Вордпресс как изменить страницу входа

Согласно исследованию Sucuri, каждый день атаке методом перебора паролей подвергается 40 млн. сайтов на Вордпресс. Один из способов обезопасить свой сайт от таких атак — изменить страницу входа на сайт.

Если злоумышленник не знает, где находится страница входа на сайт, он не сможет подобрать логин и пароль.

В этой статье вы узнаете 2 способа создать новую страницу для входа на сайт вместо стандартной wp-login.php с помощью нескольких строк кода. Применение этих способов занимает несколько минут и не требует установки плагина. Как изменить страницу входа в админку Вордпресс с помощью плагинов читайте здесь.

Сделайте бэкап

Чтобы изменить страницу логина, надо сделать изменения в файле .htaccess. Ошибка в одной букве может положить весь сайт, поэтому сделайте бэкап файла .htaccess и папки с темой.

Бэкап можно сделать на хостинге или с помощью плагина. Сделайте полный бэкап, или проверьте, что последний автоматический бэкап был после последних изменений на сайте.

• Бэкап Вордпресс — подробное описание

Если у вас на сайте есть посетители, вы можете протестировать изменение URL авторизации на локальном или техническом сайте.

В первом способе вы сделаете изменения в файле .htaccess, во втором — изменения в файлах .htaccess и functions.php. После этого надо будет отключить доступ к старой странице входа в админку …/wp-login.php.

Файл .htaccess находится в корневой папке сайта, файл functions.php находится в папке темы.

Как изменить страницу авторизации в Вордпресс

Способ 1. Редактирование файла .htaccess

Добавьте код в начале .htaccess в одиночной установке Вордпресс и после этих строк в Мультисайт установке:

Добавьте этот код:

Измените myloginpage11 в строке 2 на свой адрес, по которому вы хотите иметь страницу входа на сайт. Если вы ничего не измените, то страница входа на сайт будет мой-сайт.ru/myloginpage11.

Измените 123456qwerty в строках 2 и 7 на что-нибудь свое. Это секретный ключ, который может содержать только латинские буквы и цифры.

Сохраните файл и проверьте сайт. Если вы получили ошибку сервера 500, значит, вы где-то допустили ошибку. Просмотрите изменения еще раз или начните заново.

Если сайт работает, но изменения не применились, сбросьте кеш в браузере и попробуйте еще раз.

Способ 2. Отредактируйте файл .htaccess и functions.php

Вставьте код в самом начале файла .htaccess в одиночной установке или после этих строк в Мультисайт установке:

Добавьте этот код:

Замените myloginpage22 на свой адрес. Если вы оставите как есть, то новый адрес входа на сайт будет мой-сайт.ru/myloginpage22.

Сохраните файл и проверьте, как работает сайт. Если у вас ошибка 500, попробуйте найти ошибку или начните сначала.

После этого можно начать пользоваться этим адресом входа в админку, но если вы хотите, чтобы Вордпресс начал везде использовать этот адрес в качестве адреса входа на сайт, надо добавить снипет в файл  functions.php дочерней темы или добавьте код в плагин, который добавит код в текущую тему.

Добавьте этот код в functions.php:

Код из форума техподдержки Вордпресс. Измените myloginpage22 на ваш адрес, который вы добавили в .htaccess.

Все готово, можно проверить. Добавьте виджет с мета информацией в сайдбар и нажмите на ссылку входа на сайт. Если вы все сделали правильно, вы должны попасть на новую страницу входа на сайт.

Как скрыть старую страницу входа на сайт wp-login.php

Новая страница входа на сайт будет дополнительной мерой безопасности сайта, но без запрета доступа к стандартной странице wp-login.php это не имеет смысла.

Как скрыть страницу wp-login.php от посетителей читайте здесь.

Читайте также:

1. 5 плагинов для изменения страницы входа Вордпресс
2. Как изменить имя пользователя Admin в Вордпресс
3. Как создать дочернюю тему Вордпресс
4. Как скрыть версию Вордпресс

Надеюсь, статья была полезна. Оставляйте комментарии.

Стандартный вход в административную панель WordPress осуществляется по двум адресам: https://site.ru/wp-admin и https://site.ru/wp-login.php, где site.ru – имя вашего сайта.

Об этом знают и злоумышленника, которые запускают вредоносное программы для подбора пароля от вашей админки. Результатом такой хакерской атаки может быть медленная работа сайта или еще хуже взлом ресурса.

Как еще можно попасть в панель управления сайтом, я писал в статье как зайти в админку WordPress и что делать, если забыли пароль

Конечно, можно создать надежный пароль, чтобы хоть как-то противостоять несанкционированному доступу, но нагрузка на сайт от этого не уменьшится. Здесь нужно решать проблему на корню, а именно – менять стандартный вход админки на свое название.

Начнем с самого быстрого способа изменения страницы входа в панель администратора WordPress.

Изменение страницы входа в Clearfy Pro

Большинство веб-мастеров уже повсеместно использую универсальный плагин Clearfy Pro, который решает множество задач, в том числе и защиту блога. Все преимущества этого плагина есть на официальном сайте разработчиков. Перейдем сразу к действиям.

Заходим в административную панель WordPress, в меню ищем Clearfy Pro, нажимаем на название, чтобы зайти. В окне плагина выбираем «Защита», включаем триггер «Спрятать wp-login.php» и вводим новое название второй половины адреса админки.

Обратите внимание, система предлагает уже сгенерированные имена. Можно воспользоваться автоматически сформированным названием, либо придумать свое. Только не используйте распространенные символы и словосочетания: 12345, 777, qaz, qwerty, login, admin и тому подобные. Вредоносные боты уже давно имеют базу с такими названиями и в первую очередь осуществляют подбор именно ним.

После всех действий проматываем в самый конец списка вкладки защиты и нажимаем «Сохранить изменения».

Теперь, при попытке входа в админ-панель по адресу https://site.ru/wp-admin/ — будет перенаправление на главную страницу сайта, а если попытаться войти через https://site.ru/wp-login.php — то появится ошибка с запретом доступа.

Замена стандартного wp-admin плагином WPS Hade Login

Установка WPS Hade Login – это бесплатное решение изменения страницы входа в административную панель WordPress. Плагин имеет более 1 миллиона скачиваний и много положительных отзывов.

В консоли находим пункт «Плагины» — выбираем «Добавить новый» и в строке поиска вводим WPS Hade Login. Плагин будет первым в списке, устанавливаем его и активируем.

Далее нужно настроить замену стандартного wp-admin на придуманное нами новое имя. В меню настроек находим наш плагин, кликаем на него и проматываем в самый низ. Меням URL входа на свой и задаем страницу, на которую будет перенаправлен злоумышленник, пытаясь зайти по стандартному wp-login.php.

Теперь вход в панель управления сайтом будет осуществляться по адресу, который знаете только вы. А если злоумышленник попытается попасть в админку стандартным путем с указанием имени вашего сайта — то увидит окно с несуществующей страницей.

Beginner users interacting with WordPress go through a hard time logging in to their accounts. In this article, I’ll explain how to find your WordPress login URL and a few other essential things that need to be highlighted regarding the login process.

Let’s start from the beginning.

Prefer to watch the video version?

Importance of the WordPress Login

After installing WordPress, you’ll gain access to your website’s admin dashboard, where you have the opportunity to set up your site as you need and change a few things.

This would be impossible if you had no access to the admin pages. The login page is what keeps you—and others—from accessing the management “side” of your WordPress site.

It is virtually impossible to take full control of your site/blog if you have no access to the admin area.

But where is this WordPress login page located?

How to Find the WordPress Login URL

Finding the WordPress login page is probably more straightforward than you’d expect. On a fresh WordPress installation, adding /admin/ (e.g.: www.yourawesomesite.com/admin/) or /login/ (e.g.: www.yourawesomesite.com/login/) at the end of your website’s URL will redirect you to the login page.

Usually, these two should directly take you to your WordPress login page. In case this doesn’t happen, there is an additional way to reach your login page: you can add /wp-login.php at the end of the URL, like in this example: www.awesomesite.com/wp-login.php.

How to Find the WordPress Login URL on a Subdirectory or Subdomain

All of this works for a standard and new WordPress installation. But there’s a chance you might have installed WordPress on a subdirectory of your domain such as www.yourawesomesite.com/wordpress/ or a WordPress subdomain such as blog.yourawesomesite.com/.

If that’s the case, you’ll need to append one of the aforementioned paths right after the subdirectory or subdomain’s closing slash, i.e. the / symbol, to get something like this:

• www.awesomesite.com/wordpress/login/ or
• www.awesomesite.com/wordpress/wp-login.php

No matter which one you’re using, any of them should take you to your WordPress login page. If you don’t want to forget about it, bookmark your preferred URL.

Alternatively, there is a “Remember Me” option in the WordPress login form, which will allow you to stay logged in and reach the admin dashboard for a few days without the need to log in again (based on how your cookies are set):

Logging in via the WordPress login page is a crucial yet easy task to do. If nothing wrong and/or malicious is happening on your site, you’ll need your email address/username and your password.

That’s all. Unfortunately, bad guys are everywhere, and your site could become a target.

What can you do to discourage them, then?

Let’s move the login page at least!

Where the heck is the #WordPress login page? 😤Follow these tips to easily find your login URL and improve your security at the same time!Click to Tweet

How to Change the WordPress Login Page

Your login page shouldn’t be accessible to hackers and malicious attackers (aka the bad guys) because they might get access to your site’s admin page and start messing things up. Not a good experience to have, trust me!

While using a strong, unique, long password can really play in your favor for preventing unauthorized access to your site, there’s never enough things you could do when security is at stake.

One quick and effective way to keep the bad guys out is to move the WordPress login page to a new unique URL. Changing the login URL through which you and your users can access your WordPress site could really help when it comes to fighting random attacks, hacks, and brute force attacks.

One word about brute force attacks: brute force attacks are hacking attempts where the malicious subject tries to guess your username and password repeatedly, exploiting lists of common usernames and passwords that have leaked on the web. What they do is try thousands of combinations taking advantage of scripts that automate all of their attempts.

There is a high chance that either your WordPress password or username might be on one of these leaked lists in today’s world. If you add that WordPress login standard URL is something publicly known to this scenario, well, you’ll get how easy it is to gain access to your WordPress site for hackers and malicious attackers.

That’s why moving the WordPress login page to a different path can help you.

Change Your WordPress Login Page with a Plugin

The most common and probably easiest way to change your WordPress login URL page is by using a free plugin like WPS Hide Login, which more than 800k users actively use.

The plugin is very lightweight, and more importantly, it doesn’t change any files in core or add rewrite rules. It simply intercepts requests. It’s also compatible with BuddyPress, bbPress, Limit Login Attempts, and User Switching plugins.

Once downloaded and activated, all you need to do is:

1. Click on WPS Hide Login from the Settings tab in your right-hand sidebar.
2. Add your new Login URL path in the Login URL field.
3. Add a specific redirect URL in the Redirection URL. This page will trigger when someone tries to access the standard wp-login.php page and wp-admin directory while not logged in.
4. Hit Save Changes.

An alternative premium plugin you can use to change your login URL is Perfmatters, developed by one of the team members at Kinsta.

As changing your WordPress login URL can help to ward off the shallow attackers from accessing your site, I want to be clear here: expert and professionals hackers could potentially still go the extra mile and figure out your login page anyway.

So, why should you care? Well, security is a layers game, where the quality of your hosting plays a key role. the more tools, tricks, walls you have in place, the harder it’ll be for the bad guys to break into your site and gain control.

Changing your login URL can also help prevent common WordPress errors like “429 Too Many Requests.” This is typically generated by the server when the user has sent too many requests in a given amount of time (rate-limiting). This can be caused by bots or scripts hitting your login URL. The end-user rarely causes this error.

Change Your WordPress Login Page Editing Your .htaccess File

Other more technical ways to change or hide the WordPress login page URL is by editing your .htaccess file.

Typically used with cPanel hosts, the .htaccess file’s main role is to configure rules and set up system-wide settings. Since we’re talking about hiding the login page, .htaccess can handle that in two specific ways.

The first one is about password-protecting your login page with a .htpasswd so that anyone reaching your login page will be required to put in a password before accessing the login page. If you’re a Kinsta client, we use Nginx, and therefore there is no .htaccess file.

You can use our htpasswd tool to password protect your entire site. Or reach out to our support team to lock down just your login page.

The second option you have is enabling access to your login page based on a list of trusted IP addresses.

Limiting Login Attempts

Another effective security method is to limit the number of login attempts. If you’re a Kinsta client, we automatically ban IPs with more than 6 failed login attempts in a minute.

Or you can download a free plugin such as Limit Login Attempts Reloaded.

The options in the plugin are pretty straightforward.

• Total Lockouts: gives you the number of hackers who tried to break in, but failed.
• Allowed Retries: the number of attempts an IP address is allowed to make before you lock them out.

Somewhere between four and six is probably the most popular retry amount. It allows real humans who are supposed to have access to make mistakes (because, after all, we all do make mistakes when entering passwords), realize they’re entering the wrong password, and fix their error.

It’s important to set it to the above two points, especially if you have frequent guest bloggers or several contributing staff members responsible for managing your site.

• Minutes lockout: how long an IP address will be locked out.

You might like to set it to “forever,” but that’s not helpful for people who really do make a genuine error — you want those to be able to let themselves back in eventually. 20-30 minutes is about right.

• Lockouts increase: because if it’s a Brute Force Attack, it’s likely to be back.

This function basically says “look,” I’ve seen you lock yourself out several times before, so now I’m going to lock you out for longer.” One day is a good one to go with.

• Hours until retries: how long until it resets everything and lets people try again.

The plugin also lets you manage your whitelist, blacklist, and trusted IPs.

How to Fix the Most Common Issues with the WordPress Login

Logging into your WordPress site is a quick and easy task. Yet some users— and you?—might have experienced some issues when trying to access their WordPress site. Such issues usually fall under one of the following scenarios:

• Issues related to the password
• Issues related to cookies

Let’s have a look at both and see how to address them!

WordPress Login: Password Lost/Forgot

If you’re unable to log in, you might have a problem with your login credentials.

So, the very first thing you should do is check whether the username and password entries you’re typing in are actually correct. It’s a common mistake made by most of us, though rarely.

Did it work? If not, you might want to change your WordPress password before trying something else. To do so, click the Lost your password? link right below the login form:

You will be redirected to a page where you will be asked your username/email, and a new password will be sent to you:

Manually Reset WordPress Password with phpMyAdmin

If this does not work, things will get a bit more complicated as you’ll need to conduct a manual password reset. Please don’t do this if you don’t feel comfortable working with database files.

Manually resetting your WordPress login password can be done by editing the password file on your database. If you have access to phpMyAdmin in your host, this shouldn’t be hard.

Always backup your site before doing any edits to database files in case something goes wrong.

Done? Great!

Step 1

Now, log in to phpMyAdmin. If you’re a Kinsta client, you can find the login link to phpMyAdmin within the MyKinsta dashboard.

Step 2

On the left-hand side, click into your database. Then click on the table named wp_users. Then click on “Edit” next to the user login you need to reset.

Step 3

In the user_pass column, enter in a new password (it is case-sensitive). In the Function drop-down menu, select MD5. Then click “Go.”

Step 4

Test the new password on your login screen.

Manually Reset WordPress Password with WP-CLI

Another way to reset your WordPress password is by using WP-CLI. WP-CLI is a command-line tool for developers to manage common tasks (and not so common) of a WordPress installation.

Step 1

First, use the following command to list all of the current users in the WordPress installation.

$ wp user list

Step 2

Then update the user password with the following command, user ID, and new desired password.

$ wp user update 1 --user_pass=strongpasswordgoeshere

Step 3

Test the new password on your login screen.

WordPress Login: Cookies

In some instances, you might not be able to log in due to issues related to cookies. If so, you are usually met with the following error:

Error: Cookies are blocked or not supported by your browser. You must enable cookies to use WordPress.

WordPress login relies on cookies to work. If they are disabled or not working correctly, chances are you will have problems on the login page. The first thing to check is that cookies are enabled in your browser:

• Cookies in Google Chrome
• Cookies in Mozilla Firefox
• Cookies in Internet Explorer
• Cookies in Safari

We often see this on WordPress sites that have recently been migrated and on WordPress Multisite sites. Sometimes simply refreshing your browser and trying to login again will actually get you past this error. You could also try clearing your browser cache or open a different browser in incognito mode.

If none of the above worked, you can try adding the line below to your wp-config.php file, right before /* That's all, stop editing!...*/

define('COOKIE_DOMAIN', false);

If it’s a WordPress multisite setup, you might want to check and see if there is a sunrise.php file in the /wp-content/ folder and renamed it to sunrise.php.disabled.  This is a file used by an older domain mapping method.

As of WordPress 4.5, WordPress Multisite no longer requires a plugin to map domains. If you’re a Kinsta client and unsure about this, please reach out to our support team and ask for help.

Summary

Your WordPress login page is the gateway that grants you access to your site. If you aren’t able to log in successfully, you’re just a site visitor.

That’s why you should learn how to reach this key page so that you won’t waste lots of time every time you need to log in to your WordPress site.

Want to improve your security a bit? Change the standard WordPress login URL with a custom one of your choice and share that URL only with trusted people! Also, make sure to check this guide if WordPress keeps logging you out.

(Suggested reading: How to Change Your WordPress URL)

Beginner users interacting with WordPress go through a hard time logging in to their accounts. In this article, I’ll explain how to find your WordPress login URL and a few other essential things that need to be highlighted regarding the login process.

Let’s start from the beginning.

Prefer to watch the video version?

Importance of the WordPress Login

After installing WordPress, you’ll gain access to your website’s admin dashboard, where you have the opportunity to set up your site as you need and change a few things.

This would be impossible if you had no access to the admin pages. The login page is what keeps you—and others—from accessing the management “side” of your WordPress site.

It is virtually impossible to take full control of your site/blog if you have no access to the admin area.

But where is this WordPress login page located?

How to Find the WordPress Login URL

Finding the WordPress login page is probably more straightforward than you’d expect. On a fresh WordPress installation, adding /admin/ (e.g.: www.yourawesomesite.com/admin/) or /login/ (e.g.: www.yourawesomesite.com/login/) at the end of your website’s URL will redirect you to the login page.

Usually, these two should directly take you to your WordPress login page. In case this doesn’t happen, there is an additional way to reach your login page: you can add /wp-login.php at the end of the URL, like in this example: www.awesomesite.com/wp-login.php.

How to Find the WordPress Login URL on a Subdirectory or Subdomain

All of this works for a standard and new WordPress installation. But there’s a chance you might have installed WordPress on a subdirectory of your domain such as www.yourawesomesite.com/wordpress/ or a WordPress subdomain such as blog.yourawesomesite.com/.

If that’s the case, you’ll need to append one of the aforementioned paths right after the subdirectory or subdomain’s closing slash, i.e. the / symbol, to get something like this:

• www.awesomesite.com/wordpress/login/ or
• www.awesomesite.com/wordpress/wp-login.php

No matter which one you’re using, any of them should take you to your WordPress login page. If you don’t want to forget about it, bookmark your preferred URL.

Alternatively, there is a “Remember Me” option in the WordPress login form, which will allow you to stay logged in and reach the admin dashboard for a few days without the need to log in again (based on how your cookies are set):

Logging in via the WordPress login page is a crucial yet easy task to do. If nothing wrong and/or malicious is happening on your site, you’ll need your email address/username and your password.

That’s all. Unfortunately, bad guys are everywhere, and your site could become a target.

What can you do to discourage them, then?

Let’s move the login page at least!

Where the heck is the #WordPress login page? 😤Follow these tips to easily find your login URL and improve your security at the same time!Click to Tweet

How to Change the WordPress Login Page

Your login page shouldn’t be accessible to hackers and malicious attackers (aka the bad guys) because they might get access to your site’s admin page and start messing things up. Not a good experience to have, trust me!

While using a strong, unique, long password can really play in your favor for preventing unauthorized access to your site, there’s never enough things you could do when security is at stake.

One quick and effective way to keep the bad guys out is to move the WordPress login page to a new unique URL. Changing the login URL through which you and your users can access your WordPress site could really help when it comes to fighting random attacks, hacks, and brute force attacks.

One word about brute force attacks: brute force attacks are hacking attempts where the malicious subject tries to guess your username and password repeatedly, exploiting lists of common usernames and passwords that have leaked on the web. What they do is try thousands of combinations taking advantage of scripts that automate all of their attempts.

There is a high chance that either your WordPress password or username might be on one of these leaked lists in today’s world. If you add that WordPress login standard URL is something publicly known to this scenario, well, you’ll get how easy it is to gain access to your WordPress site for hackers and malicious attackers.

That’s why moving the WordPress login page to a different path can help you.

Change Your WordPress Login Page with a Plugin

The most common and probably easiest way to change your WordPress login URL page is by using a free plugin like WPS Hide Login, which more than 800k users actively use.

The plugin is very lightweight, and more importantly, it doesn’t change any files in core or add rewrite rules. It simply intercepts requests. It’s also compatible with BuddyPress, bbPress, Limit Login Attempts, and User Switching plugins.

Once downloaded and activated, all you need to do is:

1. Click on WPS Hide Login from the Settings tab in your right-hand sidebar.
2. Add your new Login URL path in the Login URL field.
3. Add a specific redirect URL in the Redirection URL. This page will trigger when someone tries to access the standard wp-login.php page and wp-admin directory while not logged in.
4. Hit Save Changes.

An alternative premium plugin you can use to change your login URL is Perfmatters, developed by one of the team members at Kinsta.

As changing your WordPress login URL can help to ward off the shallow attackers from accessing your site, I want to be clear here: expert and professionals hackers could potentially still go the extra mile and figure out your login page anyway.

So, why should you care? Well, security is a layers game, where the quality of your hosting plays a key role. the more tools, tricks, walls you have in place, the harder it’ll be for the bad guys to break into your site and gain control.

Changing your login URL can also help prevent common WordPress errors like “429 Too Many Requests.” This is typically generated by the server when the user has sent too many requests in a given amount of time (rate-limiting). This can be caused by bots or scripts hitting your login URL. The end-user rarely causes this error.

Change Your WordPress Login Page Editing Your .htaccess File

Other more technical ways to change or hide the WordPress login page URL is by editing your .htaccess file.

Typically used with cPanel hosts, the .htaccess file’s main role is to configure rules and set up system-wide settings. Since we’re talking about hiding the login page, .htaccess can handle that in two specific ways.

The first one is about password-protecting your login page with a .htpasswd so that anyone reaching your login page will be required to put in a password before accessing the login page. If you’re a Kinsta client, we use Nginx, and therefore there is no .htaccess file.

You can use our htpasswd tool to password protect your entire site. Or reach out to our support team to lock down just your login page.

The second option you have is enabling access to your login page based on a list of trusted IP addresses.

Limiting Login Attempts

Another effective security method is to limit the number of login attempts. If you’re a Kinsta client, we automatically ban IPs with more than 6 failed login attempts in a minute.

Or you can download a free plugin such as Limit Login Attempts Reloaded.

The options in the plugin are pretty straightforward.

• Total Lockouts: gives you the number of hackers who tried to break in, but failed.
• Allowed Retries: the number of attempts an IP address is allowed to make before you lock them out.

Somewhere between four and six is probably the most popular retry amount. It allows real humans who are supposed to have access to make mistakes (because, after all, we all do make mistakes when entering passwords), realize they’re entering the wrong password, and fix their error.

It’s important to set it to the above two points, especially if you have frequent guest bloggers or several contributing staff members responsible for managing your site.

• Minutes lockout: how long an IP address will be locked out.

You might like to set it to “forever,” but that’s not helpful for people who really do make a genuine error — you want those to be able to let themselves back in eventually. 20-30 minutes is about right.

• Lockouts increase: because if it’s a Brute Force Attack, it’s likely to be back.

This function basically says “look,” I’ve seen you lock yourself out several times before, so now I’m going to lock you out for longer.” One day is a good one to go with.

• Hours until retries: how long until it resets everything and lets people try again.

The plugin also lets you manage your whitelist, blacklist, and trusted IPs.

How to Fix the Most Common Issues with the WordPress Login

Logging into your WordPress site is a quick and easy task. Yet some users— and you?—might have experienced some issues when trying to access their WordPress site. Such issues usually fall under one of the following scenarios:

• Issues related to the password
• Issues related to cookies

Let’s have a look at both and see how to address them!

WordPress Login: Password Lost/Forgot

If you’re unable to log in, you might have a problem with your login credentials.

So, the very first thing you should do is check whether the username and password entries you’re typing in are actually correct. It’s a common mistake made by most of us, though rarely.

Did it work? If not, you might want to change your WordPress password before trying something else. To do so, click the Lost your password? link right below the login form:

You will be redirected to a page where you will be asked your username/email, and a new password will be sent to you:

Manually Reset WordPress Password with phpMyAdmin

If this does not work, things will get a bit more complicated as you’ll need to conduct a manual password reset. Please don’t do this if you don’t feel comfortable working with database files.

Manually resetting your WordPress login password can be done by editing the password file on your database. If you have access to phpMyAdmin in your host, this shouldn’t be hard.

Always backup your site before doing any edits to database files in case something goes wrong.

Done? Great!

Step 1

Now, log in to phpMyAdmin. If you’re a Kinsta client, you can find the login link to phpMyAdmin within the MyKinsta dashboard.

Step 2

On the left-hand side, click into your database. Then click on the table named wp_users. Then click on “Edit” next to the user login you need to reset.

Step 3

In the user_pass column, enter in a new password (it is case-sensitive). In the Function drop-down menu, select MD5. Then click “Go.”

Step 4

Test the new password on your login screen.

Manually Reset WordPress Password with WP-CLI

Another way to reset your WordPress password is by using WP-CLI. WP-CLI is a command-line tool for developers to manage common tasks (and not so common) of a WordPress installation.

Step 1

First, use the following command to list all of the current users in the WordPress installation.

$ wp user list

Step 2

Then update the user password with the following command, user ID, and new desired password.

$ wp user update 1 --user_pass=strongpasswordgoeshere

Step 3

Test the new password on your login screen.

WordPress Login: Cookies

In some instances, you might not be able to log in due to issues related to cookies. If so, you are usually met with the following error:

Error: Cookies are blocked or not supported by your browser. You must enable cookies to use WordPress.

WordPress login relies on cookies to work. If they are disabled or not working correctly, chances are you will have problems on the login page. The first thing to check is that cookies are enabled in your browser:

• Cookies in Google Chrome
• Cookies in Mozilla Firefox
• Cookies in Internet Explorer
• Cookies in Safari

We often see this on WordPress sites that have recently been migrated and on WordPress Multisite sites. Sometimes simply refreshing your browser and trying to login again will actually get you past this error. You could also try clearing your browser cache or open a different browser in incognito mode.

If none of the above worked, you can try adding the line below to your wp-config.php file, right before /* That's all, stop editing!...*/

define('COOKIE_DOMAIN', false);

If it’s a WordPress multisite setup, you might want to check and see if there is a sunrise.php file in the /wp-content/ folder and renamed it to sunrise.php.disabled.  This is a file used by an older domain mapping method.

As of WordPress 4.5, WordPress Multisite no longer requires a plugin to map domains. If you’re a Kinsta client and unsure about this, please reach out to our support team and ask for help.

Summary

Your WordPress login page is the gateway that grants you access to your site. If you aren’t able to log in successfully, you’re just a site visitor.

That’s why you should learn how to reach this key page so that you won’t waste lots of time every time you need to log in to your WordPress site.

Want to improve your security a bit? Change the standard WordPress login URL with a custom one of your choice and share that URL only with trusted people! Also, make sure to check this guide if WordPress keeps logging you out.

(Suggested reading: How to Change Your WordPress URL)

Хотите сделать первый для защиты своего сайта? Первым делом опытные веб-мастера советуют начать с защиты страницы входа WordPress. Разберем как это сделать.

Админ панель ВордПресс позволяет выполнять большую часть управления сайтом. С ее помощью вы можете создавать/редактировать контент, устанавливать/удалять плагины, работать с зарегистрированными пользователями, получать какую-то статистику по работе сайта и пр.

Зачем прятать админку?

По умолчанию, в WordPress для входа в административную панель используются следующие адреса:

https://site.ru/wp-admin/
https://site.ru/wp-login.php

Вроде бы ничего страшного, правда? Но, к сожалению, существует зловредное программное обеспечение, которое, зная адрес вашей админки, может внести вред работе всего сайта. Например, запустить подбор паролей и получить доступ к управлению всем сайтом.

Существует несколько способов добиться того, чтобы вход в админ-панель вашего сайта осуществлялся по другому, заданному вами, адресу. Будем использовать решения, которые решат задачу в один клик. Вам не придется писать ни одной строчки кода, а достаточно будет просто установить/активировать и указать нужный адрес.

Плагин Rename wp-login.php

Итак, после установки и активации плагина Rename wp-login.php, сразу “перекинет” на страницу Настройки > Постоянные ссылки, где Вы сможете вписать тот адрес, по которому необходимо будет заходить в администраторскую панель.

По умолчанию плагин предлагает вход в админку по адресу

http://site.ru/login

Теперь, пытаясь перейти по адресу

http://site.ru/wp-login.php

Вы получите 404 ошибку, т.е. что страница недоступна.

Вы можете задать произвольную ссылку, например, 12345 или secret-area.

Конечно, защита сайта не ограничивается только переименованием адреса входа в админ-панель, но в комплексе с другими решениями поможет защитить ваш сайт от нехорошего влияния.

Плагин WPS Hide Login

Это еще одно бесплатное решение чтобы сменить страницы авторизации.

После установки и активации перейдите Настройки > Общие и прокрутите страницу в самый низ.

В опции URL входа укажите новую страницу входа.

В настройке Redirection url задайте адрес, на который будет перенаправлен пользователь, отрывший страницу логина по умолчанию.

Плагин Clearfy Pro

Clearfy Pro – это платное дополнение для улучшения работы сайта. Среди его функций – изменение адреса страницы авторизации WP.

Если у вас активирован этот плагин, просто откройте раздел Clearfy Pro, перейдите на вкладку Защита. В опции Спрятать wp-login.php укажите новый секретный адрес.

Активировать промокод на 15%

В продолжении темы защиты админки мы разработали бесплатный онлайн-генератор htpasswd для дополнительной авторизации.

Нажмите, пожалуйста, на одну из кнопок, чтобы узнать понравилась статья или нет.

Взлом админки WordPress является наиболее неприятным событием для владельца сайта, так как напрямую передаёт контроль над проектом злоумышленнику. И сегодня я покажу, как защитить свой сайт от этой опасности.

К сожалению, стандартная конфигурация WordPress не защищена от простого перебора логинов и паролей. Поэтому хакерские боты просто переходят по адресу атакуемый-сайт.ru/wp-login.php и начинают автоматический перебор.

Даже если вы используете очень сложный пароль, рано или поздно он может быть найден, плюс ко всему каждый запрос бота заставляет сервер выполнять ряд скриптов, сверяющих введенные данные с базой, что создает немалую нагрузку и может привести к подвисанию сайта или к превышению разрешенной хостинг-провайдером нагрузки на сервер.

Решается задача в 2 шага:

1. Изменение стандартного адреса админки WordPress на произвольный, известный только вам.
2. Запрет доступа к сайту всем, кто пытается открыть стандартную страницу входа в админку, им выдаем 403 ошибку (Forbidden).

Первый шаг повысит безопасность, а второй избавит от лишней нагрузки на сервер.

Как изменить адрес админки WordPress

За вход в панель администратора отвечает файл wp-login.php, он находится в корневой директории сайта.

Нам нужно взять этот файл и создать копию с другим именем, используя произвольный набор символов, чем более загадочным будет новое название, тем меньше шансов на взлом.

Например, назовем файл wp-biznessystem-ru-SDF54-login.php.

Не удаляйте стандартный файл, так как без него не будет работать кнопка «Выход» из админ панели.

Чтобы новая страница входа в админку заработала, в самом файле необходимо провести корректировку.

Можете править прямо на сервере, но удобнее скачать на компьютер и работать с текстовым редактором Notepad++ (или другим, привычным вам).

Найдите внутри и замените все названия старого файла (wp-login.php) на новое (в примере wp-biznessystem-ru-SDF54-login.php).

Должно получиться 13 изменений.

Теперь сохраняем этот файл, возвращаем на хостинг и пробуем открыть админ панель по новому адресу.

Проверили, измененная страница входа работает, переходим к следующему шагу.

Как убрать доступ к стандартной админ панели

Теперь нам надо правильно отключить старую админ панель. Если просто удалить wp-login.php на хостинге, как я сказал выше, перестанет работать выход из админки, а это плохо, особенно, если вы пользуетесь общественным компьютером для работы с сайтом.

Кроме того, обращение к несуществующему файлу будет отдавать 404 ошибку (файл не найден). Роботу страницы 404 не нужна, а так как она является полноценной страницей сайта с большим объемом кода и, возможно, прикрученными скриптами и картинками – их отдача боту взломщику будет нагружать сервер.

Правильный подход — отдать 403 код с запретом доступа – это наименее ресурсозатратный серверный ответ, только его заслуживают хакеры.

Для реализации данной задачи используем файл htaccess (он лежит в корневой директории сайта), в самом начале файла вставляем следующий код:

# Смена админки
RewriteEngine on
RewriteCond %{REQUEST_URI} /wp-login.php.*$ [NC]
RewriteCond %{QUERY_STRING} !action=logout.* [NC]
RewriteRule ^(.*)$ - [F,L]

Скрипт выдает запрет доступа на любой запрос адресованный файлу wp-login.php, за исключением параметра logout (выход из адмики).

Хакеры будут получать 403 ошибку при попытке попасть в админ панель.

Особенность, с которой столкнетесь после изменения адреса админки

Когда мы выходим из панели управления, через кнопку «Выйти», сайт обращается к тому же самому файлу wp-login.php, а так как доступ к нему заблокирован для всех пользователей, нажатие кнопки выхода будет приводить к появлению страницы запрета доступа (403 Forbidden), а не к переходу на страницу авторизации.

Это никак не влияет на работоспособность сайта в других аспектах.

На этом закончим. Надеюсь, с переименованием админки ваша вебмастерская жизнь станет проще, так как отпадет проблема взлома, и будет время с головой окунуться в более интересные дела.

Доброго времени суток!

В этой статье я бы хотел рассказать про двенадцать шагов по защите админки WordPress.

Вообще, безопасность, самая популярная тема, но ней очень многие пренебрегают.

С WordPress очень легко создать блог или веб-сайт.

Тем не менее, бывают случаи (число которых увеличивается с каждым днем), когда люди страдают из-за того, что не обращают внимания на функции безопасности веб-сайта или блога WordPress.

Есть масса случаев, когда вы заглядываете на сайты фрилансеров, где сайты и блоги людей взламывают, и они просят помочь им.

Эти инциденты показывают, что, когда вы не обращаете внимания на безопасность своего веб-сайта WordPress, есть вероятность, что он может быть атакован хакерами.

Чтобы избежать этих случаев, вам необходимо защитить свою админку WordPress и страницу входа в систему.

В этой статье я собираюсь предоставить вам информацию о способах и шагах по защите самой сложной области вашего сайта WordPress, «административной области WordPress».

Давайте начнем.

Почему разумно изменить URL-адрес страницы входа

URL-адрес вашей страницы входа в WordPress (или «URL-адрес администратора») — это веб-адрес, который вы посещаете, когда хотите получить доступ к внутренней части вашего веб-сайта.

Вы знаете эту страницу — если вы не настроите страницу входа, она будет выглядеть примерно так …

По умолчанию все сайты WordPress используют идентичные структуры URL-адресов для этой страницы.

Например, если домен вашего веб-сайта «www.mysite.com», вы можете войти в систему, посетив «www.mysite.com/wp-login.php» или «www.mysite.com/wp-admin».

Это позволяет легко запомнить, как получить доступ к вашему сайту.

Однако недостатком является то, что любой, кто знает о WordPress первое, может быстро найти вашу страницу входа.

Как только они его обнаружат, хакеры могут попытаться взломать его.

С другой стороны, если вы измените URL-адрес на что-то, что трудно угадать, вы замедляете работу тех же хакеров, затрудняя поиск вашей страницы входа.

Кроме того, изменение URL-адреса страницы входа имеет дополнительное преимущество, так как оно может устранить значительный расход ресурсов ботов на ваш сайт.

1. Измените имя пользователя администратора по умолчанию и выберите надежный пароль.

Если вы устанавливаете WordPress, никогда не позволяйте учетной записи администратора по умолчанию быть как «admin».

Это настолько предсказуемо, чтобы попытаться провести атаку перебором паролей или любую другую атаку.

Выберите надежный пароль

Здесь, даже если вы измените свое имя пользователя «admin» как «iamadmin», это может создать чертовски большую разницу и избавить вас от множества проблем.

Но не используйте это имя, это пример, чтобы показать, как изменение имени администратора может иметь значение.

Что касается паролей, всегда следуйте руководству WordPress.

Когда вы вводите пароль под полем ввода, он показывает, насколько надежен ваш пароль.

Всегда делайте свой пароль надежным в этом отношении.

Теперь, даже если ваш веб-сайт не предоставляет хакеру никаких финансовых привилегий, это не мешает хакеру попытаться получить доступ к вашему сайту.

Позвольте мне представить вам простой сценарий, который довольно часто встречается на сайтах WordPress.

Взгляните на рисунок ниже:

Атака перебором паролей админки WordPress

Как видите, попытки взлома одного веб-сайта WordPress совершаются за один день.

Итак, как видно из рисунка, все попытки блокировки нацелены на имя пользователя «admin».

Итак, я думаю, что здесь я изложил свою точку зрения.

Возникает вопрос, почему они продолжают попытки?

Одна из наиболее ведущих и наиболее преобладающих причин заключается в том, что «WordPress не имеет запретительного основного правила ни для одного из атакующих».

Так что, если вы ничего не сделаете, они не перестанут пытаться.

Это подводит нас к следующему пункту.

2. Создайте настраиваемые ссылки для входа

Совершенно очевидно, что для доступа к административной панели WordPress все, что нужно сделать, это ввести URL-адрес сайта с «/wp-login.php» на конце.

Теперь, если вы использовали один и тот же пароль более чем в одном месте, и он оказался под угрозой, хакеру будет легко взломать ваш сайт.

Плагин под названием «Stealth Login» позволяет создавать пользовательские URL-адреса для входа, выхода, администрирования и регистрации для вашего блога WordPress.

Вы также можете включить «Скрытый режим», который предотвратит прямой доступ пользователей к «wp-login.php».

Затем вы можете установить более загадочный URL-адрес для входа.

Это не обеспечит идеальной защиты вашего веб-сайта, но если кому-то удастся взломать ваш пароль, им будет сложно найти, где на самом деле войти в систему.

Это также предотвращает доступ любых ботов, которые используются для злонамеренных действий, к вашему файлу «wp-login.php», пытаясь прорваться.

Изменить URL для входа

3. Ограничьте количество попыток входа в систему

В конце предыдущего пункта я сказал, что WordPress не запрещает никому из пользователей безуспешно пытаться войти в учетную запись.

Следовательно, вы должны ограничить вход в свою административную область и заблокировать пользователя.

Например на какое то определенное время, иначе он будет бесконечно пытаться угадать доступы для вашего блога или сайта WordPress.

Для этой цели вы можете использовать такие плагины, как Wordfence Security, WP Limit Login Attempts и Login LockDown.

Ниже приведен снимок экрана с WP Limit Login, поскольку я в настоящее время его использую и вам рекомендую.

Итак, когда вы вводите неправильные учетные данные, это выглядит так:

Ограничить попытки входа в систему

Запрет на слишком много попыток входа

Перейдем к следующему пункту:

4. Принудительно использовать SSL на страницах входа и в области администратора

Бывают случаи, когда вы входите на свой сайт WordPress через общедоступную сеть.

Это один из случаев, когда вы можете подвергнуться атаке «Man-in-the-middle attacks».

Хакеры могут прослушивать трафик и получать доступ к вашему HTTP-запросу.

Получив доступ к вашему запросу в WordPress, они смогут увидеть ваши учетные данные WordPress в виде обычного текста.

Этого можно избежать, используя вход через SSL. Вход через SSL позволяет вашему сайту WordPress быть доступным через HTTPS.

Обычно ваши услуги хостинга предоставляют это в вашей подписке.

Если нет, то вам нужно купить сертификат SSL и установить его на сервере вашего сайта.

Возможно, вы захотите проверить некоторые варианты в некоторых магазинах сертификатов SSL, таких как Cheap SSL Shop.

Если у вашего веб-сайта уже есть сертификат SSL и он работает по протоколу HTTPS, откройте файл «wp-config.php» и отредактируйте его, вставив следующий код:

// Используйте SSL (HTTPS) для страницы входа в систему.
define('FORCE_SSL_LOGIN', true);
// Используйте SSL (HTTPS) для всей административной области.
define('FORCE_SSL_ADMIN', true);

Константа «FORCE_SSL_LOGIN» гарантирует, что страница входа открывается только по HTTPS.

И константа «FORCE_SSL_LOGIN» ставит на второе место безопасное соединение во всей админке WordPress.

5. Защита паролем каталога «wp-admin»

Нет ничего плохого в наличии двух паролей.

Это просто добавляет еще один уровень безопасности в вашу админку WordPress.

Также это можно сделать с помощью плагина под названием «AskApache Password Protect».

Он шифрует ваш пароль и создает файл «.htpasswd», а также устанавливает правильные разрешения для файлов с повышенной безопасностью для всех.

Вы также можете использовать защиту паролем cPanel для каталога, если вы используете веб-хост cPanel для защиты каталога «wp-admin» паролем.

Защита паролем админки WordPress

6. Установите CAPTCHA на странице входа

Использование CAPTCHA в области администрирования может снизить количество попыток взлома, поскольку это предотвращает автоматические сценарии перебора паролей или любую другую автоматическую возможность атаки на вашу страницу входа.

Перейдите на панель управления, затем в «Плагины — Добавить новый» и введите «CAPTCHA».

Вы получите множество плагинов WordPress для включения CAPTCHA на странице входа в систему.

В настоящее время я использую плагин Captcha от BestWebSoft.

У этого плагина более 7 000 активных установок и хороший рейтинг.

Этот плагин создает новую область на вашей странице входа.

Простая активация этого плагина создаст изображение CAPTCHA, без которого никто не сможет войти в систему, даже зная имя пользователя и пароль.

Это эффективно блокирует автоматизированные атаки методом перебора паролей.

Взгляните на приведенный скриншот утилиты плагина.

Использование CAPTCHA для входа в систему

Помимо этого, вы также можете выбрать плагины капчи, такие как «Really Simple CAPTCHA», «Login No Captcha reCAPTCHA» и «Captcha Code».

7. Удалите сообщение об ошибке на странице входа в систему

Когда вы вводите неправильный пароль или неверное имя пользователя, вы получаете сообщение об ошибке на странице входа.

Поэтому, если хакер делает что-то правильно, сообщение об ошибке поможет ему определить это.

Поэтому вам следует полностью удалить это сообщение об ошибке.

Открой свой файл «functions.php», найдя его в папке вашей темы и вставьте следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

Плагин «Secure WordPress» также выполняет это и имеет другие функции. И вот результат:

Удалите сообщения об ошибках входа в систему

8. Разрешить вход только с определенных IP-адресов

Прежде чем продолжить этот момент, я хочу внести ясность.

Я рекомендую этот шаг только тем, у кого статический IP-адрес.

Если вы знаете свой IP-адрес, добавьте его в белый список, используя файл «.htaccess» из вашей папки «wp-admin».

Тем не менее, вы можете разрешить многим IP-адресам входить в вашу админку, но все же я рекомендую только владельцам статических IP-адресов.

Чтобы внести IP-адрес в белый список, вам нужно открыть папку «wp-admin», отредактировать файл с именем «.htaccess» и просто добавить следующие коды:

order deny, allow
 # Замените 99.99.99.99 на желаемый IP-адрес
allow from 99.99.99.99
 # Разрешите большему количеству IP-адресов доступ к области wp-admin, расскомментировав строку ниже и отредактировав IP-адрес
 # allow from 98.98.98.98
deny from all

Как видите, измените 99.99.99.99 на желаемый IP-адрес, аналогично и для второго IP-адреса.

Если вы не добавите IP-адрес и они попытаются получить доступ к вашей админке, они получат следующее сообщение:

Заблокировать доступ по IP-адресу

9. Добавьте дополнительный уровень с помощью двухфакторной аутентификации

Вы можете использовать двухфакторную аутентификацию, чтобы добавить дополнительный уровень безопасности в админку WordPress.

Чтобы применить его на своем веб-сайте, вам просто нужно установить и активировать плагин.

При поиске двухфакторной аутентификации на странице плагинов веб-сайта WordPress вы увидите следующие результаты:

Плагины двухфакторной аутентификации

10. Используйте зашифрованный пароль для входа

Если у вас не включен SSL, этот метод пригодится.

Существует плагин, который позволяет вам выполнять эту работу, и он называется «Semisecure Login Reimagined».

«Semisecure Login Reimagined» повышает безопасность процесса входа в систему с помощью открытого ключа RSA для шифрования пароля на стороне клиента, когда пользователь входит в систему.

Затем сервер расшифровывает зашифрованный пароль с помощью закрытого ключа.

Для включения шифрования требуется JavaScript.

11. Одноразовый пароль

Плагин «WP-OTP» позволяет вам войти в свой блог WordPress, используя пароли, действительные только для одного сеанса.

Одноразовые пароли предотвращают кражу вашего основного пароля WordPress в менее надежных средах, таких как интернет-кафе, например, с помощью клавиатурных шпионов.

12. Обновите WordPress до последней версии

И последнее, но не менее важное — это оставаться в курсе последних версий WordPress, потому что после выпуска каждой версии WordPress также выпускает ошибки и эксплойты предыдущей версии, что подвергает вашу админ-панель риску, если вы не обновитесь.

Подведем итоги этой статьи

WordPress очень прост в использовании, и поэтому он всем нравится.

Но мы забываем, что эта простота функциональности может быть жестокой, если кто-то другой обнаружит доступ к вашему сайту.

Итак, я рекомендую выполнить все шаги, которые я упомянул выше в статье.

Кроме того, использовать эту технику на удивление просто.

Фактически, это займет у вас всего несколько минут, если вы воспользуетесь правильным инструментом.

Установив такой плагин, как «WPS Hide Login», вы можете изменить URL-адрес своей страницы входа в настройках панели управления и увидеть, как изменения вступят в силу немедленно.

Знаете ли вы какие-либо альтернативные способы найти логин администратора WordPress?

Если у вас возникнут какие-либо проблемы, просто дайте мне знать через комментарии, и я помогу вам решить эту проблему.

На этой ноте я буду заканчивать.

Не забудьте подписаться на рассылку новых статей по WordPress.

До скорых встреч и берегите себя!