Bartosz Świnicki
13 listopada, 2022
Ten kod to rozwiązanie, które pozwala na zmianę domyślnego adresu URL strony logowania WordPress (wp-login.php) na własny, niestandardowy adres. Zmiana adresu URL strony logowania może ograniczyć potencjalne ataki na stronę, utrudniając złośliwym hakerom odgadnięcie strony logowania oraz przeprowadzenie ataku typu *brute force.
function custom_login_page() {
$custom_login_page_slug = 'fuckhackers'; // Zamień 'fuckhackers' na preferowany adres URL logowania
return home_url('/' . $custom_login_page_slug . '/');
}
add_filter('login_url', 'custom_login_page', 10, 2);
function redirect_to_custom_login() {
$custom_login_url = custom_login_page();
if (strpos($_SERVER['REQUEST_URI'], 'wp-login.php') !== false) {
wp_redirect($custom_login_url);
exit();
}
}
add_action('init', 'redirect_to_custom_login');
function custom_login_init() {
$custom_login_url = custom_login_page();
if (parse_url($_SERVER['REQUEST_URI'], PHP_URL_PATH) == parse_url($custom_login_url, PHP_URL_PATH)) {
require_once(ABSPATH . 'wp-login.php');
exit();
}
}
add_action('init', 'custom_login_init', 9999);
Funkcja custom_login_page(): Tworzy niestandardowy adres URL strony logowania. Wartość $custom_login_page_slug definiuje, jak będzie wyglądać nowy adres URL. W tym przypadku nowy adres to /fuckhackers/.
Filtr add_filter(’login_url’, 'custom_login_page’, 10, 2): Zastępuje domyślny adres URL strony logowania niestandardowym adresem utworzonym przez funkcję custom_login_page().
Funkcja redirect_to_custom_login(): Przekierowuje użytkowników próbujących uzyskać dostęp do domyślnego adresu URL strony logowania (wp-login.php) na nowy, niestandardowy adres.
Akcja add_action(’init’, 'redirect_to_custom_login’): Dodaje funkcję redirect_to_custom_login() do zdarzenia ’init’, aby przekierowanie było aktywowane po załadowaniu WordPressa.
Funkcja custom_login_init(): Sprawdza, czy użytkownik próbuje uzyskać dostęp do niestandardowego adresu URL strony logowania, a jeśli tak, ładuje oryginalny plik wp-login.php, aby wyświetlić stronę logowania.
Akcja add_action(’init’, 'custom_login_init’, 9999): Dodaje funkcję custom_login_init() do zdarzenia ’init’ z wysokim priorytetem (9999), aby upewnić się, że zostanie ona wywołana po wszystkich innych funkcjach zarejestrowanych dla tego zdarzenia.
*brute force – Brute force (w języku polskim „ataki siłowe” lub „próby brutalnej siły”) to metoda ataku hakerskiego polegająca na próbie odgadnięcia hasła poprzez systematyczne przeszukiwanie wszystkich możliwych kombinacji liter, cyfr i innych znaków. Ataki te są zwykle przeprowadzane przez programy komputerowe, które generują wiele prób szybko i automatycznie.
W przypadku ataków na strony internetowe, hakerzy mogą stosować ataki brute force, aby uzyskać dostęp do kont użytkowników lub panelu administracyjnego strony. Dla WordPressa, ataki brute force są często kierowane na stronę logowania (wp-login.php) lub na pliki XML-RPC, które pozwalają na zdalne zarządzanie stroną.
Ataki brute force są proste w swoim podejściu, ale mogą być skuteczne, jeśli użytkownicy mają słabe hasła. Zabezpieczenia przed atakami brute force obejmują stosowanie silnych haseł, zmiana adresu URL strony logowania, ograniczenie liczby prób logowania oraz stosowanie weryfikacji dwuskładnikowej (2FA). Wtyczki zabezpieczające, takie jak Wordfence Security, iThemes Security czy All In One WP Security & Firewall, mogą pomóc w zapewnieniu dodatkowej ochrony przed tego typu atakami.
Bartosz Świnicki
5 kwietnia, 2023
Bartosz Świnicki
21 kwietnia, 2023