adamdempsey
  • 0
Новичок

Можно ли переименовать папку wp-admin?

  • 0

Можно ли переименовать папку wp-admin?

Я знаю, что могу просто переименовать его, но если это не поддерживается кодом, многое сломается.

Если я использую пользовательское имя папки, это сделает ее немного более безопасной, безопасность за счет неизвестности и все такое.

Share
  1. К сожалению, в настоящее время это невозможно, и, похоже, нет желания рассматривать это как модификацию, как вы можете видеть из этой недавней темы в списке wp-hackers и этого билета на trac.

    Если вы действительно хотите, чтобы это было пересмотрено, я бы предложил:

    1. Представьте свое дело на wp-hackers, но имейте в виду, что ваш вариант использования должен быть хорошим, а не «безопасностью через неизвестность», иначе он будет сбит, как указано выше.

    2. Предъявите свой аргумент в тикете trac с теми же предостережениями.

    3. Еще лучше, загрузите в trac патч, который активирует желаемую функциональность. Гораздо труднее сказать «нет», когда работа уже сделана (но, конечно, они предпочитают говорить «нет» намного чаще, чем «да», так что будьте осторожны).

    • 0
  2. Нет, вы не можете переименовать папку. Путь жестко запрограммирован в нескольких местах исходного кода WordPress.

    Безопасность через неясность в любом случае не является безопасностью.

    • 0
  3. Люди продолжают задавать этот вопрос, но люди продолжают помечать его как дубликат. Однако выбранный ответ для этого на самом деле не является ответом на вопрос.

    Чтобы переименовать администратора WordPress, вам нужно сделать два шага.

    В следующем коде я использую панель инструментов в качестве имени моего нового wp-admin. Измените панель инструментов в приведенном ниже коде на то, что вы хотите назвать своим новым администратором.

    Сначала вам нужно сообщить WordPress, что вы хотите изменить URL-адрес администратора.

    В строке 2558 wp-includes/link-template.php находится код, определяющий URL-адрес администратора.

    Используя admin_url фильтр, вы можете успешно изменить URL-адрес администратора с помощью следующей функции:

    function my_custom_admin_url($path) { 
        return str_replace('wp-admin', 'dashboard', $path); 
    }
    add_filter('admin_url', 'my_custom_admin_url');
    

    Вы можете проверить, какой у вас новый URL, выполнив следующие действия:

    function whats_my_admin_url() {
        $url = admin_url();
        echo '<pre><code>'; print_r( $url ); echo '</code></pre>';
        }
    add_action( 'admin_notices', 'whats_my_admin_url' );
    

    Однако, если вы заметите при переходе через админку, что не все работает и некоторые ссылки могут выдать вам 404 не найдено или что-то подобное.

    Во-вторых, измените .htaccess в корневом каталоге WordPress и добавьте следующее в начало, прежде чем что-либо еще.

    #CUSTOM ADMIN URL REWRITE
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^dashboard[^/]*$ dashboard/ [R=301,L]
    RewriteCond %{QUERY_STRING} (.*)$
    RewriteRule ^dashboard(.*)$ wp-admin$1? [QSA,L,NE]
    RewriteCond %{QUERY_STRING} (.*)$
    RewriteRule ^wp-admin/?$ / [NE,R=404,L]
    RewriteCond %{QUERY_STRING} (.*)$
    RewriteRule ^wp-admin/(.*)$ dashboard/$1 [QSA,R=301,L,NE]
    </IfModule>
    #CUSTOM ADMIN URL REWRITE
    

    Я не эксперт, когда дело доходит до редактирования.htaccess, поэтому некоторые из них могут не понадобиться. Тем не менее, я никогда не находил, что это не работает.

    Вот и все. Создайте файл и поместите его в папку с плагинами или в папку mu-plugins. (не забудьте изменить каждый экземпляр панели инструментов на предпочтительный URL-адрес администратора)

    <?php
    /**
     * Plugin Name: Change My Admin URL
     * Plugin URI: http://wordpress.stackexchange.com/questions/106/can-i-rename-the-wp-admin-folder
     * Description: Changes the admin url where wp-admin becomes dashboard (or whatever you change it to)
     * Version: 1.0
     * Author: Bryan Willis
     * Author URI: http://profiles.wordpress.org/codecandid
     * License: GPL2
     */
    
    /* 
    
    #CUSTOM ADMIN URL REWRITE FOR HTACCESS
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^dashboard[^/]*$ dashboard/ [R=301,L]
    RewriteCond %{QUERY_STRING} (.*)$
    RewriteRule ^dashboard(.*)$ wp-admin$1? [QSA,L,NE]
    RewriteCond %{QUERY_STRING} (.*)$
    RewriteRule ^wp-admin/?$ / [NE,R=404,L]
    RewriteCond %{QUERY_STRING} (.*)$
    RewriteRule ^wp-admin/(.*)$ dashboard/$1 [QSA,R=301,L,NE]
    </IfModule>
    #CUSTOM ADMIN URL REWRITE
    
    */
    
    function my_custom_admin_url($path) { 
        return str_replace('wp-admin', 'dashboard', $path); 
    }
    add_filter('admin_url', 'my_custom_admin_url');
    

    Проблемы?

    У меня не было ни одного в течение года, используя этот метод. Вы можете заметить, что wp-admin по-прежнему будет работать, что отстой, но это скорее мера предосторожности, чем что-либо еще. У меня было несколько плохо написанных плагинов, которые жестко запрограммировали wp-admin в некоторых местах, которые не загружались при попытке заблокировать или перенаправить wp-admin. Я уверен, что есть способ сделать это с помощью htaccess, но я так и не понял. Кроме того, это никогда не тестировалось на мультисайтах или чем-то подобном.

    Обновление: альтернативный подход

    Это очень похоже, но по какой-то причине мой ответ выше не работал на каждом хосте, который я пробовал.

    Добавить к.htaccess

    RewriteRule ^admin/(.*) wp-admin/$1?%{QUERY_STRING} [L]

    Создайте файл в папке mu-plugins new-admin.php и добавьте туда:

    <?php
    define('WP_ADMIN_DIR', 'admin');
    defined('SITECOOKIEPATH') || define('SITECOOKIEPATH', preg_replace('|https?://[^/]+|i', '', get_option('siteurl') . '/' ) );
    define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);
    
    add_filter('site_url',  'wpadmin_filter', 10, 3);
     function wpadmin_filter( $url, $path, $orig_scheme ) {
      $old  = array( "/(wp-admin)/");
      $admin_dir = WP_ADMIN_DIR;
      $new  = array($admin_dir);
      return preg_replace( $old, $new, $url, 1);
    }
    

    Примечание. Этот подход, похоже, работал лучше на некоторых хостах, но по-прежнему возникала проблема с отсутствием перенаправления ссылок wp-admin на новый URL-адрес администратора. Вот подход, который я пробовал ниже. Хотя это ниже не работает, я думаю, что это на правильном пути. Я не совсем уверен, какой крючок использовать. htaccess может быть лучшей альтернативой, но я продолжал получать циклы перенаправления, когда пытался таким образом.

    add_action('init', 'redirect_wp_admin_url_to_404');
    function redirect_wp_admin_url_to_404(){
      $redirect_to = $_SERVER['REQUEST_URI'];
      if(count($_REQUEST)> 0 && array_key_exists('redirect_to', $_REQUEST)){
        $redirect_to = $_REQUEST['redirect_to'];
        $check_wp_admin = stristr($redirect_to, 'wp-admin');
        if($check_wp_admin){
          wp_safe_redirect( '404.php' );
        }
      }
    }
    
    • 0
  4. Подход, который официально поддерживается WordPress, состоит в том, чтобы переместить установочные файлы WordPress в подкаталог, сохраняя при этом сайт в корне, например:

    Адрес сайта:http://my-blog.com

    URL-адрес администратора:http://my-blog.com/7nxnkkugrdzm/wp-admin

    Хотя это не дает вам полной свободы в изменении URL-адреса администратора, это означает, что вы можете добавить к нему префикс, который вам нравится. Это так же хорошо с точки зрения безопасности. Преимущество также в том, что все установочные файлы WordPress перемещаются в место, неизвестное пользователям, поэтому это должно быть частью любой стратегии защиты WordPress.

    Из Кодекса WordPress: Предоставление WordPress собственного каталога

    Также обратите внимание, что хотя эта схема безопасности и называется скрытым URL, это не то же самое, что безопасность по неясности. Неясный URL -адрес — это вполне действующая схема безопасности, которая так же хороша, как и пароль, в то время как безопасность за счет неясности основывается на использовании секретных непроверенных процедур.

    Применяются те же предостережения, что и для паролей: назовите пользовательскую папку как-то так 7nxnkkugrdzm, а не happy-snappy-admin . Кроме того, убедитесь, что ваши пользователи знают, что URL-адрес администратора является секретным.

    • 0
  5. На самом деле здесь есть очень хороший учебник по этому вопросу:

    Как скрыть информацию WordPress от зеркала исходного кода

    Включает в себя, как переименовать wp-content, переименовать wp-admin и удалить тег генератора из WordPress.

    Этот учебник изменит очевидные доказательства или признаки этого в вашем исходном коде, эффективно удалив информацию WordPress с вашего сайта.

    В нем объясняется, как изменить имя папки, URL-адрес для входа в wp-admin и убедиться, что login.php перенаправляет на основной сайт, чтобы люди могли перейти туда напрямую.

    • 0
  6. Если вы хотите, чтобы пользователи уровня подписчика не видели каталог wp-admin, вы можете создать автономные версии страниц входа/регистрации и профиля/редактирования в их собственных каталогах. Затем вы можете защитить свою папку администратора с помощью htaccess или ограничения IP. (Хотя, если вы делаете это, вы должны сделать исключение для файла admin-ajax, так как некоторые плагины используют его для добавления, гм, функциональности AJAX).

    Этот подход дает вам желаемую «неизвестность» (которая на самом деле мало что дает, но часто заставляет клиентов и менеджеров чувствовать себя лучше), а также добавляет некоторую реальную безопасность, ограничивая доступ к администратору. Кроме того, если честно, URL-адрес, который просто говорит «/login», выглядит намного лучше, чем «wp-login.php».

    Само собой разумеется, что это не делает ваш сайт пуленепробиваемым. Но это приятное базовое усовершенствование.

    • 0
  7. Один из способов заблокировать административную панель управления — использовать правила.htaccess. Просто добавьте файл.htaccess в корень каталога wp-admin. После того, как вы добавите этот файл, просто добавьте следующее правило, чтобы запретить все IP-адреса и разрешить только ваш IP-адрес:

    http://wp.tutsplus.com/tutorials/10-steps-to-securing-your-wordpress-installation/

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "WordPress Admin Access Control"
    AuthType Basic
    <LIMIT GET>
    order deny,allow
    deny from all
    whitelist address
    allow from <IP ADDRESS HERE>
    </LIMIT>
    
    • 0
  8. Если вы хотите переименовать wp-admin с целью добавления дополнительного уровня безопасности к вашей установке WordPress, вы также можете попробовать Boilerplate Roots/Bedrock WordPress. Это может помочь изолировать корневой веб-сайт, чтобы ограничить доступ к файлам, не относящимся к веб-сайтам. Это также может помочь в организации/защите всего ядра WordPress, поместив его в собственный подкаталог, например, переименовав wp-content/ в app/, а также эти дополнительные функции:

    • Управление зависимостями с помощью Composer
    • Простая настройка WordPress с файлами, специфичными для среды
    • Переменные среды с Dotenv
    • Автозагрузчик для mu-плагинов (используйте обычные плагины как mu-плагины)
    • Повышенная безопасность (раздельные корневые веб-и безопасные пароли с помощью wp-password-bcrypt)

    Вы также можете проверить их GitHub Repo для более подробного использования:

    • 0
  9. Нет, невозможно переименовать папку wp-admin с помощью короткого кода или взлома htaccess,

    В прошлом я делал то же самое для клиента, выполняя полный поиск папки через Coda (редактор, который я использую) для тега «wp-admin, wp-content… и т. д.», и я удаляю «wp-» из файлы.

    После этого вы сможете установить его, но:
    Вы должны сделать то же самое с плагинами, которые хотите установить, Вы должны обновить ядро ​​​​вручную, очистив тег «wp-» от новых версий.

    Во всех отношениях я не предлагаю вам делать что-то подобное, оставьте все как есть и попробуйте реализовать страницу входа/регистрации/профиля пользователя, чтобы предоставить вашим пользователям/клиентам лучший опыт.

    Кристиан из Cozmolabs написал очень хороший туториал. Вы можете немного отредактировать код и заставить его работать в любой теме WordPress.

    Вы также можете добавить форму сообщения из внешнего интерфейса, чтобы администратор и пользователи с возможностями для написания сообщения могли сделать это из внешнего интерфейса.

    Здесь вы можете увидеть пример и код того, как создать страницу Frontend Post. Предварительная отправка сообщений

    Также вы можете посмотреть здесь несколько хороших плагинов, которые делают то же самое с большей функциональностью.

    • 0
  10. ЧТО О РАБОТЕ WP-ADMIN ИЗ IFRAME?

    Создайте новую страницу в панели инструментов wp под названием «Администратор». например: ваш домен/admin/

    Вы можете сделать оператор case с помощью header.php page.php и / или footer.php отключить ненужные вещи в шаблоне, используя:

    <?php
    if(!is_page('admin')): //if not the admin page.
    
    //wrap code not needed or wanted.
    
    else: ?>
    
    <style type="text/css">
        .responsive-iframe {
        position: relative;
        padding-bottom: 56.25%; /*16:9*/
        height: 0;
        overflow: hidden;
    
        iframe {
            position: absolute;
            top:0;
            left: 0;
            width: 100%; //or 100vw
            height: 100%; //or 100vh
        }
    }   
    </style>
    
    <div class="responsive-iframe">
    <iframe seamless="seamless" scrolling="yes" src="http://yourdomain/wp-admin/" frameborder="0" allowfullscreen></iframe>
    </div>
    
    <?php 
    endif;
    

    Это некрасиво, но, по крайней мере, в какой-то степени вы можете скрыть wp-admin от URL-адреса. Другой способ — использовать переадресацию домена с включенным URL-адресом маски.

    • 0
  11. Я сам удаляю файл wp-login.php и загружаю его по ftp, прежде чем захочу войти в систему, а затем снова удаляю его до следующего раза, но иначе я бы сказал

    1. Плагин Wordfence очень поможет блокировать попытки хакеров. Используйте очень длинное и сложное имя пользователя для учетной записи администратора (хакеры и боты не предполагают, что люди используют длинные имена пользователей, только пароли), которое даже вы не можете вспомнить, и вход в систему с использованием адреса электронной почты, который вы использовали вместо этого, также является пробкой.
    2. Удалите содержимое файла comments.php и никогда не разрешайте комментарии на своем веб-сайте или регистрацию, что лучше всего, ограничив доступ только для администраторов и, возможно, если вам нужны ваши авторы и редакторы. Удаление содержимого comments.php предотвращает внедрение вредоносных программ и взломов.
    3. поместите пробел между двумя словами в качестве вашего имени для входа, так как большинство хакеров не понимают, что вы можете указать имя пользователя с пустым пробелом, и часто используют символы подчеркивания, даже когда они угадывают ваше имя пользователя (хакеры-люди, использующие социальную инженерию). Было доказано, что длинные и сложные пароли не надежнее, чем 8-символьный/целочисленный пароль, поэтому вам следует изучить его.
    4. И последнее, но не менее важное: нужно защищать не только login.php (кстати, никогда не используйте имя пользователя «[логин]»), но и файл xml rpc, который хакеры любят использовать для входа в систему. с участием. Обычно этот вид атаки представляет собой низкий уровень жизни с небольшим знанием реального взлома, использующего ИИ для выполнения работы, и просто пытается испытать свою удачу. Но лучше перестраховаться, чем потом сожалеть. Кроме того, WP all in one Migration Plugin позволяет загрузить весь сайт с базой данных и конфигурацией и загрузить его снова в случае взлома и удаления сайта. ежедневное резервное копирование перед сном гарантирует, что ваш сайт всегда будет таким, каким он был перед сном. резервное копирование в автономном режиме на жесткий диск (внешний), и вы всегда будете в безопасности. О, и сведите плагины к минимуму, так как разработчики часто оставляют их гнить и не обновляют, и если в вашем блоге использовался плагин (например, плагины для плейлистов YouTube), удаление устаревшего плагина сделает многие посты бессмысленными с отсутствующим контентом (всегда думайте заранее). Но используйте необходимые плагины, такие как akismet, wordfence free и wp, все в одном инструменте миграции для резервного копирования файлов веб-сайта, контента и базы данных. Многие плагины также имеют уязвимости, и быстрый анализ вашего сервера покажет хакеру все папки, и он узнает, что у вас есть плагин, и атакует через него. Не используйте Discus или другие сторонние формы комментариев, так как больше данных извлекается и подвергается компрометации через стороннее начало (YouTube в настоящее время взломан с использованием тегов местоположения в приложениях), чем это полезно. Лучше иметь страничку в фейсбуке и пусть люди комментируют там, но, чтобы не вставлять виджеты, или код, связанный с другими доменами или с другими доменами, и их API слишком много, поскольку передаваемые и совместно используемые данные легко перехватываются профессиональными хакерами. Из-за этого у меня нет комментариев или кнопок «Поделиться» на моих сайтах WordPress. (я по-прежнему преуспеваю и живу хорошо, не нуждаясь в комментариях с моим типом веб-сайтов). Например, если бы этот вопрос был в форме видео на YouTube, каждый оставил бы wordpress на stackexchange (не то чтобы я предполагаю, что обмен стеками — это фантастика!) И прокомментировал свой канал на YouTube insytead. Надежнее, надежнее. Так что создайте канал YT и страницу FB и используйте их, чтобы люди могли «регистрироваться и комментировать», и держите сайт WordPress как можно более простым, без параметров входа. Из-за этого у меня нет комментариев или кнопок «Поделиться» на моих сайтах WordPress. (я по-прежнему преуспеваю и живу хорошо, не нуждаясь в комментариях с моим типом веб-сайтов). Например, если бы этот вопрос был в форме видео на YouTube, каждый оставил бы wordpress на stackexchange (не то чтобы я предполагаю, что обмен стеками — это фантастика!) И прокомментировал свой канал на YouTube insytead. Надежнее, надежнее. Так что создайте канал YT и страницу FB и используйте их, чтобы люди могли «регистрироваться и комментировать», и держите сайт WordPress как можно более простым, без параметров входа. Из-за этого у меня нет комментариев или кнопок «Поделиться» на моих сайтах WordPress. (я по-прежнему преуспеваю и живу хорошо, не нуждаясь в комментариях с моим типом веб-сайтов). Например, если бы этот вопрос был в форме видео на YouTube, каждый оставил бы wordpress на stackexchange (не то чтобы я предполагаю, что обмен стеками — это фантастика!) И прокомментировал свой канал на YouTube insytead. Надежнее, надежнее. Так что создайте канал YT и страницу FB и используйте их, чтобы люди могли «регистрироваться и комментировать», и держите сайт WordPress как можно более простым, без параметров входа. каждый оставил бы wordpress на stackexchange (не то, чтобы я предлагал, поскольку обмен стеком — это фантастика!) и прокомментировал свой канал на YouTube insytead. Надежнее, надежнее. Так что создайте канал YT и страницу FB и используйте их, чтобы люди могли «регистрироваться и комментировать», и держите сайт WordPress как можно более простым, без параметров входа. каждый оставил бы wordpress на stackexchange (не то, чтобы я предлагал, поскольку обмен стеком — это фантастика!) и прокомментировал свой канал на YouTube insytead. Надежнее, надежнее. Так что создайте канал YT и страницу FB и используйте их, чтобы люди могли «регистрироваться и комментировать», и держите сайт WordPress как можно более простым, без параметров входа.
    • 0

Оставить ответ

You must login to add an answer.