Gibt es eine Möglichkeit, wp-login.php umzubenennen oder auszublenden?

26

Wie kann man die URL von wp-login.php ändern? Es scheint unsicher zu sein, dass jeder, der jemals Wordpress verwendet hat, leicht erkennen kann, ob Ihre Site es verwendet, und direkt zur Anmeldeseite gelangen kann.

Früher gab es ein Plugin namens "Stealth Login", das jedoch nicht aktualisiert wurde. (Und daher unsere Abneigung, sich auf Plugins zu verlassen).

David
quelle
2
Naja ... du musst auch / wp-admin / verstecken, oder?
Iulian
Meine Antwort finden Sie unter wordpress.stackexchange.com/questions/217828/…. Es wird genau das tun, was Sie benötigen, und der ursprüngliche Pfad wird blockiert, sodass niemand weiß, dass Sie WordPress tatsächlich verwenden. Wordpress.org/plugins/wp-hide-security-enhancer
WP-Silver
WPS Login Plugin verstecken wordpress.org/plugins/wps-hide-login
crmpicco

Antworten:

23

Wenn Sie dies für Ihre eigene Site tun, ist die Verwendung .htaccessmöglicherweise der einfachste Weg, obwohl es schwierig werden kann, wenn Sie möchten, dass es für ein Plug-in funktioniert, da es viele verschiedene subtile Konfigurationsunterschiede gibt, die unterstützt werden müssen.

Hier sind einige Artikel, die helfen könnten; Nicht alle beantworten Ihre Frage direkt, aber alle gehen auf die eine oder andere Weise auf Ihre Sicherheitsbedenken ein:

Und das ist natürlich kein Blog-Experte für Apache und WordPress als der Typ, der AskApache schreibt . Schauen Sie sich diese an:

MikeSchinkel
quelle
wp-login.php funktioniert immer noch mit rewrite, oder?
Khaled_webdev
Wir benötigen eine feste IP-Adresse, um den Zugriff von allen zu verweigern und von IP zuzulassen. Diese Technik beschränkt jedoch den Zugriff von jedem Ort, an dem eine Person von ihrem Telefon oder Tablet aus auf eine andere, nicht zugelassene IP-Adresse zugreifen möchte.
Khaled_webdev
11

Ich bin vor kurzem auf dasselbe Problem gestoßen, und Sie haben Recht, dass das Stealth-Plugin nicht mehr unterstützt wird. Da mir jedoch endlich klar wurde, dass das Stealth-Plugin die beste Option ist, habe ich eine Neuinstallation von WordPress auf die letzte Version von WordPress durchgeführt, die das Stealth-Plugin unterstützt, um herauszufinden, wie das Plugin funktioniert. Es stellt sich heraus, dass das Plugin nur eine .htaccess-Datei mit etwas Magie erstellt. Die .htaccess-Datei sieht ungefähr so ​​aus:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^logout wp-login.php?action=logout&_wpnonce=asdfasdf&stealth_out_key=asdfasdfasdfasdf [L]
RewriteRule ^login wp-login.php?stealth_in_key=asdfasdfasdf&redirect_to=http://example.com/login [R,L]
RewriteRule ^admin wp-admin/?stealth_admin_key=asdfasdfasdfasdf [R,L]
RewriteCond %{HTTP_REFERER} !^http://example.com/wp-admin
RewriteCond %{HTTP_REFERER} !^http://example.com/wp-login\.php
RewriteCond %{HTTP_REFERER} !^http://example.com/login
RewriteCond %{HTTP_REFERER} !^http://example.com/admin
RewriteCond %{QUERY_STRING} !^stealth_in_key=asdfasdfasdfasdf
RewriteCond %{QUERY_STRING} !^stealth_out_key=asdfasdfasdfasdfasd
RewriteCond %{QUERY_STRING} !^stealth_reg_key=asdfasdfasdfasdfasdf
RewriteCond %{QUERY_STRING} !^stealth_admin_key=asdfasdfasdfasdfasdf
RewriteRule ^wp-login\.php http://example.com [R,L]
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^wp-login\.php http://example.com [R,L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Ich habe alle Schlüssel auf eine Variante von "asdfasdfasdf" geändert - offensichtlich müssten Sie einige geheime Schlüssel für sich selbst erstellen.

Hoffe das hilft!

epaps
quelle
Wie komme ich nun zu meiner Anmeldeseite?
DropHit
-2

Oder Sie können die Datei von wp-login.php in some-obscure-name.php umbenennen. Wenn Sie sich dann anmelden möchten, geben Sie Ihre URL / some-obscure-name.php ein, anstatt zu wp-admin.php zu wechseln

user35833
quelle
5
Ich bin mir ziemlich sicher, dass wenn Sie dies und das alleine tun, es zahlreiche Probleme mit der Funktionalität geben würde. Wie würden Sie das kompensieren?
s_ha_dum
-3

Folgendes habe ich getan:

Ich habe das Verzeichnis wp-admin einfach in einen unbekannten Namen pfgkn umbenannt.

gehen http://your-domain.com/wp-admin/Sie zu Ihrer Homepage bei Umleitungen http://your-domain.com/oder was auch immer Ihre 404 nicht gefunden Umleitungen.

Wenn ich mich einloggen muss, benenne ich das pfgkn-Verzeichnis einfach in wp-admin um, nehme meine Änderungen vor und benenne es dann wieder in pfgkn um.

BigArn
quelle
4
Ich kann nicht sehen, wie das etwas nicht kaputt machen würde.
s_ha_dum
1
"oder was auch immer Ihre nicht gefundene 404-Weiterleitung zu" - Ihre nicht gefundene 404- Seite sollte nicht zu irgendetwas weiterleiten !?
MrWhite