Standardowo strona logowania do panelu administracyjnego WordPressa znajduje się pod adresem http://nasza-domena.pl/wp-login.php. Adres ten nie wygląda zbyt przyjaźnie, co może mieć znaczenie gdy udostępniamy możliwość logowania użytkownikom naszej strony, a poza tym jest często wykorzystywany do ataków typu brute force. Można go jednak w łatwy sposób zmienić, podobnie jak adresy stron rejestracji i przypomnienia hasła.
Do zmiany adresu strony logowania wykorzystamy darmową wtyczkę Custom Login URL. Po jej instalacji i aktywacji w sekcji Ustawienia → Bezpośrednie odnośniki panelu administracyjnego pojawią się nowe opcje, za pomocą których możemy zmienić adresy URL wszystkich stron związanych z logowaniem i rejestracją użytkowników.
W sekcji Authentication Permalinks możemy zmienić następujące adresy URL:
Login URL – strona logowania (domyślnie /wp-login.php)
Registration URL – strona rejestracji nowego użytkownika (domyślnie /wp-login.php?action=register)
Lost Password URL – strona odzyskiwania hasła (domyślnie /wp-login.php?action=lostpassword)
Logout URL – adres URL służący do wylogowania się (domyślnie /wp-login.php?action=logout)
Warto dodać, że wtyczka korzysta z odpowiednich filtrów WordPressa, tak więc jeśli na przykład nasz motyw wyświetla link do strony logowania (i robi to w prawidłowy sposób), to adres URL tego linka zostanie automatycznie zmodyfikowany.
Dodatkowo w sekcji Authentication Redirects możemy zmienić adresy URL, na które zostanie przekierowany użytkownik po zalogowaniu (Login Redirect URL – domyślnie /wp-admin/) i wylogowaniu (Logout Redirect URL – domyślnie strona główna naszego serwisu).
Po zapisaniu zmian możemy korzystać z nowych adresów URL. Co ważne, wejście na którykolwiek ze „starych” adresów spowoduje przekierowanie na nowy adres.
Bonus: poprawa bezpieczeństwa
Na zmianę adresu URL strony logowania możemy również spojrzeć przez pryzmat bezpieczeństwa naszego serwisu. Wprawdzie w ten sposób całkowicie jej nie ukrywamy, ale dla większości skryptów używanych do ataków typu brute force taka zmiana adresu okaże się poważną przeszkodą – zwykle celują one w skrypt wp-login.php i nie podążają za przekierowaniami.
Commentaires