Данное дополнение решает 3 задачи:
1. Оно защищает wp-login.php от атак ботов
2. Оно заменяет ссылки "Войти" в форме комментариев, на форму входа от плагина WP-Recall (берет из основных настроек). И в форме комментариев изменяет ссылку на профиль (которая вела в админку), на ссылку в профиль WP-Recall (который в фронтенде)
3. Добавляет чекбоксы у форм входа, регистрации и восстановления пароля. Человек если не поставит чекбокс - не сможет отправить форму. И боты не смогут отправить данные.
Вы можете выбрать из 2-х вариантов защиты формы регистрации:
• Просто галка "Я не бот" (текст настраивается в опциях) как обязательное поле.
или
• Google ReCaptcha - рекапча от гугла.
Если вы выбрали гугл рекапчу и всплывающую форму регистрации - скрипты гугловской рекапчи загрузятся только тогда, когда вы вызовете эту всплывающую форму. Включите опцию "Отложенная загрузка рекапчи"
- этот способ позволяет не просесть в PageSpeed Insights.
Есть ограничения:
1. Если на сайте установлены плагины безопасности (которые влияют на wp-login.php) - корректная работа с ними не гарантируются и претензии по этому поводу не принимаются.
2. В шаблоне комментариев должен стоять вывод формы комментариев через функцию comment_form(); и аргументы этой функции не должны переопределяться шаблоном. Если всё по кодексу WordPress - работать замены будут. Увы не все шаблоны пишутся грамотно. Разбираться в логике работы ваших шаблонов я не буду. Так же как и претензии по возврату средств.
Дополнение специфическое - писалось под свои нужды. Т.к. я не люблю громоздкие плагины безопасности - они несут значительную нагрузку на ваш сайт. Меня устраивает эта связка из 2-х: "limit-login-attempts" и "Kill wp-login & Fix Login"
Метод замены wp-login.php не нов и показал на деле свою эффективность, но обновляя вордпресс мне надоело его вручную перезаписывать. Тут же перезапись происходит в момент активации аддона и скрипт всё выполняет автоматически.
Будут вопросы - пишите ниже. Буду рад обратной связи.
p.s. обратите внимание на совместимость!
Важно! Перед обновлением обязательно сначала деактивируйте аддон, а потом обновляйте
p.s. Если вам просто надо повлиять на вход - чтобы в комментариях был вход от плагина WP-Recall и это дополнение для вас избыточно - я выпустил доп "You Need To Login" - Выводит ссылки на вход. Исправляет пути вордпресс логина на форму WP-Recall. Обратите внимание на него.
Установка:
Т.к. это дополнение для WordPress плагина WP-Recall, то оно устанавливается через менеджер дополнений WP-Recall.
1. В админке вашего сайта перейдите на страницу "WP-Recall" -> "Дополнения" и в самом верху нажмите на кнопку "Обзор", выберите .zip архив дополнения на вашем пк и нажмите кнопку "Установить".
2. В списке загруженных дополнений, на этой странице, найдите это дополнение, наведите на него курсор мыши и нажмите кнопку "Активировать". Или выберите чекбокс и в выпадающем списке действия выберите "Активировать". Нажмите применить.
Обновление:
Дополнение поддерживает автоматическое обновление - два раза в день отправляются вашим сервером запросы на обновление.
Если в течении суток вы не видите обновления (а на странице дополнения вы видите что версия вышла новая), советую ознакомиться с этой статьёй
Важно! Перед обновлением обязательно сначала деактивируйте этот аддон, а потом обновляйте
Переносим wp-login.php и переименовываем. Оттуда он и будет работать
Боты, обращаясь к wp-login.php в корне сайта будут видеть 403-й ответ
При желании и прикрыть через .htaccess можно. Нагрузка совсем спадет. Хотя и так от ВП die() нагрузка не большая
Если закрываем через .htaccess, то полезен файл-заглушка 403.html (kwpl/templates/403.html)
Заменяет ссылки на вход с wp-login.php - на вход, от всплывающей формы wp-recall (в блоке комментарии и ответ на комментарии)
Исправляет ссылку в блоке комментариев с профиля админки на профиль во фронте
====================================================================================================
0. Проверяем надо ли делать это всё
1. Открываем и читаем файл wp-login.php
2. Заменяем в копии файла все вхождения wp-login.php на свои
3. Создаем наш файл. Он и будет принимать потерянные пароли и т.п.
4. Переименовываем wp-login.php из корня сайта во имя безопасности (архив)
5. На его место кидаем inc\hasta_la_vista.php и 403 ответ сервера
6. Ботам die()
7. 5 и 6 пункт можно пропустить вписав в .htaccess файл (смотри вкладку "Настройки" - 3 пункт)
при деактивации, wp-login.php оригинальный, возвращается назад
====================================================================================================
файл в корне сайта wp-login.php.kwpl*** - файл оригинального wp-login.php (бекап на всякий случай)
Общие настройки:
В админке переходим "WP-Recall" -> "Настройки" -> "Настройки Kill wp-login & Fix Login" и выставляем у каких форм нужен чекбокс.
Возможно задать свой текст у чекбокса.
Если вы, в форме регистрации, выбрали вывод капчи Google ReCaptcha, то вам необходимо подключить свой сайт к этому сервису:
Заходим в Google ReCaptcha
1. Регистрируемся в гугле и вписываем свои данные
2. Полученный ключ и секретный ключ вписываем в соответствующие поля данных настроек.
Дополнительные рекомендованные настройки:
Боты, обращаясь к wp-login.php в корне сайта будут видеть 403-й ответ (ведь мы этот файл подменили)
При желании и прикрыть через .htaccess можно. Нагрузка совсем спадет. Хотя и так от wp die() нагрузка не большая
Итак: можно в файл .htaccess, в корне сайта, вписать это:
# add block login wordpress side START ErrorDocument 403 /403.html <filesmatch "wp-login.php"> Order Allow,Deny Deny from all </filesmatch> # add block login wordpress side END
- И тогда нам еще "легче" - мы им даже php наш не даём запустить))
Боты увидят 403.html.
Если закрываем через .htaccess файл, то полезен файл-заглушка 403.html
wp-content/wp-recall/add-on/kwpl/templates/403.html
При активации дополнения этот файл копируется в корень вашего сайта. Но если вам нужно его изменить по дизайну (или что-то дописать) - отключаем дополнение и из папки templates плагина, можно скопировать в темплейт папку реколл, по пути wp-content/wp-recall/templates/ и изменить под себя. После изменений активируйте дополнение. Файл возьмется оттуда.
Подробнее о шаблонах тут: Используем функционал шаблонов в плагине WP-Recall. Список шаблонов
- или оставляйте как есть - ботам все равно
Расширенные настройки:
Важно! Перед выполнением этого пункта - обязательно сначала деактивируйте дополнение
Все расширенные настройки находятся в файле wp-content/wp-recall/add-on/kwpl/setup.php
И повторюсь - изменять их только при отключенном дополнении!
$kwpl['rewrite_wp-login'] 1 - включаем перезапись wp-login при активации / 0 - не включаем
- $kwpl['name_work'] имя меняется в том случае, если злоумышленник постоянно долбит по нему (вычислил)
Например у вас стоит limit-login-attempts и он начинает вам слать письма, что некоторые ip он банит. Значит боты вычислили новый файл.
Деактивируем аддон, и просто меняем на свое новое имя и активируем аддон Kill WP-Login
Остальные настройки я не рекомендую изменять.
v.4.2
* поддержка WP-Recall 16.26.0
v.4.1
* Добавлена замена в письме восстановления пароля, на используемый нами файл
v.4.0
* совместимость с WP-Recall 16.23.14
* исправлена ошибка, которая выводилась в консоли мультисайта
* В настройки добавлена опция: "Отложенная загрузка рекапчи".
Работает когда:
1. в общих настройках WP-Recall опция "Порядок вывода формы входа и регистрации" выставлена как "Всплывающая форма"
2. в опциях kwpl тип защиты выбран "Google ReCaptcha"
При этой настройке все скрипты рекапчи загружаются только тогда, когда вызывается всплывающая форма.
* Добавил уведомление админу на почту, если по каким-то причинам файл безопасности исчез/не создался -
ВП кроном дважды в день будет проверяться этот файл в корне сайта.
Если его там нет - администратор получит письмо на почту. Вид уведомления:
Скрин
v.3.3
* Блок настроек приведен к стандарту API настроек WP-Recall v16
* Исправлены уведомления уровня notice
v.3.2
* совместимость с WP-Recall 16.16
v.3.1
* Работа с дополнением Rcl Menu Buttons
v.3.0
* Рефакторинг
* В форму регистрации добавил капчу от гугла - в настройках можно включить защиту этой капчей вместо чекбокса - эффективно против спам регистраций!
* Работа с 16-й версией WP-Recall
v.2.1
* Исправлена ошибка, когда при регистрации через uLogin приходило письмо зарегистрированному: "Чтобы задать пароль, перейдите по следующей ссылке:" и ссылка вела на 403 (wp-login.php)
v.2.0.1
* Появились чекбоксы у форм входа, регистрации и восстановления пароля. Человек если не поставит чекбокс - не сможет отправить форму.
* В админке, на странице настроек аддона - вы можете выставить на каких формах хотите видеть чекбокс и его название (по умолчанию "Я не бот")
* В файле "setup.php" появилась настройка "1 включаем перезапись wp-login при активации / 0 - не включаем" - для тех пользователей которые хотят использовать замену входа в комментариях на урл от реколл и хотят использовать чекбоксы, но сам wp-login.php защищать не хотят (это отключит функционал переименовывания этого файла.
Например, если у вас по правам, файл автоматически не дает переименовывать и вы wp-login.php защищаете другими плагинами)
Эту настройку производить при деактивированном дополнении!
v.1.1.
* Работает с запароленными записями вордпресс
* Работает со всеми формами входа WP-Recall
* Формирует ссылку на забытый пароль в форме авторизации - переключает её (на скриншоте в слайдере показал)
V1.0
* Release
* Поддержка осуществляется в рамках текущего функционала дополнения
* При возникновении проблемы, создайте соответствующую тему на форуме поддержки товара
* Если вам нужна доработка под ваши нужды - вы можете обратиться ко мне в ЛС с техзаданием на платную доработку.
Все мои работы опубликованы на моём сайте и в каталоге магазина CodeSeller.ru
Другие товары автора
Автор публикации
Версия 4.0
Вкусности:
• ресурсы рекапчи загружает только как всплывающая форма вызвана - этот способ позволяет не просесть в PageSpeed Insights.
• админу письмо приходит если файл куда-то пропал (случай такой был) - и подскажет ему про то, что доп просто переактивировать нужно.
Подробности в вкладке Changelog и скрин письма там же
Вот и загрузка рекапчи подоспела, которая не нарушает скорость. Владимир, отлично!
Будет время, загляни на свой сайт в темку про рекапчу, я там пару мыслей выложил)
Здравствуйте, Владимир!
Хотел приобрести данное дополнение. Скажите пожалуйста, а будет ли корректно работать с уже имеющимся допом https://codeseller.ru/products/rcl-cpr/ и если нет, то сможете ли вы сказать как их "подружить"? Спасибо
Здравствуйте. Понятия не имею, увы
Попробую по-другому задать вопрос: если дополнение восстановления пароля rcl-cpr работает в обход wp-login, могут ли быть проблемы с вашим дополнением?
ну так это вы уточните не у меня. Я не знаю использует тот доп wp-login файл или нет. Если использует и обращается по стандартному пути - тот доп работать не будет.
Этого ответа достаточно. Спасибо)
Скажите пожалуйста, а вход и регистрация через соц сети также есть у вашем дополнении?
Нет. Читайте внимательно описание.
А не подскажете как его найти? Спасибо
Мне нужно чтобы с вашим допом сработалось, ну как у вас на скриншоте
На скриншоте плагин, что команда безопасности вордпресс удалила за шпионские действия. Не ищите его. Он закрыт.
Других альтернатив я не подскажу.
При попытке восстановить пароль, перекидывает на wp-loginaaa.
Создавайте новую тему на форуме поддержки
Т.е. мне нужно оплатить доступ на форум что бы написать об ошибке в дополнении?
Отключите все сторонние дополнения (и этот тоже) и проверьте куда на деле ведет попытка восстановить пароль. Ведет она на ВП форму. Проблему не вижу в этом. Так работает по дефолту реколл.
Пишите на форум поддержки - если у вас проблемы.
Да, при отключении дополнений ведет на форму ВП, при включении дополнения ведет на wp-loginaaa.php.
Т.е. это моя вина и я должен покупать доступ на форум что бы задать вопрос?
на wp-loginaaa.php находится текущая версия wp-login.php. В чем проблема то?
Ошибка появлялась при добавлении в .htaccess
Как только удалил и переактивировал дополнение, всё заработало.