp-login.php удаляется. Далее аутентификация осуществляется только через форму https://your_ip_or_fqdn/newlogin.php, а при попытке перейти на /wp-login.php или /wp-admin, получаем 404. Вроде как работает, но только для тех, кто не прошел аутентификацию (теоретически этого достаточно?), если пользователь уже залогинен, то попасть в консоль можно все также через /wp-admin.
    Потом наткнулся на статью на хабре и комментарий, касающийся этой темы: https://habrahabr.ru/company/cloud4y/blog/348340/#comment_10654980.
    Я так понимаю, способ, который я тестировал в перспективе может привести к проблемам и его лучше не использовать, верно? Или я не так понял?

Просмотр 4 ответов — с 1 по 4 (всего 4)
  • а зачем вам это вообще?
    да еще и без плагинов?

    Я так понимаю, способ, который я тестировал в перспективе может привести к проблемам и его лучше не использовать, верно?

    Если Вы про

    создании нового файла в корне wp (например, newlogin.php) с содержанием, аналогичным wp-login.php, но все вхождения «wp-login.php» в этом файле заменяются на «newlogin.php», после чего файл wp-login.php удаляется.

    То да, это ерунда.

    Модератор Sergey Biryukov

    (@sergeybiryukov)

    Live and Learn

    Я так понимаю, способ, который я тестировал в перспективе может привести к проблемам и его лучше не использовать, верно?

    Верно. Если цель — повысить безопасность, то в общем случае достаточно:

    • Иметь надёжные пароли (от 24 символов, с цифрами и спецсимволами).
    • Не давать права администратора и редактора случайным людям.
    • Плагины и темы скачивать только с официальных ресурсов.
    • Своевременно обновляться.
    • Если снизить нагрузку — это лучше делать на уровне сервера. Например, настроить базовую аутентификацию или ограничить число запросов с одного IP-адреса.

    Благодарю за ответы, буду смотреть в сторону iptables recent match.

Просмотр 4 ответов — с 1 по 4 (всего 4)
  • Тема «Скрыть страницу /wp-admin» закрыта для новых ответов.