С повече от 800 милиона инсталации WordPress е най-популярната система за управление на съдържание на пазара, далече пред други подобни системи. Лесна е за употреба, а хранилището ѝ Ви предоставя достъп до хиляди безплатни и платени теми и разширения. Ако вече притежавате уебсайт, е много вероятно той да е създаден с WordPress.
Ако това наистина е така и посетителите на сайта могат да си създадат акаунт, може да помислите дали да не персонализирате логин страницата на сайта. Така хората няма да виждат обикновената логин страница на WordPress, която се ползва по подразбиране. Дори посетителите да нямат възможност да си създадат акаунт, все пак може да персонализирате логин страницата, тъй като ще я използвате, за да се логвате като администратор. В тази статия ще Ви покажем как можете да използвате различен адрес за страницата и как можете да промените външния ѝ вид. Ще споменем и няколко полезни подобрения, с които да повишите сигурността на тази страница.
- Защо трябва да персонализирате логин страницата?
- Добри практики
- Персонализиране на уеб адреса
- Използвайки разширение
- Ръчно
- Персонализиране на дизайна
- Използвайки разширение
- Ръчно
- Допълнителни персонализации
- Добавете CAPTCHA
- Ограничете броя опити за влизане
- Защитете логин страницата с парола
- Изисквайте силни пароли
- Използвайте двуфакторна автентикация
- В заключение
Защо трябва да персонализирате логин страницата?
Преди да Ви покажем как, ще Ви кажем защо трябва да персонализирате логин страницата. Всяка от причините, изброени отдолу, трябва сама по себе си да Ви убеди, че това е правилна стъпка.
- Сигурност. Това е една от най-важните причини да промените уеб адреса на страницата за логване в таблото за управление на Вашия WordPress сайт. Съществуват огромен брой автоматични ботове, които ще се опитват да получат достъп до акаунта Ви, пробвайки множество пароли – т.нар. brute force. Те обикновено пробват това на адреса на логин страницата, който се използва по подразбиране – example.com/wp-admin. Освен ако не сте добавили някаква защита на сайта, ще трябва да разчитате на хостинг доставчика си да блокира подобни ботове след определен брой неуспешни опити за достъп до акаунта Ви. Без никаква защита сайтът Ви може да бъде хакнат рано или късно. Използвайки различен уеб адрес за логин страницата, значително ще намалите шанса това да се случи.
- Добра репутация. Ако имате нещастието акаунтът на клиент или на администратор да бъде хакнат, репутацията Ви може да пострада сериозно. Клиентските данни могат да бъдат откраднати, а уебсайтът Ви може да бъде подменен. Новините се разпространяват бързо в социалните мрежи в наши дни, така че ако нещо подобно се случи, не само че ще имате проблем със сигурността, но ще пострада и добрата Ви репутация на надежден партньор.
- Последователност. Препоръчително е всички страници на даден уебсайт да имат еднакъв или подобен дизайн. Това няма как да стане, освен ако не персонализирате логин страницата. Може да се стори странно на хората с по-малко опит в интернет, че трябва да се логват на страница, която изглежда по съвсем различен начин в сравнение с останалата част от сайта. Ако логин страницата има същия дизайн катo сайта, ще се подобри цялостното потребителско изживяване.
- Брандиране. Ако добавите името и/или логото си на логин страницата, ще уверите хората, че се логват на правилната страница. Ако имате сайт, на който се регистрират членове на клуб, или онлайн магазин например, хората ще посещават въпросната страница често, затова трябва да я брандирате добре. Това е и още един начин да увеличите видимостта на Вашата марка.
- Допълнителна информация. Персонализирането на логин страницата ще Ви позволи да добавите допълнителна информация по Ваше усмотрение. Това може да е телефонен номер за хората, които не могат да влязат в акаунта си, или график с редовни профилактики например. Можете да добавите и съобщение с някакво напомняне, празнично работно време и т.н. Макар че вероятно ще добавите тази информация и другаде, клиентите Ви няма да я пропуснат на логин страницата, тъй като там няма да се разсейват с други неща.
Добри практики
Съществуват някои добри практики, които можете да приложите, когато персонализирате логин страницата на Вашия WordPress уебсайт. Изброили сме някои от по-важните отдолу. Разбира се, може да решите да направите нещо различно и да не следвате установени правила. В крайна сметка всеки сайт е различен, що се отнася до идеите на създателите му и до потребителите му.
- Запазете я по-проста. Не добавяйте прекалено много съдържание на логин страницата. Нейната цел е да позволи на потребителите да влязат в акаунта си. Логин страницата не е място за информация за продукти, реклами, допълнителни формуляри и т.н. Може да добавите допълнителна информация, но тя не трябва да е прекалено много. Не използвайте прекалено големи картинки или мигащи анимации.
- Уверете се, че текстовете са четими. Понякога, опитвайки се да създадете уникална страница, може да се изкушите да използвате нови шрифтове. Важно е целият текст на страницата да бъде четим по отношение на шрифт, размер на буквите и разстояние между тях. Това важи както за текста на страницата, така и за текста на грешките, които може да се покажат, тъй като всяка информация, на която посетителите могат да попаднат, трябва да се вижда ясно на различни устройства и резолюции на екрана.
- Използвайте подходящи цветове и изображения. Логин страницата е част от Вашия уебсайт. Ето защо дизайнът ѝ трябва да е подобен. Използвайте същите цветове, които използвате на другите страници. Добавете логото си, като трябва да изберете подходящ размер и най-добрата позиция за изображението. Уверете се, че то не е размазано и не се застъпва с други елементи на страницата, когато резолюцията на страницата се промени. Това важи и за всяко друго изображение, което добавите на тази страница.
Персонализиране на уеб адреса
Споменахме, че основната идея на промяната на уеб адреса е да повишите сигурността на сайта си, но има и други причини да направите това. Може просто да искате да използвате нещо различно от адреса по подразбиране - /wp-admin. Каквато и да е причината, има два начина да постигнете това - ръчно или като използвате разширение.
Използвайки разширение
Ще започнем с по-лесния вариант. Ще намерите няколко разширения като например WPS Hide Login или WP Hide & Security Enhancer. Смяната на уеб адреса с тях е много лесна - просто трябва да добавите точния адрес, който искате да използвате, а разширението ще свърши останалото. Няма да се налага да променяте нищо на ръка. Едно от предимствата да използвате разширение е, че ще можете да персонализирате и адреса за “404 Not found” грешката, която се появява, когато дадено съдържание не е налично. Вместо по-общ адрес можете да използвате адрес по Ваш избор, който да е по-удобен за употреба.
Някои разширения предлагат повече опции от други, но може да искат някакво заплащане, затова трябва да проверите кое разширение ще Ви е нужно.
Ръчно
Този вариант не е толкова удобен, колкото първият, но го споменаваме, тъй като има хора, които предпочитат да използват възможно най-малък брой разширения. Имайте предвид, че редактирането на системни файлове може да повреди уебсайта Ви или промените да бъдат презаписани от някое бъдещо обновление. Възможно е и методът, споменат по-долу, да не работи с всички версии на WordPress.
За да редактирате уеб адреса, който се използва по подразбиране, трябва да отворите wp-login.php в текстов редактор (в акаунта си или чрез настолна програма като Notepad++) и да смените всички споменавания на wp-login.php с името, което искате да използвате - access.php например. След това запазете промените и преименувайте файла на access.php. Препоръчваме да свалите копие на файла като бекъп, преди да предприемате каквито и да е промени.
След това, трябва да редактирате файла functions.php за използваната от Вас тема и да добавите следния код, за да може опциите за забравена парола и за излизане от акаунта също да сочат към новата персонализирана страница:
add_filter( 'logout_url', 'my_logout_page', 10, 2 );
function my_logout_page( $logout_url) {
return home_url( '/access.php');
}
add_filter( 'lostpassword_url', 'my_lost_password_page', 10, 2 );
function my_lost_password_page( $lostpassword_url ) {
return home_url( '/access.php?action=lostpassword');
}
Добре е да използвате child (дъщерна) тема, тъй като евентуално бъдещо обновление на темата вероятно ще изтрие промените Ви. Ако пък смените темата на сайта, ще трябва да направите всичко отначало.
Персонализиране на дизайна
Тук също имате два варианта. И този път по-лесният е да използвате разширение, но ако предпочитате, можете да персонализирате дизайна на страницата и ръчно.
Използвайки разширение
В хранилището на WordPress съществуват множество разширения, с които ще можете да промените начина, по който изглежда страницата. Няколко примера са LoginPress, Custom Login Page Customizer и Custom Login. Макар че някои по-специфични опции могат да са уникални за някое разширение, като цяло всички разширения предлагат един и същ набор от основни функции. Можете да замените логото, да преименувате полетата във формуляра за вход, да персонализирате формуляра за изгубена парола, да редактирате бутоните на страницата, да промените съобщенията за грешка, и други.
Ръчно
Ако предпочитате да редактирате страницата, без да използвате разширения, можете да направите това ръчно. За да смените логото, намерете файла functions.php за темата, която е активна в момента. Можете да направите това чрез таблото за управление -> Appearance -> Editor, или можете да отворите папката на сайта и да отидете до /wp-content/themes/active-theme/. Там добавете следния код под кода, който ще намерите във файла:
function custom_login_logo() {
echo '<style type="text/css">
h1 a {
background-image: url(https://example.com/path-to-logo.png) !important;
}
</style>';
}
add_action('login_head', 'custom_login_logo');
Преди това трябва да сте качили новото лого. Ако искате да добавите изображение за фон, добавете следния код към functions.php:
function login_background_image() {
echo '<style type="text/css">
body.login{
background-image: url( "https://example.com/background.png" )!important;
}
</style>';
}
add_action('login_head', 'login_background_image');
Ако искате да промените дизайна още повече, ще трябва да добавите допълнителен CSS код, така че може да е по-лесно да използвате разширение.
Обновление на темата може да презапише промените Ви, така че е добра идея да използвате child тема преди да редактирате кода. Не забравяйте да създадете бекъп на всички файлове, които ще редактирате, преди да добавите или изтриете код.
Допълнителни персонализации
Дотук Ви показахме как да промените уеб адреса на логин страницата на WordPress и как да промените външния ѝ вид. В тази секция ще споменем няколко допълнителни персонализации, които може да обмислите. Те ще Ви помогнат да повишите сигурността на сайта си. Независимо дали сте променили адреса за достъп до таблото за управление, или предпочитате да запазите адреса по подразбиране, трябва да помислите за сигурността на логин страницата.
Добавете CAPTCHA
Можете да добавите CAPTCHA като допълнително ниво на сигурност. Ще намерите много разширения за целта в хранилището на WordPress - Really Simple CAPTCHA, Advanced Google reCAPTCHA, или hCaptcha за WordPress. Ако не сте запознати с термина, CAPTCHA е тестът, който трябва да попълните на някои сайтове, за да получите достъп до дадено съдържание. Можете да научите повече за този вариант в статията ни: Какво е CAPTCHA и как да я добавите на уебсайта си?
Ограничете броя опити за влизане
Добавяйки разширение, можете да ограничите колко пъти потребителите могат да се опитват да влязат в акаунта си. Разширения като Limit Login Attempts Reloaded или Loginizer са подходящи за тази цел. Когато бъде достигнат лимитът, потребителите няма да имат повече опити за определен период от време. Тази опция е много полезна за предотвратяването на brute force атаки.
Защитете логин страницата с парола
Можете да защитите файла wp-login.php с парола, като по този начин ботове и неупълномощени лица да не могат изобщо да го достигнат. За целта Ви е необходим файл с име .htpasswd. Той ще включва името и паролата, които искате да използвате, разделени от двоеточие:
testuser:$apr1$7cv9jbr3$tZYZ7eJYv2xtSMESE.FbT0
Тъй като паролата е криптирана, можете да използвате инструмент, предоставен от хостинг доставчика Ви, или онлайн генератор като https://wtools.io/generate-htpasswd-online.
След това трябва да редактирате файла .htaccess в папката на сайта (трябва да имате такъв, ако използвате WordPress, тъй като сайтът Ви няма да работи правилно без такъв файл). Директивите в .htaccess файла се използват, за да “казват” на Apache уебсървъра как да обработва определени заявки. В този случай логин детайлите от .htpasswd файла трябва да се изискват при всеки опит за достъп до wp-login.php, а кодът, който трябва да добавите в .htaccess файла, е:
<Files "wp-login.php">
AuthType Basic
AuthUserFile "/home/username/www/www/.htpasswd"
AuthName Limited!
require valid-user
</Files>
Уверете се, че пътят в горния код е правилният за Вашия хостинг доставчик/акаунт.
Ако използвате нашите хостинг услуги, можете лесно да защитите файла с парола чрез нашия богат на функции WordPress мениджър. В него ще намерите и други полезни опции като: оптимизиране на скоростта, защита на директориите със съдържание, сървърно кеширане, и други.
Изисквайте силни пароли
WordPress включва инструмент, който измерва силата на паролите, но все пак позволява на потребителите да използват дори много слаби пароли, като просто кликнат отметка, за да потвърдят, че правят това съзнателно. Ако искате да предотвратите това и да се уверите, че потребителите използват силни пароли, можете да използвате разширения като Solid Security или Password Strength Settings for WooCommerce. Те ще Ви позволят да изберете дължината и сложността на паролите, които потребителите могат да използват. Някои разширения проверяват и т.нар. хеш на паролите в публично достъпни списъци на изтекли пароли, за да предотвратят употребата на компрометирани пароли.
Използвайте двуфакторна автентикация
Това е един от най-добрите варианти да сте сигурни, че неупълномощено лице няма да получи достъп до акаунта Ви или до някой клиентски акаунт. Добавяйки разширение за двуфакторна автентикация, ще можете да активирате второ ниво на сигурност – потвърждение по имейл, SMS код, токен от приложение и т.н. Няколко примера за такива разширения са Two Factor Authentication, WP 2FA и Two-Factor. Трябва задължително да добавите двуфакторна автентикация поне за Вашия администраторски акаунт. Преценете какви са предимствата и недостатъците на тази опция за клиентските акаунти. Клиентите не трябва да изпитват затруднения да влязат в акаунта си, така че трябва да намерите баланса между сигурността и доброто потребителско изживяване.
В заключение
При наличието на милиони WordPress сайтове в интернет пространството е важно Вашият сайт да се отличава. Един от начините за това е да персонализирате логин страницата. Ще повишите сигурността на сайта значително, ако промените адреса на страницата и добавите допълнителни мерки за сигурност като CAPTCHA, двуфакторна автентикация или ограничение на броя опити за логване на даден потребител. Можете също да подобрите потребителското изживяване, ако промените и външния вид на страницата. Клиентите Ви със сигурност ще са доволни, ако използвате същия дизайн като на останалата част на сайта. Допълнителни стъпки в тази посока са да добавите името и логото си, да покажете допълнителна информация за връзка с Вас или икони, водещи към акаунтите Ви в социалните мрежи.