WordPress adalah target populer karena digunakan oleh puluhan juta orang . Bukan rahasia lagi bahwa halaman login default bisa ditemukan de...
WordPress adalah target populer karena digunakan oleh puluhan juta orang . Bukan rahasia lagi bahwa halaman login default bisa ditemukan dengan masuk wp-admin , atau wp-login.php . Artikel ini menunjukkan cara untuk secara manual mengaburkan halaman masuk situs Anda tanpa plugin.
Serangan brute force adalah metode yang digunakan hacker untuk mendapatkan akses ke situs Anda dengan menebak kata sandi masuk Anda. Salah satu cara untuk mencegah serangan, adalah mengaburkan halaman login Anda, terutama jika situs Anda berjalan di WordPress.
Ada argumen yang menarik untuk melakukan ini untuk kinerja. Jika Anda mendapatkan terlalu banyak permintaan http, seperti dari zombie bot army hellbent saat masuk ke situs web Anda - server Anda dapat kehabisan memori. Hal ini dapat memperlambat situs Anda secara signifikan, dan membuat pengunjung Anda marah.
Sebelum Anda mulai, backup file Anda. Jangan pernah percaya sebuah direktori yang tidak dapat Anda hapus, dan jangan pernah mempercayai komputer yang tidak bisa Anda lepaskan dari jendela. Jadi mari kita lakukan ini!
Secara manual Buat File Login PHP Baru
Secara default, file wp-login.php berisi semua kode yang menghasilkan halaman login, dan menangani urutan login. Kita bisa menggunakan kode dari wp-login.php di file baru kita.
Ini adalah cara mentah namun efektif untuk mengubah nama file wp-login.php Anda. Hal ini pada gilirannya akan mengubah url login anda. Yang Anda butuhkan hanyalah akses ke file situs Anda, dan editor teks. Saya menggunakan editor teks gratis yang disebut Notepad ++ untuk contoh ini.
Hanya ada 5 Hal yang perlu kita lakukan:
Buat file baru
Copy kode dari wp-login.php anda , lalu paste ke file baru anda.
Ganti setiap instance dari wp-login.php dengan nama file yang baru. Cari dan ganti adalah teman anda.
Hapus file wp-login.php .
Login melalui URL baru anda.
1. Buat File Baru
Buat file baru dari editor teks dan simpan ke folder root Anda. Namai file ini apapun yang anda inginkan dari url login anda. Dalam hal ini saya menamainya baru-login.php .
2. Copy dan Paste the Code
Selanjutnya buka file wp-login.php , pilih semua kode, dan salin ke file baru Anda. Pastikan untuk menyimpannya.
3. Cari dan Ganti String "wp-login.php"
Sekarang cari dan ganti setiap instance dari "wp-login.php" di file - lalu ganti dengan nama file baru anda. Notepad ++ memiliki fungsi find and replace yang bisa saya gunakan untuk memburu setiap instance dari "wp-login" dan menggantinya dengan cepat.
4. Hapus File wp-login.php
Sekarang anda bisa menghapus wp-login.php . Jangan khawatir, Anda masih akan memiliki cadangan Anda jika terjadi kesalahan yang mengerikan.
5. Uji Out Your New URL Login
Sekarang Anda harus bisa masuk dengan menavigasi ke URL baru Anda. Dalam kasus saya, ini localhost / test / wordpress / new-login.php . Permintaan http ke direktori /wp-login.php , atau / wp-admin akan mengarahkan pengunjung ke halaman 404 yang tidak ditemukan.
Halaman Login yang Tidak Jelas Dengan URL Forwarding
Anda dapat menggunakan redirection URL (juga dikenal sebagai URL forwarding) untuk mengaburkan halaman login Anda tanpa plugin. Pada server Apache, Anda menggunakan modul mod_rewrite untuk memanipulasi URL. Ini bisa menjadi rumit, namun memungkinkan Anda melakukan sejumlah tugas yang tak terbatas - seperti membuat alias untuk halaman wp-login.php .
Metode ini kurang tentang keamanan, dan lebih banyak lagi tentang cara URL muncul di bilah alamat. Tambahkan kode berikut ke file .htaccess Anda untuk mengubah nama URL masuk Anda:
RewriteRule ^mynewlogin$ http://www.yoursite.com/wp-login.php [NC,L]
You can now reach the admin url from http://www.yoursite.com/mynewlogin . Keep in mind that this will not keep people from being able to access the wp-login.php page. It simply allows people to login from a different url.
Why You Should Use a Plugin to Obscure Your Site’s Login Page
When should you use a plugin to obscure your site’s login page? Almost always. There are some darn good reasons why you are better off just using a plugin to obscure your login URL. While manually creating a new login path won’t give you issues with future updates, it’s best practice to NOT hack the core .
You may run into compatibility issues with plugins that contain code with wp-login.php . Even if it is fun, some unpredictable things can happen. Messing around too much with the core can seriously foul things up. Besides, there are lots of trustworthy plugins that can get the job done for you, for free.
As far as using .htaccess , there are a dizzying array of ways that you can use it to obscure your login. Again, this convenience is at the price of complexity. Additionally, misuse of rewrite rules can eat up memory on your server, effectively slowing down your site. Redirects can also cause problems with AJAX , which WordPress makes heavy use of.
The best way to change your login page would be to use PHP. In WordPress, if you are going to use PHP, best practice dictates that you use a plugin . There are some very well-written plugins you can get for free, or you can write your own.
WPS Hide Login
Remember earlier (last paragraph) when I said that there are plenty of free plugins? This is one of them. WPS Hide Login lets you change the login form with one click. You can set it for a single site or for your network. It’s very lightweight, it doesn’t use redirects. and it doesn’t change core files. This is much cleaner than a redirect, or hacking the core. It simply adds a form field into your dashboard settings. You can download this plugin from the official WordPress plugin repository.
Additional Security Measures
It isn’t wise to use obscurity as your only security measure. If you are obscuring your login page, you will also want to make sure that you have everything else locked down. This includes:
Using strong passwords. There’s no excuse not to. WordPress automates this for you with a password generator.
2-Step authentication. You can create a user database with users or groups that are allowed to access certain pages. See Authentication and Authorization on Apache.org.
Limit access control. Limit the amount of access to resources on your site.
For login and security plugins, visit wordpress.org and search the term login . Also see our post on How to Scan Your Website for Hidden Malware .
Wrapping Up
There are many ways to obscure your login page with WordPress to add an additional layer of security. You can easily hack your WordPress files, or use a plugin to obscure your login page. However, many argue that security through obscurity doesn’t make your site more secure , and that there are better ways to secure your login.
What do you think? Do you have any top obscurity or security tips to share?
Article thumbnail image by robuart / shutterstock.com
COMMENTS