Egyes szervereinken már letiltottuk a wp-login.php használatát. Erre azért volt szükség, mert botnet hálzatról számos WordPress alapú weboldal admin felületét támadták. Egy sikeres támadás esetén a támadó be tud jelentkezni az feltört weboldal admin felületén és ártó kódot tud elhelyezni az oldal forrásában. Emiatt az adott oldal nagy valószínűséggel tiltó listára kerül.

A támadás során a szerver felé olyan sok kérés fut be egyszerre, hogy az üzembiztonságot veszélyezteti. Ez kihat az összes weboldalra. Így letiltottuk a wp-login.php fájlok elérését. Emiatt azonban nem lehet bejelentkezni az admin felületre.

Megoldás a wp-login.php átnevezése

Nevezd át a wp-login.php fájlt pl. wp-login-nagyontitkos.php-ra, majd helyezd el a következő kódsort a használt sablon functions.php fájljában:

add_filter('site_url',  'wplogin_filter', 10, 3);
function wplogin_filter( $url, $path, $orig_scheme )
{
 $old  = array( "/(wp-login\.php)/");
 $new  = array( "wp-login-nagyontitkos\.php");
 return preg_replace( $old, $new, $url, 1);
}

Ha más nevet adsz a fájlnak, akkor a fenti kódban értelemszerűen azt kell beállítani. Ha lecseréled a sablont, akkor szintén be kell állítanod a fenti kódot.

Bár ez a módosítás kényelmetlen, ám nagyban megvédi a weboldalt – és így a szervert is – a támadási kísérletektől. Ezért a fenti módszert azoknak is ajánljuk, akiknél ennek a fájlnak a használata nincs letiltva globálisan.

Ez esetben a .htaccess fájlodba tedd bele a következő sorokat, így te magad tiltod le a wp-login.php elérését:

# wp-login.php eleres letiltasa
 <Files wp-login.php>
 order allow,deny
 deny from all
 </Files>

Ezzel a módszerrel egyéb fájlok elérését is le tudod tiltani. Használd a WordPress biztonsági lehetőségeit!
Ha kérdésed van a témában, bátran fordulj az ügyfélszolgálatunkhoz!