Statystyki na rok 2019 pokazują, że około połowa stron internetowych na świecie powstaje w oparciu o systemy zarządzania treścią (CMS), a 34% z nich to WordPress, co stanowi około 220 milionów witryn! Biorąc pod uwagę, że CMS to są w większości rozwiązania typu open-source, nietrudno o ataki hakerskie, szczególnie iż większość administratorów stron jako login do panelu administracyjnego podaje po prostu… admin. **Zmiana adresu logowania do panelu WP** jest jednym z kluczowych kroków w zabezpieczeniu Twojej witryny.

W kwestii zarządzania i bezpieczeństwa WordPressa należy w pierwszej kolejności zastanowić się nad adresem URL do dashboardu administratora. Domyślne ścieżki logowania, takie jak www.domena.com/wp-admin/ lub www.domena.com/wp-login/ , są powszechnie znane i łatwe do odnalezienia. Nawet dla początkującego użytkownika internetu, podejrzenie kodu źródłowego strony i sprawdzenie czy korzysta ona z WordPressa nie jest dużym problemem, co natychmiast podpowiada, jakiego adresu używa do logowania na zaplecze. Jeśli nazwa użytkownika nie jest inna niż admin, dla hakera pozostaje do złamania już tylko hasło. To często nie stanowi kłopotu dla metody “brute force” czy zautomatyzowanych botów, a nawet jeśli hasło nie zostanie złamane, sam atak może być bardzo dużym obciążeniem dla serwera, prowadząc do spowolnień lub nawet awarii strony. Zmiana adresu logowania znacząco utrudnia te działania i zwiększa pierwszą linię obrony.

Jak się przed tym uchronić? Istnieją dwa skuteczne sposoby na zmianę adresu logowania: ręczna modyfikacja plików lub użycie dedykowanej wtyczki. Poniżej przedstawiamy obie metody, abyś mógł wybrać najodpowiedniejszą dla siebie.

Metoda 1: Ręczna modyfikacja pliku wp-login.php (dla zaawansowanych)

Ta metoda wymaga dostępu do serwera FTP i edycji kodu, co jest idealne dla osób, które czują się komfortowo z takimi działaniami i chcą mieć pełną kontrolę nad procesem.

Łączenie z serwerem FTP

Połącz się z serwerem, na którym umieszczona jest strona www za pomocą klienta FTP, np. FileZilla. Zlokalizuj katalog przechowujący instalację WordPressa i otwórz go.

Wordpress modyfikacja url logowania-1

Modyfikacja pliku wp-login.php

Znajdź plik wp-login.php i pobierz go na dysk komputera. Następnie zmień jego nazwę na unikalną – taką, której będziesz później używać do logowania, np. moj-nowy-login.php.
Otwórz plik w wybranym edytorze tekstowym i odnajdź wszystkie wystąpienia ciągu znaków ‘wp-login’ i zamień je na niestandardową nazwę wymyśloną chwilę wcześniej.

Wordpress modyfikacja url logowania-2

Przesłanie i sprawdzenie nowego adresu

Prześlij zmodyfikowany plik moj-nowy-login.php do głównej lokalizacji WordPressa. Przejdź do swojej witryny i sprawdź, czy nowy adres działa odpowiednio, wpisując www.domena.com/moj-nowy-login.php/.

Wordpress modyfikacja url logowania-3

Metoda 2: Zmiana adresu logowania za pomocą wtyczki WPS Hide Login (dla większości użytkowników)

Ta metoda jest zdecydowanie prostsza i zalecana dla większości użytkowników WordPressa, ponieważ nie wymaga edycji plików ani znajomości FTP. Wtyczka WPS Hide Login pozwala w kilka chwil zmienić adres URL strony logowania, skutecznie ukrywając domyślną ścieżkę.

Instalacja i aktywacja wtyczki

1. Zaloguj się do panelu administratora WordPressa.
2. Przejdź do zakładki Wtyczki > Dodaj nową.
3. W polu wyszukiwania wpisz „WPS Hide Login”.
4. Znajdź wtyczkę na liście, kliknij Zainstaluj teraz, a następnie Aktywuj.

Konfiguracja nowego adresu logowania

1. Po aktywacji wtyczki przejdź do Ustawienia > Ogólne (lub bezpośrednio do Ustawienia > WPS Hide Login, w zależności od wersji wtyczki).
2. Znajdź pole o nazwie „Login URL” lub „Adres URL logowania”.
3. Wprowadź nowy, unikalny adres URL dla Twojej strony logowania. Pamiętaj, aby wybrać nazwę, którą łatwo zapamiętasz, ale trudną do odgadnięcia przez osoby niepowołane (np. „moj-tajny-panel-wp”, „zarzadzanie-serwisem”).
4. Zapisz zmiany. Wtyczka automatycznie przekieruje stare adresy (`wp-admin`, `wp-login.php`) do nowej lokalizacji, a próba dostępu do nich wyświetli stronę błędu 404, co jest potwierdzeniem skuteczności operacji.

Pamiętaj o nowym adresie!

Niezależnie od wybranej metody, po **zmianie adresu logowania do panelu WP** upewnij się, że zapamiętałeś lub zapisałeś nowy adres. To kluczowe, aby móc ponownie zalogować się do swojej witryny. Próbując przejść do starego adresu /wp-admin/ lub /wp-login/ powinna pojawić się standardowa strona błędu 404, co jest potwierdzeniem skuteczności operacji i wzmocnienia bezpieczeństwa Twojej strony.

Mamy nadzieję, że ten rozbudowany wpis okaże się pomocny i zwiększy bezpieczeństwo Twojej witryny WordPress.
Do zobaczenia w kolejnym wpisie.

Odwiedź nas na Facebooku i Instagramie,
-BSIDEWORK Team #innowacjewpraktyce

Najczęściej zadawane pytania

Dlaczego warto zmienić adres logowania do panelu WordPress?

Zmiana domyślnego adresu logowania (wp-admin, wp-login.php) znacząco zwiększa bezpieczeństwo strony. Utrudnia to zautomatyzowanym botom i hakerom odnalezienie strony logowania, chroniąc przed atakami brute force i nieautoryzowanym dostępem. To prosta, ale skuteczna warstwa obrony.

Czy zmiana adresu logowania wpływa na działanie mojej strony?

Nie, prawidłowo wykonana zmiana adresu logowania nie wpływa negatywnie na działanie Twojej strony internetowej. Zmienia się jedynie URL, pod którym logujesz się do panelu administratora. Ważne jest, aby zapamiętać nowy adres, ponieważ stare linki przestaną działać.

Która metoda zmiany adresu logowania jest lepsza – manualna czy wtyczka?

Dla większości użytkowników zalecaną metodą jest użycie wtyczki, np. WPS Hide Login. Jest ona prosta w obsłudze, nie wymaga edycji plików ani wiedzy technicznej i jest bezpieczniejsza, ponieważ minimalizuje ryzyko błędów. Metoda manualna (edycja pliku wp-login.php) jest dla bardziej zaawansowanych użytkowników, którzy czują się komfortowo z dostępem FTP i edycją kodu.