Защита блога, меняем файл авторизации wp-login.php

wplogo.gifОчередная паника в этих ваших интернетах. На днях получил от одного из хостеров предупреждение, что на некоторые из моих сайтов на WordPress некие злоумышленники производят атаки с целью подбора логина с паролем. И было рекомендовано что-то сотворить с файлом авторизации wp-login.php, ибо он и есть мишень. Оказывается кулхацкеры запустили в сеть нового трояна Trojan.WPCracker.1, который и занимается всем этим безобразием.

Короче, чтобы успокоить хостера и для собственного душевного равновесия решил я поступить просто: поменять файлик wp-login.php на точно такой же, но с другим именем. Делается это элементарно:

1. Открываем в правильном редакторе файл wp-login.php и меняем везде имя wp-login на что-то свое. Например, kolbasa.php. Сохраняем файл с этим же именем в корне сайта.

2. Открываем файл general-template.php из папки wp-includes и также меняем везде, где попадется, имя wp-login на выбранное нами.

3. Удаляем из корня сайта файл wp-login.php

Этого достаточно. Enjoy!

07.08.2013

Автор: Игорь Квентор
www.websovet.com

Если статья оказалась для вас полезной, пожалуйста, поставьте свою оценку и поделитесь в соцсетях:

1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Загрузка...

Похожие записи:

Подпишитесь на рассылку блога Вебсовет, чтобы первыми получать самые интересные материалы:

5 комментариев

  1. Татьяна

    17.11.2013

    Поменяла все как написано, но при попытке зайти в админский раздел, мне выдается ошибка 404. В чем может быть дело?

  2. Игорь Квентор
    http://www.websovet.com/
    17.11.2013

    Татьяна, вы по какой ссылке заходите в админ-панель? Если как обычно через стандартный виджет в сайдбаре, то у вас, скорее всего, там осталась прежняя ссылка вида www.ваш-сайт/wp-login.php. Вам нужно исправить это в вашей теме.

  3. Eposurvivor
    http://eposurvarium.ru/
    03.04.2014

    Привет.
    На днях началась жёсткая брутфорс-атака на дефолтный файл wp-login.php.
    Сложный пароль к админке — это не проблема, а вот то, что сервак нагружается и плавится от такого большая проблема.
    Первым делом поставил общее кэшеривание и на БД плюсом. Результат узнаю только завтра. А вот сегодня ещё по вашей рекомендации сменил имя файла. Если атака производится ботом по стандартной схеме, то проблема решится, если же запуск начинается в ручном режиме, то отследить имя файла регистрации/логина не проблема. Тут либо его вообще убирать с сайта, либо думать как блокировать частые запросы с одного IP.

    В любом случае, спасибо. В случае результата отпишусь. Спасибо!

  4. Алина

    16.09.2014

    Спасибо за совет! Надеюсь мне поможет… То что теперь при заходе на вп-логин отображается сообщение — На этой странице обнаружена циклическая переадрессация и невозможно отобразить страницу — это ок? Так и должно быть? Заранее спасибо!

  5. Oksana
    http://vmiremusiki.ru
    29.03.2015

    Здравствуйте,
    Столкнулась с проблемой атак и приняла несколько мер против этого. Включая этот. Все получилось, и заменить и войти. Проблема вылезла с неожиданной стороны. Теперь не могу добавить фото ни на страницу, ни в статью. То есть, когда кликаешь на кнопку «добавить медиафайл» галерея не загружается. Меняю все обратно — работает. Не подскажете, в чем проблема?

Оставить комментарий: