Versiune printabilă
Va salut.
Am ascuns url-ul de logare si am creat un altul cu ajutorul plugin-ului Cerber Security. Problema e ca tot primesc incercari de logare. Cum pot ascunde intr-adevar url-ul de logare? Am incercat si cu plugin-ul "WPS Hide Login", dar e la fel, e aceeasi poveste. Ca idee, nimeni nu se poate inregistra pe site-ul meu (nu e permis).
Daca aveti si alte sugestii, le... citesc.
Multumesc.
Poti incerca ceva mai primitiv, blocarea linkului din .htaccess doar ca atunci cand trebuie sa te autentifici tu trebuie sa editezi regula.
Pe langa redenumirea url-ului pentru login iti recomand si https://ro.wordpress.org/plugins/lim...mpts-reloaded/
parola random si de 16-20 de caractere
user diferit de numele domenilui
in rest multi roboti incearca admin admin sa admin si 123456 asa ca n trebie sa te sperii asa de tare de ei, doar ca manaanca resrsele hostingului incercand aiurea niste parole pe care nimeni nu le mai foloseste in ziua de azi.
Eu folosesc Wordfence, are multe setări de genul asta, de exemplu, dacă parola se introduce greșit de 5 ori la rand, blochează ip respectiv o perioada de timp.
Se pare ca atacurile/incercarile respective nu sunt nici noi si nici specifice Wordpress. Le vad odata la cateva zile in logs, initiate de pe IP-uri diferite chiar daca incercarile anterioare au esuat fiind intampinate de 404.
Folosesc de cativa ani buni un CMS propriu si nu-mi fac griji, insa utilizatorii de Wordpress ar trebui sa aiba grija la ce foldere sau fisiere de backup decid sa pastreze in root, iar ca o masura robusta, probabil ar trebui sa redenumeasca anumite cai de acces si fisiere precum wp-login.php, xmlrpc.php si wp-includes.
Daca va ajuta o lista completa cu toate adresele testate de acesti boti, le pot posta aici cu scopul de a fi incluse intr-un blacklist.
Referitor la Wordfence sau alte pluginuri similare, consider ca sunt solutii de compromis si nu le recomand. De ce i-ati permite "hotului" sa incerce 5 chei si apoi l-ati pofti sa revina cu alte 5 care s-ar putea potrivi? Ideal ar fi ca el sa nu stie unde se afla incuietoarea sau intr-un scenariu nefericit in care o gaseste, sa nu i se permita incercarea cheilor, aka banarea IP-ului la deschiderea wp-login.php.
Ataşament 4824
Poti folosi doar reguli .htaccess daca esti singurul utilizator si nu ai IP-uri dinamice:
https://farbyte.uk/blog/how-to-secur...-with-htaccess
Nu mai vreau alte plugin-uri. :))Citat:
Postat în original de Clax
Am ip dinamic. :(Citat:
Postat în original de gabetu
Multumesc mult tuturor pentru sugestii.
Nu inteleg un lucru, daca intru cu incognito pe site.com/wp-login.php primesc eroarea (pe care o genereaza plugin-ul mentionat in postarea initiala): "We're sorry, you are not allowed to proceed".
Dar cei care incearca sa intre nu o primesc din ce vad, din moment ce tot incearca sa se logheze cu diferite username-uri. Chiar nu pricep.
Incearca sa accesezi /wp-admin/ si /wp-login.php dintr-un alt browser sau sterge cookie-urile de logare, daca ambele duc spre /404/ atunci esti ok.
Ca si alternativa poti folosi in loc de Wordfence, Cerber Security sau WPS Hide Login pluginul Defender, eu pe asta il folosesc in ultima perioada.
