Standardowo strona logowania do panelu administracyjnego WordPressa znajduje się pod adresem `http://nasza-domena.pl/wp-login.php`. Adres ten nie wygląda zbyt przyjaźnie, co może mieć znaczenie gdy udostępniamy możliwość logowania użytkownikom naszej strony, a poza tym jest często wykorzystywany do ataków typu brute force. Można go jednak w łatwy sposób zmienić, podobnie jak adresy stron rejestracji i przypomnienia hasła.
Zobacz jak można zmienić wygląd strony logowania →
Do zmiany adresu strony logowania wykorzystamy darmową wtyczkę Custom Login URL. Po jej instalacji i aktywacji w sekcji Ustawienia → Bezpośrednie odnośniki panelu administracyjnego pojawią się nowe opcje, za pomocą których możemy zmienić adresy URL wszystkich stron związanych z logowaniem i rejestracją użytkowników.
W sekcji Authentication Permalinks możemy zmienić następujące adresy URL:
- Login URL – strona logowania (domyślnie `/wp-login.php`)
- Registration URL – strona rejestracji nowego użytkownika (domyślnie `/wp-login.php?action=register`)
- Lost Password URL – strona odzyskiwania hasła (domyślnie `/wp-login.php?action=lostpassword`)
- Logout URL – adres URL służący do wylogowania się (domyślnie `/wp-login.php?action=logout`)
Warto dodać, że wtyczka korzysta z odpowiednich filtrów WordPressa, tak więc jeśli na przykład nasz motyw wyświetla link do strony logowania (i robi to w prawidłowy sposób), to adres URL tego linka zostanie automatycznie zmodyfikowany.
Dodatkowo w sekcji Authentication Redirects możemy zmienić adresy URL, na które zostanie przekierowany użytkownik po zalogowaniu (Login Redirect URL – domyślnie `/wp-admin/`) i wylogowaniu (Logout Redirect URL – domyślnie strona główna naszego serwisu).
Po zapisaniu zmian możemy korzystać z nowych adresów URL. Co ważne, wejście na którykolwiek ze „starych” adresów spowoduje przekierowanie na nowy adres.
Bonus: poprawa bezpieczeństwa
Na zmianę adresu URL strony logowania możemy również spojrzeć przez pryzmat bezpieczeństwa naszego serwisu. Wprawdzie w ten sposób całkowicie jej nie ukrywamy, ale dla większości skryptów używanych do ataków typu brute force taka zmiana adresu okaże się poważną przeszkodą – zwykle celują one w skrypt `wp-login.php` i nie podążają za przekierowaniami.