Jak zmienić adres strony logowania

Formularz logowaniaStandardowo strona logowania do panelu administracyjnego WordPressa znajduje się pod adresem http://nasza-domena.pl/wp-login.php. Adres ten nie wygląda zbyt przyjaźnie, co może mieć znaczenie gdy udostępniamy możliwość logowania użytkownikom naszej strony, a poza tym jest często wykorzystywany do ataków typu brute force. Można go jednak w łatwy sposób zmienić, podobnie jak adresy stron rejestracji i przypomnienia hasła.

Zobacz jak można zmienić wygląd strony logowania →

Do zmiany adresu strony logowania wykorzystamy darmową wtyczkę Custom Login URL. Po jej instalacji i aktywacji w sekcji Ustawienia → Bezpośrednie odnośniki panelu administracyjnego pojawią się nowe opcje, za pomocą których możemy zmienić adresy URL wszystkich stron związanych z logowaniem i rejestracją użytkowników.

Custom Login URL

W sekcji Authentication Permalinks możemy zmienić następujące adresy URL:

  • Login URL – strona logowania (domyślnie /wp-login.php)
  • Registration URL – strona rejestracji nowego użytkownika (domyślnie /wp-login.php?action=register)
  • Lost Password URL – strona odzyskiwania hasła (domyślnie /wp-login.php?action=lostpassword)
  • Logout URL – adres URL służący do wylogowania się (domyślnie /wp-login.php?action=logout)

Warto dodać, że wtyczka korzysta z odpowiednich filtrów WordPressa, tak więc jeśli na przykład nasz motyw wyświetla link do strony logowania (i robi to w prawidłowy sposób), to adres URL tego linka zostanie automatycznie zmodyfikowany.

Dodatkowo w sekcji Authentication Redirects możemy zmienić adresy URL, na które zostanie przekierowany użytkownik po zalogowaniu (Login Redirect URL – domyślnie /wp-admin/) i wylogowaniu (Logout Redirect URL – domyślnie strona główna naszego serwisu).

Po zapisaniu zmian możemy korzystać z nowych adresów URL. Co ważne, wejście na którykolwiek ze „starych” adresów spowoduje przekierowanie na nowy adres.

Bonus: poprawa bezpieczeństwa

Na zmianę adresu URL strony logowania możemy również spojrzeć przez pryzmat bezpieczeństwa naszego serwisu. Wprawdzie w ten sposób całkowicie jej nie ukrywamy, ale dla większości skryptów używanych do ataków typu brute force taka zmiana adresu okaże się poważną przeszkodą – zwykle celują one w skrypt wp-login.php i nie podążają za przekierowaniami.

Bezpośredni link

  • Korzystałem ze wtyczki na jednej z instalacji wordpressa(najnowszego) u klienta i po dwóch-trzech logowaniach nagle przestała działać… Nie wiem dlaczego ale zamiast szukać problemu we wtyczce, poszukałem innej. Padło na WP Cerber – na bieżąco aktualizowana i naprawdę dobra, jeśli chodzi o ochronę przed atakami typu brute force(+ również daje możliwość zmiany wp-login na co innego). Wtyczka jest od autora Plugin Inspector, wcześniej opisywanego na łamach serwisu, także można chyba zaufać :)

  • A co z przekierowaniem adresu /login i /admin? Ukrywa ta wtyczka czy nadal są dostępne?

  • Andrzej

    hmm, jakoś tak nie czuję pędu do zainstalowania tej wtyczki.. Funkcjonalność OK, ale choćby wtyczka pięterko niżej wygląda mi bezpieczniej..

    • Dlaczego według Ciebie wygląda bezpieczniej? Bo została zaktualizowana 2 miesiące temu? ;)

      https://wpzen.pl/kolejna-wtyczka-ze-zlosliwym-kodem-w-oficjalnym-repozytorium/ – ta wtyczka też była aktualizowana. ;)

      • Andrzej

        Ja wiem że może to dziwne, ale tak po prostu mam.. jeśli mam coś wybierać wolę coś co widzę że jest sprawdzone z ostatnią wersją i że o to ktoś dba. Jeśli mam wybór, wybiorę wersję która jest „up to date” oraz aktualizowana. Dziwne?

        • Nie, to nie jest dziwne. Ja tylko chciałem pokazać, że częste aktualizacje nie są dowodem na wyższość jednej wtyczki nad drugą, a brak aktualizacji nie jest jednoznaczny z problemami z bezpieczeństwem.

  • Dobry temat. O wtyczce nie słyszałem, jednak wygląda na to, że jest ok.

  • DMati

    Skoro….

    Co ważne, wejście na którykolwiek ze „starych” adresów spowoduje przekierowanie na nowy adres.

    To nie bardzo…

    dla większości skryptów używanych do ataków typu brute force taka zmiana adresu okaże się poważną przeszkodą

    Chyba, że jest blokada zdalnego odpytywania?

    • Ostatnie zdanie w treści wpisu:

      „(…) zwykle celują one w skrypt wp-login.php i nie podążają za przekierowaniami.”

      ;)

      • DMati

        Tak jak Googleboty ;-))

  • Atakujący częściej będą atakować XML-PRC – sprawdzę te wtyczkę po kontem działania zabezpieczonych wpisów, gdyż często po zmienie bez modyfikacji w pliku zabezpieczone wpisy po prostu nie działają, ponieważ sprawdzenie hasła odbywa się właśnie przez wp-login.php

    • Dostęp do XML-RPC najlepiej zablokować na poziomie serwera (.htaccess), bo i tak większość osób z tego w ogóle nie korzysta.

  • Wtyczka All In One WP Security & Firewall także daje możliwość ukrycia panelu administracyjnego.

  • Paweł Miastkowski

    Może troszeczkę pytanie niezgodne z wpisem, za co z góry przepraszam, ale czy istnieje wtyczka, którą by Pan polecił, dajaca możliwość zmiany treści mejla, który przychodzi do użytkownika po zarejestrowaniu, a zawiera link aktywacyjny konto. Treść mejla jest w jeżyku angielskim, chciałbym, by była – po polsku.

    • Jeśli treść jest w języku angielskim, to albo masz WordPressa w języku angielskim, albo ta treść pochodzi z jakiejś wtyczki. W tym drugim przypadku jeśli nie masz możliwości zmiany treści maila z poziomu panelu administracyjnego, to będziesz musiał ją przetłumaczyć – np. w taki sposób: https://wpzen.pl/loco-translate-latwe-tlumaczenie-motywow-wtyczek/

      • Paweł Miastkowski

        Treść pochodzi z BuddyPressa. Tak, myślałem też – by wykorzystać Loco :)

  • luk

    Już sam nie wiem co sądzić o zmianie adresu logowania. Jedni mówią zmieniaj, drudzy – nie zmieniaj bo obciąży Ci 404 itd, i komu tu wierzyć? Czy na te chwilę coś w tym temacie się zmieniło?

    • Co to znaczy „obciąży 404”?

      • luk

        Spotykam się z takim stwierdzeniem, że: jeżeli strona błędu 404 jest obsługiwana przez WordPress to po zmianie adresu logowania odpytania będą tam trafiać,a to samo w sobie generuje obciążenie (czasem większe niż formularz logowania).

        Tak czy inaczej uważasz zmianę za słuszną na ten moment? Waham się. Jeżeli już to wolałbym to zrobić manualnie, aniżeli za pomocą wtyczki, Googluje właśnie to

        • Jak zaznaczyłem we wpisie, stary adres logowania jest przekierowywany na nowy, tak więc problem, o którym piszesz, nie występuje (nie dostaniesz strony błedu 404).