Pre prihlásenie do administrácie WordPress stránky sa predvolene používa adresa v tvare www.domena.sk/wp-admin, čo môže predstavovať značný bezpečnostný problém, nakoľko je táto adresa na každom WordPress webe v zásade rovnaká.
Potenciálni útočníci sa tak bez najmenšieho problému vedia dostať na prihlasovaciu stránku, takže im nič nebráni v tom, aby prostredníctvom nej mohli skúšať rôzne kombinácie mena/hesla tak, aby sa dokázali prihlásiť do administrácie danej WordPress stránky a následne na nej vykonávať rôznu záškodnícku činnosť.
Ak by ale túto URL prihlasovacej stránky nepoznali, nemali by kde tieto pokusy o nabúranie sa do administrácie testovať. Na mieste je teda otázka, či by nebolo lepšie mať z dôvodu bezpečnosti pre každý WordPress web túto admin URL inú. Samozrejme, že áno.
Ako teda zmeniť wp-admin za niečo iné?
Ako na všetko (takmer všetko) existuje aj pre toto veľké množstvo viac-či menej vhodných pluginov, ktoré zmenu prihlasovacej URL zabezpečia. Osobne však odporúčam iba jeden z nich – WPS Hide Login, ktorý sa vo WordPress komunite teší značnej obľube. Je jednoduchý na konfiguráciu, to ale neznamená, že nerobí to, čo má. Robí, a veľmi dobre.
Po jeho inštalácii ho treba nakonfigurovať:
- V administrácii vášho WordPress webu choďte vľavo v menu do časti Nastavenia/WPS Hide Login
- V riadku Login URL zadajte váš vlastný názov prihlasovacej URL adresy (napr. moja-admin-url) a v riadku Redirection url nastavte URL, na ktorú bude návštevník presmerovaný, ak sa bude pokúšať otvoriť www.domena.sk/wp-admin. Odporúčam nič nemeniť a ponechať predvolené „404“.
- Po uložení sa zmení adresa prihlasovacej stránky z www.domena.sk/wp-admin na www.domena.sk/moja-admin-url Okrem vás už teda žiadny útočník nebude poznať správnu adresu pre prihlásenie sa do administrácie, čím podstatne zredukujete rôzne pokusy o nabúranie sa do vašej stránky.
- Ak používate na stránke nejaký kešovací plugin, je potrebné nastaviť, aby táto nová URL nebola kešovaná, avšak len v prípade, že nepoužívate WP Rocket. Tento je totiž s pluginom WPS Hide Login plne kompatibilný, nastaví si to sám. Ak využívate W3 Total Cache alebo WP Super Cache, tieto by mali zobraziť notifikáciu o potrebne vyňať URL z kešovania, samé to však nenastavia. V prípade WP Fastest Cache choďte v nastaveniach do karty Vylúčiť a pridajte nové pravidlo:
TIP: 10 tipov ako zabezpečiť vašu WordPress stránku
Ja namiesto pluginu dám do htaccess admin iba z mojej pevnej IP.
Toto je super riešenie, ak k administrácii pristupujete len vy, a len zo svojho internetu so statickou IP. Ak tam ale potrebuje pristupovať aj klient, resp. nemáte statickú IP, alebo pracujete z rôznych miest, je toto nepoužiteľné.
ahoj, lubomir. skvely clanok, dakujem za jeho napisanie a publikaciu 🙂 som len takym amaterskym uzivatelom wp, hosting mam od websupportu a spravidla instalujem wp s ich balikom pluginov, zda sa byt celkom fajn nakonfigurovany. mam tym padom na vsetkych strankach w3 total cache. nainstaloval som na jednej skusobne WPS Hide Login a chcel by som novu prihlasovaciu url vylucit, ako to radis v blogu – avsak ziadne taketo nastavenie vo w3 total cache nevidim. uprimne napisane: nechce sa mi na 15 weboch (mojich a tych, ktore spravujem) reinstalovat w3 na wp super cache… vies poradit? vopred vdaka!
Ďakujem. Teší ma, že je článok pre teba užitočný. Vo W3 Total Cache vylúčiš stránku z kešovania cez menu „performance/page cache/advanced“ a tam je kolónka „Never cache the following pages:“
Dobrý deň,
Po nainštalovaní a nastavení pluginu W3Total Cache spadol celý web. Nebolo možné ho zobraziť. Cez SFTP som vymazala tento plugin, následne sa web zobrazil.
Do wp adminu sa ale neviem vôbec prihlásiť. Ak do prehliadača zadám link: doména.sk/wp-admin, link preskočí na: domena.sk/wordpess/wp-admin a zobrazí sa hlásenie, že táto stránka nefunguje, http error 500.
Ak do prehliača zadám link : doména.sk/login , zase sa v linku objaví : domena.sk/wordpress/wp-login.php . Tu sa síce už zobrazí prihlasovacia stránka, ale po zadaní mena a hesla je tam zase hláška že táto stránka nefunguje a zakaždým je tam v linku to wordpress.
Ide o nemecký webhosting a mám prístup len na server cez program FileZilla. Tu je v adresári súbor s názvom wordpress a v ňom je wp-admin, wp-content a wp-includes.
Na iných weboch som ešte nevidela, že by na FTP bol súbor s názvom wordpress. Iba doména, wp-content atď.
Viete mi prosím poradiť, prečo sa toto deje a prečo sa nedá prihlásiť do adminu, prípadne ako to vyriešiť? Ďakujem vopred za odpoveď 🙂
Dobrý deň.
WordPress je zrejme nainštalovaný v podadresári „wordpress“, čo nie je štandardné riešenie. Web je teda dostupný na „domena.sk/wordpress“.
Taktiež je na stránke nejakým pluginom zmenená URL pre prihlasovanie z „wp-admin“ na „login“.
Keď sa vám ale zobrazí prihlasovacia obrazovka, ale prihlásenie nefunguje, bude chyba niekde inde. Ak sa vypíše chyba 500, to bude zrejme nejaká chyba na serveri, alebo v PHP súboroch. Treba pozrieť error logy (zväčša sú dostupné cez FTP), na čom to vlastne padá. Prípadne kontaktujte hosting, či by vám s tým nepomohli.