Данное дополнение решает 3 задачи:
1. Оно защищает wp-login.php от атак ботов
2. Оно заменяет ссылки "Войти" в форме комментариев, на форму входа от плагина WP-Recall (берет из основных настроек). И в форме комментариев изменяет ссылку на профиль (которая вела в админку), на ссылку в профиль WP-Recall (который в фронтенде)
3. Добавляет чекбоксы у форм входа, регистрации и восстановления пароля. Человек если не поставит чекбокс - не сможет отправить форму. И боты не смогут отправить данные.
Вы можете выбрать из 2-х вариантов защиты формы регистрации:
• Просто галка "Я не бот" (текст настраивается в опциях) как обязательное поле.
или
• Google ReCaptcha - рекапча от гугла.
Если вы выбрали гугл рекапчу и всплывающую форму регистрации - скрипты гугловской рекапчи загрузятся только тогда, когда вы вызовете эту всплывающую форму. Включите опцию "Отложенная загрузка рекапчи"
- этот способ позволяет не просесть в PageSpeed Insights.
Есть ограничения:
1. Если на сайте установлены плагины безопасности (которые влияют на wp-login.php) - корректная работа с ними не гарантируются и претензии по этому поводу не принимаются.
2. В шаблоне комментариев должен стоять вывод формы комментариев через функцию comment_form(); и аргументы этой функции не должны переопределяться шаблоном. Если всё по кодексу WordPress - работать замены будут. Увы не все шаблоны пишутся грамотно. Разбираться в логике работы ваших шаблонов я не буду. Так же как и претензии по возврату средств.
Дополнение специфическое - писалось под свои нужды. Т.к. я не люблю громоздкие плагины безопасности - они несут значительную нагрузку на ваш сайт. Меня устраивает эта связка из 2-х: "limit-login-attempts" и "Kill wp-login & Fix Login"
Метод замены wp-login.php не нов и показал на деле свою эффективность, но обновляя вордпресс мне надоело его вручную перезаписывать. Тут же перезапись происходит в момент активации аддона и скрипт всё выполняет автоматически.
Будут вопросы - пишите ниже. Буду рад обратной связи.
p.s. обратите внимание на совместимость!
Важно! Перед обновлением обязательно сначала деактивируйте аддон, а потом обновляйте
p.s. Если вам просто надо повлиять на вход - чтобы в комментариях был вход от плагина WP-Recall и это дополнение для вас избыточно - я выпустил доп "You Need To Login" - Выводит ссылки на вход. Исправляет пути вордпресс логина на форму WP-Recall. Обратите внимание на него.
Установка:
Т.к. это дополнение для WordPress плагина WP-Recall, то оно устанавливается через менеджер дополнений WP-Recall.
1. В админке вашего сайта перейдите на страницу "WP-Recall" -> "Дополнения" и в самом верху нажмите на кнопку "Обзор", выберите .zip архив дополнения на вашем пк и нажмите кнопку "Установить".
2. В списке загруженных дополнений, на этой странице, найдите это дополнение, наведите на него курсор мыши и нажмите кнопку "Активировать". Или выберите чекбокс и в выпадающем списке действия выберите "Активировать". Нажмите применить.
Обновление:
Дополнение поддерживает автоматическое обновление - два раза в день отправляются вашим сервером запросы на обновление.
Если в течении суток вы не видите обновления (а на странице дополнения вы видите что версия вышла новая), советую ознакомиться с этой статьёй
Важно! Перед обновлением обязательно сначала деактивируйте этот аддон, а потом обновляйте
Переносим wp-login.php и переименовываем. Оттуда он и будет работать
Боты, обращаясь к wp-login.php в корне сайта будут видеть 403-й ответ
При желании и прикрыть через .htaccess можно. Нагрузка совсем спадет. Хотя и так от ВП die() нагрузка не большая
Если закрываем через .htaccess, то полезен файл-заглушка 403.html (kwpl/templates/403.html)
Заменяет ссылки на вход с wp-login.php - на вход, от всплывающей формы wp-recall (в блоке комментарии и ответ на комментарии)
Исправляет ссылку в блоке комментариев с профиля админки на профиль во фронте
====================================================================================================
0. Проверяем надо ли делать это всё
1. Открываем и читаем файл wp-login.php
2. Заменяем в копии файла все вхождения wp-login.php на свои
3. Создаем наш файл. Он и будет принимать потерянные пароли и т.п.
4. Переименовываем wp-login.php из корня сайта во имя безопасности (архив)
5. На его место кидаем inc\hasta_la_vista.php и 403 ответ сервера
6. Ботам die()
7. 5 и 6 пункт можно пропустить вписав в .htaccess файл (смотри вкладку "Настройки" - 3 пункт)
при деактивации, wp-login.php оригинальный, возвращается назад
====================================================================================================
файл в корне сайта wp-login.php.kwpl*** - файл оригинального wp-login.php (бекап на всякий случай)
Общие настройки:
В админке переходим "WP-Recall" -> "Настройки" -> "Настройки Kill wp-login & Fix Login" и выставляем у каких форм нужен чекбокс.
Возможно задать свой текст у чекбокса.
Если вы, в форме регистрации, выбрали вывод капчи Google ReCaptcha, то вам необходимо подключить свой сайт к этому сервису:
Заходим в Google ReCaptcha
1. Регистрируемся в гугле и вписываем свои данные
2. Полученный ключ и секретный ключ вписываем в соответствующие поля данных настроек.
Дополнительные рекомендованные настройки:
Боты, обращаясь к wp-login.php в корне сайта будут видеть 403-й ответ (ведь мы этот файл подменили)
При желании и прикрыть через .htaccess можно. Нагрузка совсем спадет. Хотя и так от wp die() нагрузка не большая
Итак: можно в файл .htaccess, в корне сайта, вписать это:
# add block login wordpress side START ErrorDocument 403 /403.html <filesmatch "wp-login.php"> Order Allow,Deny Deny from all </filesmatch> # add block login wordpress side END
- И тогда нам еще "легче" - мы им даже php наш не даём запустить))
Боты увидят 403.html.
Если закрываем через .htaccess файл, то полезен файл-заглушка 403.html
wp-content/wp-recall/add-on/kwpl/templates/403.html
При активации дополнения этот файл копируется в корень вашего сайта. Но если вам нужно его изменить по дизайну (или что-то дописать) - отключаем дополнение и из папки templates плагина, можно скопировать в темплейт папку реколл, по пути wp-content/wp-recall/templates/ и изменить под себя. После изменений активируйте дополнение. Файл возьмется оттуда.
Подробнее о шаблонах тут: Используем функционал шаблонов в плагине WP-Recall. Список шаблонов
- или оставляйте как есть - ботам все равно
Расширенные настройки:
Важно! Перед выполнением этого пункта - обязательно сначала деактивируйте дополнение
Все расширенные настройки находятся в файле wp-content/wp-recall/add-on/kwpl/setup.php
И повторюсь - изменять их только при отключенном дополнении!
$kwpl['rewrite_wp-login'] 1 - включаем перезапись wp-login при активации / 0 - не включаем
- $kwpl['name_work'] имя меняется в том случае, если злоумышленник постоянно долбит по нему (вычислил)
Например у вас стоит limit-login-attempts и он начинает вам слать письма, что некоторые ip он банит. Значит боты вычислили новый файл.
Деактивируем аддон, и просто меняем на свое новое имя и активируем аддон Kill WP-Login
Остальные настройки я не рекомендую изменять.
v.4.2
* поддержка WP-Recall 16.26.0
v.4.1
* Добавлена замена в письме восстановления пароля, на используемый нами файл
v.4.0
* совместимость с WP-Recall 16.23.14
* исправлена ошибка, которая выводилась в консоли мультисайта
* В настройки добавлена опция: "Отложенная загрузка рекапчи".
Работает когда:
1. в общих настройках WP-Recall опция "Порядок вывода формы входа и регистрации" выставлена как "Всплывающая форма"
2. в опциях kwpl тип защиты выбран "Google ReCaptcha"
При этой настройке все скрипты рекапчи загружаются только тогда, когда вызывается всплывающая форма.
* Добавил уведомление админу на почту, если по каким-то причинам файл безопасности исчез/не создался -
ВП кроном дважды в день будет проверяться этот файл в корне сайта.
Если его там нет - администратор получит письмо на почту. Вид уведомления:
Скрин
v.3.3
* Блок настроек приведен к стандарту API настроек WP-Recall v16
* Исправлены уведомления уровня notice
v.3.2
* совместимость с WP-Recall 16.16
v.3.1
* Работа с дополнением Rcl Menu Buttons
v.3.0
* Рефакторинг
* В форму регистрации добавил капчу от гугла - в настройках можно включить защиту этой капчей вместо чекбокса - эффективно против спам регистраций!
* Работа с 16-й версией WP-Recall
v.2.1
* Исправлена ошибка, когда при регистрации через uLogin приходило письмо зарегистрированному: "Чтобы задать пароль, перейдите по следующей ссылке:" и ссылка вела на 403 (wp-login.php)
v.2.0.1
* Появились чекбоксы у форм входа, регистрации и восстановления пароля. Человек если не поставит чекбокс - не сможет отправить форму.
* В админке, на странице настроек аддона - вы можете выставить на каких формах хотите видеть чекбокс и его название (по умолчанию "Я не бот")
* В файле "setup.php" появилась настройка "1 включаем перезапись wp-login при активации / 0 - не включаем" - для тех пользователей которые хотят использовать замену входа в комментариях на урл от реколл и хотят использовать чекбоксы, но сам wp-login.php защищать не хотят (это отключит функционал переименовывания этого файла.
Например, если у вас по правам, файл автоматически не дает переименовывать и вы wp-login.php защищаете другими плагинами)
Эту настройку производить при деактивированном дополнении!
v.1.1.
* Работает с запароленными записями вордпресс
* Работает со всеми формами входа WP-Recall
* Формирует ссылку на забытый пароль в форме авторизации - переключает её (на скриншоте в слайдере показал)
V1.0
* Release
* Поддержка осуществляется в рамках текущего функционала дополнения
* При возникновении проблемы, создайте соответствующую тему на форуме поддержки товара
* Если вам нужна доработка под ваши нужды - вы можете обратиться ко мне в ЛС с техзаданием на платную доработку.
Все мои работы опубликованы на моём сайте и в каталоге магазина CodeSeller.ru
Другие товары автора
Автор публикации
С радостью оплачу и скачаю 🙂
Если вам интересно:
После активации дополнения вы можете набрать ваш-сайт/wp-login.php и посмотреть ответ. Если в .htaccess файле внесли запись - то ответ будет интересней.
От себя замечу - атаки на вход у меня ушли.
Да-да, в сетап я уже заглянул, главное, что аддон для юзеров сделал вылетающее окошко сразу, без перекидывания на другую страницу, а для меня как админа закрыл ненужные для палева страницы
и кнопка "выход" - теперь не светит путь до wp-login 🙂
Обязательно буду ставить на этот сайт. Респект! 8)
Выяснилось что версия 1.0 не работает с записями защищенными паролем (кидает на заглушку для ботов) Найду фильтр - исправлю. Будет обновление.
Poleznoe dopolnenie!
Дополнение хорошее, но один вопрос: атрибуты каких то файлов нужно менять ибо "error open/create. kwpl"? Спасибо.
По умолчанию если все было - то не нужно.
Перепроверьте - корневая папка, где лежит wp-login.php должна иметь 755 права, не ниже
755 и имеет, но... ладно, будем искать в чем проблема.
атрибут w+ в 19й строке activate.php пытается открыть файл и если его нету (а его нету) должен его создать. Получается что не может создать.
В следующей версии я изменю логику этого участка
В личку ответить не могу (( WP установлен в корень, не в подпапку.
Личку открыл. Спасибо за ответ. Дело скорее всего с абсолютными путями. Пробую повторить проблему
Выяснилась одна особенность - не на всех сайтах возможна работа. Причина: ограничения на корневой папке - она не дает скрипту скопировать файлы. Автоматического решения нет. Только ручками. А нафига в таком случае аддон?
Поэтому предупреждаю сразу. Пока один случай такого ограничения.
Придумаю что - хорошо. Логику работы менять не хочу - по той логике, что он сейчас работает - самая легкая версия с минимальной нагрузкой на сервер - для автоматического режима.
посмотрел дополнение, wp-login защитили, а wp-admin не может быть лазейкой для спам регистраций, или этого достаточно. просто после установки дополнения уже 1 спамер зарегился у меня сайте. может быть попробовать добавить в функционал расширения, что-то вроде этого
http://web-blog.su/wordpress/xuki-xaki/sazhaem-pod-zamok-wp-admin-i-wp-login/
Спасибо Web-Blog-у за идею
1.вы логи анализировали? Уверены что ваш спам-юзер зарегистрировался через wp-admin? У меня подобного случая не было.
2. Как вы определяете спам юзера? Для меня это боты. А человек-спамер всегда вручную обойдет. Против этого метода нет защиты. Только если вообще регистрации всем перекрыть.
3. Регистрацию на сайте, в основных настройках вордпресса, отключайте. Регистрация через wp-recall будет работать - это отдельный скрипт. Так вы отсеете еще спамеров. На эту тему я подготовлю отдельную статью в своей группе + рекомендую комплекс мер, советы по анализу. Небольшая заметка у меня была http://codeseller.ru/post-group/varianty-zashhity-ot-spam-registracij/ - в самом низу бонусом описал методы противодействия ботам.
Пока я не буду уверен что закрытие wp-admin не будет ломать работу других плагинов - я это в аддон не внесу. Вариант с закрытием wp-admin пробовал, но реализацию отложил на будущее - там не все гладко. Логи пока не показывают мне, что за wp-admin можно переживать.
Сегодня установил дополнение все работает и даже с отдельными плагинами безопасности. Спасибо за отличное дополнение!
Спасибо за отзыв.
Вероятность конфликта могла быть - поэтому я счел нужным предупредить пользователей. Все же мой аддон затрагивает важный файл вордпресса - возможно другие плагины безопасности его тоже будут "трогать" - вот тогда и произойдут конфликты.
Ну это примерно как два плагина галереи - они могут конфликтовать т.к. используют хоть и разные подходы, но влияют на одни объекты (изображения)
Здравствуйте, сегодня заметил что если восстановить пароль то на почту приходит пароль со ссылкой востановления на админку, можно это как то исправить или я что то не прописал?
Здравствуйте. Так работает вордпресс - отключите этот аддон и смотрите что вордпресс высылает. Меняется только файл обработчик. Написано же - что аддон ботов отсеивает - их атаку.Человек всегда обойдет любую защиту
Тоесть это нельзя как то обойти я правильно понял?
Не скажу что нельзя, такая задача не ставилась. Все что умеет аддон на текущую версию - описано выше.
Понял, спасибо за пояснение!
v2.1
Важно! Перед обновлением обязательно сначала деактивируйте аддон, а потом обновляйте
Не устанавливается обновление, пишет должна стоять 15 версия WP-Recall или что то в этом роде 💡
А зачем вам сейчас это обновление? Все верно. Оно будет работать с 15й версией
Ну так пришло обновление, я и решил обновиться а там эта ошибка. Будем ждать 15 версию!
Версия 3.0. читаем описание релиза +гугл рекапча в форме регистрации. Действительно помогает. Спасибо Андрею за "пинок" в этом направлении 😀
Здравствуйте, Владимир.
Прежде чем решить, приобретать ли мне это дополнение, пару вопросов:
1) Мой хостер (McHost), как я понимаю, уже позаботился о защите и изменил ссылки на вход wp-login.php. Об этом говорит следующее предупреждение: "В целях безопасности вашего сайта, стандартный адрес входа в административную панель автоматически изменён на...". Будет ли ваше дополнение работать в этом случае?
2) У меня уже приобретён доп You need to login. Не будут ли они конфликтовать? Или в нём отпадает нужда, так как он выполняет схожие с Kill wp-login & Fix Login задачи?
Спасибо.
Здравствуйте.
- честно, не знаю. Понять бы о чем речь. Я не сталкивался с такими хостерами.
- да- второй функционал одинаков. Мне кажется kill-wp-login для вас избыточен. Ну и при условии что хостер вам что-то поменял.
А для входа - смена ссылок в ВП - второй пункт - как раз полностью дубль.
У меня стоит плагин ULTIMATE MEMBERSHIP PRO, не возникнет ли конфликтов с Kill wp-login & Fix Login?
Я не знаю. Я не тестировал с этим плагином и понятия не имею что он делает.
Дополнение может не работать со сторонними плагинами - гарантию на 100% работоспособность со сторонними решениями (кроме тех что мною тестировались) я не даю. Дополнительные проблемы возникшие в результате работы плагинов третьей стороны я решать не буду.
Подскажите, на форму регистрации можно вывести согласие с публичной офертой (ссылка на оферту)?
У вас общий вопрос по плагину https://codeseller.ru/dokumentaciya-wp-recall/ смотрите в документации "Произвольные поля профиля Wp-Recall"
Добрый день! Плагин покупается для одного сайта или можно на несколько установить?*
Здравствуйте.
Можете устанавливать на неограниченное кол-во сайтов. Но запрещена перепродажа и передача третьим лицам (сайты, владельцем которых вы не являетесь). Подробней написано в договоре оферте, что вы принимаете при оплате заказа.
Есть ограничения, разбираться почему этот плагин может конфликтовать с шаблонами или другими плагинаминами я не буду, поэтому только пиратить.
Не понял вашего комментария. Поясните что вы имели ввиду?
Хочу приобрести данный плагин, версия WP-Recall 15.9.8 - подскажите будет ли работать, а то боты достали уже долбиться. Обновлять WP-Recall не хочу, поскольку все вроде работает и так, ни с чем конфликтовать по идее не должен кроме этого.
Здравствуйте.
- минимальная версия указана в самом верху над описанием. Работу с старыми версиями WP-Recall я не поддерживаю.
Да просто после обновления рекола там же слетят настройки некоторые, время тратить не хочется на это все. А так вроде работает все, чего трогать. А клиентов у покупателей у вас не было со старыми версиями? ну как я, работать то он просто будет или нет. По сути в любом случае покупать надо будет, альтернатив ведь нет. Ну не заработает, придется обновляться тогда конечно.
не будет работать с 15-й версией т.к. дополнение использует api wp-recall 16-й версии. Об этом упомянуто в changelog с v.3.0 от 2017-04-24
(понимаете что вы не обновляли плагин 2 года? - никто такие старые версии поддерживать не возьмётся)
Спасибо за ответ. Ну значит надо будет обновиться попробовать или что-то еще придумать)
Здравствуйте! Перед покупкой хотелось кое-что уточнить для себя. У меня uLogin, плагинов безопасности вроде нет, кроме Akismet Anti-Spam если он к таковым относится. Можете объяснить чайнику:
1. Аддон - это называют дополнения к плагину wp-recall?
2. Дополнения необходимо обязательно ДЕАКТИВИРОВАТЬ перед обновлением новой версии wp-recall? Иначе? 😮 (просто раньше никогда ничего не отключал и вроде норм было).
3. Limit Login Attempts много лет не обновляется, ничего страшного ведь? 😬
4. uLogin - раннее были нападки со стороны пользователей, что якобы данный плагин полон проблем, хотя и у вас на сайте он установлен (https://habr.com/ru/sandbox/81211/) и еще также по этому плагину и настройке на вашем сайте: у меня после авторизации через соцсети обязательные поля так и остаются незаполненными, то есть это и так понятно, пользователь авторизовался через соцсеть и плагин получил данные и заполнил их автоматом, но такие пункты как Я Человек, Галочка на Публичной оферте или соглашении необходимо будет человеку после авторизации на сайте через соцсети в свое личном кабинете отмечать, верно? Но проблема в том, что такие пользователи сидят на сайте и не отмечая ОБЯЗАТЕЛЬНЫЕ пункты. Или я что-то не так понимаю.
Не совсем по вашему допу, извините. Прошу ответить, так как хочется перед покупкой знать ответы на вышеупомянутые вопросы. Спасибо. 😅
Здравствуйте.
1. Смотрим в какой товарной категории данный товар: "Дополнения Wp-Recall"
2. При обновлении реколл - не нужно. Сам я реколл часто обновляю и доп не отключаю. Все ок.
3. Ничего страшного - он написан грамотно и работает верно много лет. У меня он - единственное по безопасности в связке с kill wp-login (kwpl). Их тандем - отличное решение. Конечно я бы мог подобный функционал в kwpl перенести, но там разные задачи.
4. Вопрос не по kill wp-login.
На своем сайте где я пишу обзоры и т.д. я его удалил. Я не верю этой конторе и отказ - мое личное волевое решение. Моя статья на хабре https://habr.com/ru/post/413233/ вышла в топ и висела на главной несколько дней.
с ulogin никакой интеграции нет - у него своя форма и реколл поля ему побоку. Но через соцсети боты не регаются как правило - так что чекбокс там и не нужен. Да и вроде у них свой чекбокс "согласен с правилами сайта". Но в целом - я никакие гарантии на ulogin не даю - т.к. попросту отказался от него. Свои вопросы по нему наверно стоит решать на общем форуме поддержки плагина.
А ваше сообщение: Важно! Перед обновлением обязательно сначала деактивируйте аддон, а потом обновляйте - значит только при обновлении дополнения Kill wp-login & Fix Login???
да. Там на форуме правда на этот счет есть решение, но геморное
Здравствуйте, не обновляется плагин, просто крутится и не обновляется. Когда пытаюсь деактивировать меня перекидывает на страницу с текстом backup file - wp-login.php.kwpl-bkp - not found. kwpl в чем может быть проблема?
Здравствуйте.
Техподдержка по дополнению решается на его форуме поддержки. Создавайте там новую тему - будем разбираться.