Kann ich den Ordner wp-admin umbenennen?

- 75
- 72602 2010-08-11
Istesmöglich,den Ordner wp-admin umzubenennen?

Ich weiß,ich könnteeseinfach umbenennen,aber wennesnicht vom Code unterstützt wird,würden viele Dinge kaputtgehen.

Wennicheinen benutzerdefinierten Ordnernamen verwende,wird dieseretwas sicherer,die Sicherheit durch Dunkelheit und all das.

Is it possible to rename the wp-admin folder?

I know I could just rename it, but unless it's supported by the code lots of things would break.

If I use a custom folder name, it will make it slightly more secure, security by obscurity and all that.

wp-admin security

10 Antworten

Stimmen

- 42
- 2010-08-11
Leideristes derzeit wedermöglichnoch scheinteseinen Willen zugeben,es als Modifikation zubetrachten,wie Sie an dieser aktueller Thread auf der wp-Hacker-Liste und dieses Ticket auftrac .

Wenn Sie wirklichmöchten,dass diesnocheinmalbesucht wird,würdeich vorschlagen:

Präsentieren Sie Ihren Fall auf wp-Hackern ,aber seien Siegewarnt,dass Ihr Anwendungsfallbesseristgut undnicht "Sicherheit durch Dunkelheit" oderes wird wie oben abgeschossen.

Präsentieren Sie Ihre Argumentationin einem Trac-Ticket mit denselben Einschränkungen.

Laden Sienochbesser einen Patch auf den Trac hoch,der diesermöglicht Ihregewünschte Funktionalität. Esist viel schwieriger,Nein zu sagen,wenn die Arbeitbereitserledigtist (abernatürlichbevorzugen siees,viel häufiger "Nein" zu sagen,als "Ja",seien Sie alsogewarnt.)
Unfortunately it's not currently possible nor does there appear to be will to consider it as a modification as you can see by this recent thread on the wp-hackers list and this ticket on trac.

If you'd really like to see this be revisited I'd suggest:

Present your case on wp-hackers but be forewarned your use-case better be good and not "security through obscurity" or it will get shot down as above.

Present your argument in a trac ticket with the same caveats.

Even better, upload a patch to trac that enables your desired functionality. It's much harder to say no when the work has already been done (but of course, they do have a preference for saying "no" a lot more often than they say "yes" so be forewarned.)
- `+ 1` * Sie sagen viel häufiger" Nein "als" Ja ",seien Sie alsogewarnt * :)
  
  `+1` *they do have a preference for saying "no" a lot more often than they say "yes" so be forewarned* :)
  - 10
  - 2013-11-29
  - Sisir
- 12
- 2010-08-11
Nein,Sie können den Ordnernicht umbenennen.Der Pfadist anmehreren Stellenin dergesamten WordPress-Quellefest codiert.

Sicherheit durch Dunkelheitist sowieso keine wirkliche Sicherheit.

No, you cannot rename the folder. The path is hard-coded in multiple locations throughout WordPress' source.

Security through obscurity isn't really security anyway.
- Undesistbestenfallseine faule Ausrede,um schlechte Programmierpraktiken wie das harte Codieren vonmagischen Zahlen oder Stringsnicht zu ändern.
  
  And it's a lazy excuse at best for not changing bad programming practices like hard-coding magic numbers or strings.
  - 23
  - 2011-01-10
  - hakre
- @akre +100 Übrigens,diemeisten Leute,diefragen,wieman "wp- *" - Ordner versteckt,suchennicht unbedingtnach Sicherheit,sie suchentatsächlichnach Dunkelheit. Sie versuchen,die Analyseihrer Websitesmüheloser zugestalten.
  
  @hakre +100 Btw, most people asking how to hide "wp-*" folders are not necessarily looking for security, they are looking for obscurity actually..they try to make analyzing their sites more effort-requiring activity.
  - 6
  - 2011-07-05
  - Victor Farazdagi
- Eigentlichistes keine Sicherheit durch Dunkelheit.Esist Obscure URL,eine gültige Sicherheitstechnik.Siehe Antwort untenfür Details.
  
  Actually, it's not security by obscurity. It's Obscure URL, a valid security technique. See answer below for details.
  - 5
  - 2013-03-15
  - cmc
- Nun,ich habe versucht,eine neue Reihe von Argumenten zufinden,aber die Antwort war: "Diesistein starker Fehlerin der Buchhaltung" und die ziemlich rotzige "das Google Mail-Loginist auch keine obskure URL".Keinetechnischen Gründe,keine Erklärung,keine Debatte,sie werdeneseinfachnichttun.
  
  Well, I tried following up with a fresh set of arguments, but the answer was: "This is a strong wontfix in by book" and the rather snotty "the gmail login isnt obscure url either". No technical reasons, no explanation, no debate, they just won't do it.
  - 1
  - 2013-03-19
  - cmc
- Wordpressist weitausehrwürdiger als Google Mail.Ein Grund dafürist,dass WordPress Open Sourceist.Jeder kennt Code.Sicherheit durch Dunkelheitistnicht wirklich Sicherheit?Aber wir sind keine Programmierer von WordPress.Esist Open Source.Meiner Ansichtnach hilft Dunkelheit dabei,Sicherheit zu schaffen.Warum verwenden die Leute dannein verschlüsseltes Passwort? Nach dieser Logik wird kein Verschlüsselungskennwort verwendet. Wenn die Datenbank sichtbarist,kann der Hacker allestun ... Mein WordPress wird zweimal und das 2-fache des WordPressmeines Unternehmensin 10gehacktJahre ... Und keinesmeiner 6-7 Google Mail-Konten wurdein 15 Jahrenbishergehackt ...
  
  Wordpress is far more venerable than gmail. One reason is, wordpress is open-source. Everyone knows code. Security through obscurity isn't really security anyway? But we are not coder of wordpress. It's open-source. In my views, obscurity do help in making secure. Why people use encrypted password then?According to this logic, there is no use of encryption password....Because if database is viewable, hacker can do anything...My wordpress is hacked 2 times and 2 times my company's wordpress in 10 years...And none of my 6-7 gmail accounts is hacked in 15 years so far...
  - 2
  - 2015-08-19
  - web2students.com
- Was verlangt wird,istnicht "Sicherheit durch Dunkelheit" -esist Sicherheit UND Dunkelheit.Selbsteine Bankmit dembesten Safe der Welt würdeihnnicht direkt von der Straße aus zugänglichmachen.Das Ändern des Verzeichnisnamenserschwert automatisierte Angriffeerheblich.
  
  What's being asked for is not "security through obscurity" – it's security AND obscurity. Even a bank with the best safe in the world wouldn't make it directly accessible from the street. Changing the directory name makes automated attacks much harder.
  - 2
  - 2017-06-16
  - JoLoCo
- 9
- 2013-03-13
Ein Ansatz,der offiziell von WordPress unterstützt wird,besteht darin,die WordPress-Installationsdateienin ein Unterverzeichnis zu verschieben,während die Siteim Stammverzeichnisbleibt,wiefolgt:

Site-URL: http://my-blog.com

Administrator-URL: http://my-blog.com/7nxnkkugrdzm/wp-admin

Diesgibt Ihnen zwar keine vollständige Freiheitbeim Ändern Ihrer Administrator-URL,bedeutetjedoch,dass Sieihr beliebige Präfixe hinzufügen können. Diesist aus Sicherheitsgründengenausogut. Es hat auch den Vorteil,dass alle WordPress-Installationsdateien aneinen für Benutzer unbekannten Speicherort verschoben werden. Daher solltees Teiljeder WordPress-Härtungsstrategie sein.

Aus dem WordPress-Codex: Geben Sie WordPressein eigenes Verzeichnis

Beachten Sie außerdem,dass dieses Sicherheitsschema zwar als obskure URL bezeichnet wird,jedochnichtmit Sicherheit durch Dunkelheit identischist. Obscure URL istein absolutgültiges Sicherheitsschema,dasgenausogutist wieein Passwort,während Sicherheit durch Unbekanntheit auf der Verwendunggeheimer,nichtbewiesener Verfahrenberuht.

Esgeltenjedoch diegleichen Einschränkungen wiebei Kennwörtern: Rufen Sie denbenutzerdefinierten Ordner wie 7nxnkkugrdzm auf,nicht happy-snappy-admin. Stellen Sie außerdem sicher,dass Ihre Benutzer wissen,dass die Administrator-URLein Geheimnisist.

An approach that is officially supported by WordPress is to move the WordPress installation files into a sub-directory, while keeping the site in the root, like so:

Site URL: http://my-blog.com

Admin URL: http://my-blog.com/7nxnkkugrdzm/wp-admin

While this does not give you complete freedom in changing your admin url, it means you can prefix it with anything you like. This is just as good from a security point of view. It also has the benefit of moving all the WordPress installation files into a location unknown to users, so it should be part of any wordpress hardening strategy.

From the WordPress Codex: Giving WordPress Its Own Directory

Also, note that while this security scheme is called Obscure URL, it is not the same thing as security by obscurity. Obscure URL is a perfectly valid security scheme that is just as good as a password, while security by obscurity relies on using secret unproven procedures.

The same caveats apply though as with passwords: Call the custom folder something like 7nxnkkugrdzm, not happy-snappy-admin. Also, make sure your users are aware the admin url is a secret.
- Quelle
- cmc
- 7
- 2011-01-09
Hiergibt estatsächlichein sehrgutes Tutorial:

So verbergen Sie WordPress-Informationen vor Ihrem Quellcode ^Spiegel

Enthält Informationen zum Umbenennen von wp-Inhalten,zum Umbenennen von wp-admin und zum Entfernen des Generator-Tags aus WordPress.

Dieses Tutorial ändert offensichtliche Beweise oder Hinweise daraufin Ihrem Quellcode und entfernteffektiv WordPress-Informationen von Ihrer Site .

Hier wirderläutert,wie Sie den Ordnernamen und die Anmelde-URL von wp-admin ändern und sicherstellen,dass login.php zur Hauptseite umleitet,damit Benutzer direkt dorthingelangen können.

There is actually a very good tutorial on this here:

How to Hide WordPress Info from Your Source Code ^mirror

Includes how to rename wp-content, rename wp-admin, and remove the generator tag from WordPress.

This tutorial will change obvious evidence or indications of it in your source-code, effectively removing WordPress info from your site.

It explains how to change the folder name, the wp-admin login url, and make sure that login.php redirects to the main site so that people can go there directly.

Quelle

Graeme

6

2010-11-15

Wenn Sie verhindernmöchten,dass Benutzer auf Abonnentenebene das Verzeichnis wp-admin sehen,können Sieeigenständige Versionen der Anmelde-/Registrierungs- und Profil-/Bearbeitungsseitenin ihreneigenen Verzeichnissenerstellen.Anschließend können Sie Ihren Administratorordner über htaccess oder IP-Einschränkungen schützen.(Wenn Sie diestun,sollten Sieeine Ausnahmefür die admin-ajax-Dateimachen,daeinige Plugins sie verwenden,um AJAX-Funktionen hinzuzufügen.)

Dieser Ansatzbietet Ihnen diegewünschte "Dunkelheit" (dienicht wirklich vielbewirkt,aber häufig dazuführt,dass sich Kunden und Managerbesserfühlen) underhöht die Sicherheit,indem der Zugriff auf den Administratoreingeschränkt wird.Außerdem siehteine URLmit der Aufschrift "/login" vielbesser aus als "wp-login.php".

Es versteht sich von selbst,dass Ihre Website dadurchnicht kugelsicherist.Aberesisteine schöne,grundlegende Verbesserung.

If you want to keep subscriber-level users from seeing the wp-admin directory, you can create standalone versions of the login/registration and profile/edit pages in their own directories. Then, you can protect your admin folder via htaccess or IP restriction. (Though if you do this, you should make an exception for the admin-ajax file, as some plugins use it to add, um, AJAX functionality).

This approach gives you the "obscurity" you want (which doesn't really do much, but often makes clients and managers feel better), and also adds some real security by limiting access to the admin. Plus, honestly, a URL that just says "/login" looks a lot nicer than "wp-login.php".

It should go without saying that this doesn't make your site bulletproof. But it's a nice, basic enhancement.

Quelle

MathSmath

3

2011-12-07

Eine Möglichkeit,das administrative Kontrollfeld zu sperren,besteht darin,.htaccess-Regeln zu verwenden.Fügen Sieeinfacheine .htaccess-Datei zum Stammverzeichnis des Verzeichnisses wp-admin hinzu.Nachdem Sie diese Datei hinzugefügt haben,fügen Sieeinfach diefolgende Regel hinzu,um alle IP-Adressen zu verweigern undnur Ihre IP zuzulassen:

http://wp.tutsplus.com/tutorials/10 Schritte zum Sichern Ihrer WordPress-Installation/

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all whitelist address allow from <IP ADDRESS HERE> </LIMIT>

One way to lock down the administrative control panel is to utilize .htaccess rules. Just add an .htaccess file to the root of the wp-admin directory. After you add this file, just add the following rule to deny all IP addresses and allow only your IP:

http://wp.tutsplus.com/tutorials/10-steps-to-securing-your-wordpress-installation/

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all whitelist address allow from <IP ADDRESS HERE> </LIMIT>

Quelle

Josh

1

2016-05-16

Wenn Sie den wp-admin umbenennenmöchten,um Ihrer WordPress-Installation zusätzliche Sicherheitsebene hinzuzufügen,können Sie auch Roots/Bedrock WordPress Boilerplate .Es kann helfen,das Webstammverzeichnis zuisolieren,um den Zugriff auf Nicht-Webdateien zubeschränken.Es kann auchbeim Organisieren/Sichern desgesamten WordPress-Kerns helfen,indemesin eineigenes Unterverzeichnisgestellt wird,z. B. das Umbenennen von wp-content/in app/sowie diefolgenden zusätzlichen Funktionen:

Abhängigkeitsmanagementmit Composer

Einfache WordPress-Konfigurationmit umgebungsspezifischen Dateien

Umgebungsvariablenmit Dotenv

Autoloaderfür Mu-Plugins (verwenden Sienormale Plugins als Mu-Plugins)

Verbesserte Sicherheit (getrenntes Webstamm und sichere Passwörtermit wp-password-bcrypt)

Sie können auch deren GitHub Repo aufeine detailliertere Verwendung überprüfen:

If you want to rename the wp-admin with the aim of adding additional layer of security to your WordPress installation, you can also try the Roots / Bedrock WordPress Boilerplate. It can help isolate the web root to limit access to non-web files. It can also help in organizing/securing the whole WordPress core by putting it in its own subdirectory like renaming wp-content/ to app/ as well as these additional features:

Dependency management with Composer

Easy WordPress configuration with environment specific files

Environment variables with Dotenv

Autoloader for mu-plugins (use regular plugins as mu-plugins)

Enhanced security (separated web root and secure passwords with wp-password-bcrypt)

You can also check their GitHub Repo for a more detailed usage:

Quelle

Carl Alberto

0

2010-11-14

Sehen Sie sich http://wordpress.org/extend/plugins/stealth-login an/ Dies kann Ihnen helfen.

Take a look at http://wordpress.org/extend/plugins/stealth-login/ this may help you out.

Quelle

edelwater

Ich hatte Problememit diesem Plugin,alsiches ausprobierte.Undes scheint derzeitnichtgewartet oder kompatibelmit WP 3.x zu sein

I had issues with that plugin when I tried it. And it currently doesn't seem to be maintained or compatible with WP 3.x

0

2010-11-14

Rarst

ah ... schade,habeesnicht überprüft,ich habees voreiniger Zeit deinstalliert.Aber hey ... vielleicht kannesjemand reparieren,wennes wirklichnötigist.

ah... to bad, did not check it, i deinstalled it some time ago. But hey... maybe someone can fix it if in real need.

0

2010-11-15

edelwater

Alternativfinden Sie unter http://wordpress.stackexchange.com/questions/4037/how-to-redirect-rewrite-all-wp-login-requests

as an alternative, please see http://wordpress.stackexchange.com/questions/4037/how-to-redirect-rewrite-all-wp-login-requests

0

2011-01-10

hakre

0

2011-01-10

Nein,esistnichtmöglich,den Ordner wp-adminmit einem Mangel an Code oder htaccess-Hack umzubenennen.

In der Vergangenheit habeich dasselbefüreinen Clientgetan,indemich über Coda (den vonmir verwendeten Editor)eine vollständige Ordnersuchenach dem Tag "wp-admin,wp-content ...etc" durchgeführt und das "wp-"entfernt habe. "aus den Dateien.

Danach können Sieesinstallieren,aber:
Siemüssen dasselbemit den Pluginstun,die Sieinstallierenmöchten. Siemüssen den Kernmanuell aktualisieren,indem Sie das Tag "wp-" aus denneuen Versionen löschen.

Injeder Hinsichtempfehleich Ihnennicht,soetwas zutun. Lassen Siees wieesist und versuchen Sie,eine Benutzeranmelde-/Registrierungs-/Profilseite zuimplementieren,um Ihren Benutzern/Kundeneine bessere Erfahrung zubieten.

Cristian von Cozmolabs haben schreibeein sehrgutes Tutorial. Sie können Bearbeiten Sie den Codeein wenig und lassen Sieihn laufen ein beliebiges WordPress-Theme.

Sie können auchein Post-Formular über das Frontend hinzufügen,damit der Administrator und Benutzermit den Funktionen zum Schreibeneines Posts dies über das Frontendtun können.

Hier sehen Sieein Beispiel undeinen Code Informationen zum Erstelleneiner Frontend-Post-Seite. Einreichung von Front-End-Posts

Hier können Sie auchnacheinigen netten Plugins suchen dasgleichemit mehr Funktionalität.

No it's not possible to rename the wp-admin folder with any short of code or htaccess hack,

In the past i done the same for a client by performing a complete folder search via Coda (the editor i use) for the tag "wp-admin, wp-content...etc" and i remove the "wp-" from the files.

After that you will be able to install it but:
You have to do the same with the plugins you want to install, You have to update the core manually by clearing the "wp-" tag from the new versions.

In all the ways i don't suggest you to do something like this, leave it as is and try to implement a User Login/Register/Profile page to give your users/clients a better experience.

Cristian from Cozmolabs have write a very good tutorial. You can edit the code a bit and make it run in any WordPress theme.

You can also add a Post form from the frontend so the Admin and Users with the Capabilities to write a post can do it from the frontend.

Here you can see an example and code on how to create a Frontend Post page. Front-End Post Submission

Also you can take a look for some nice plugins here that do the same with more functionality.

Quelle

Philip

0

2019-04-27

WAS IST MIT WP-ADMIN AUS EINEM IFRAME?

Erstellen Sieeine neue Seiteim wp-Dashboardmit dem Namen "Admin". Beispiel: Ihre Domäne/admin/

Mit der header.php page.php und/oder footer.php können Sieeine case-Anweisung abgeben,um die Elementein der Vorlage zu deaktivierennichtbenötigt,mit:

<?php if(!is_page('admin')): //if not the admin page. //wrap code not needed or wanted. else: ?> <style type="text/css"> .responsive-iframe { position: relative; padding-bottom: 56.25%; /*16:9*/ height: 0; overflow: hidden; iframe { position: absolute; top:0; left: 0; width: 100%; //or 100vw height: 100%; //or 100vh } } </style> <div class="responsive-iframe"> <iframe seamless="seamless" scrolling="yes" src="http://yourdomain/wp-admin/" frameborder="0" allowfullscreen></iframe> </div> <?php endif;

Dasistnicht schön,aber zumindestbis zueinem gewissen Grad können Sie wp-admin vor der URL verstecken. Eine andere Möglichkeitbesteht darin,möglicherweise die Domänenweiterleitungmit aktivierter Masken-URL zu verwenden.

WHAT ABOUT WORKING WP-ADMIN FROM AN IFRAME?

Make a new page in wp dashboard called "Admin". e.g: yourdomain/admin/

You can make a case statement with the header.php page.php and/or footer.php to disable things on the template not needed, using:

<?php if(!is_page('admin')): //if not the admin page. //wrap code not needed or wanted. else: ?> <style type="text/css"> .responsive-iframe { position: relative; padding-bottom: 56.25%; /*16:9*/ height: 0; overflow: hidden; iframe { position: absolute; top:0; left: 0; width: 100%; //or 100vw height: 100%; //or 100vh } } </style> <div class="responsive-iframe"> <iframe seamless="seamless" scrolling="yes" src="http://yourdomain/wp-admin/" frameborder="0" allowfullscreen></iframe> </div> <?php endif;

This is not pretty, but atleast to some extent you can hide wp-admin from url. Another way is to possibly use domain-forwarding with mask url enabled.

Quelle

samjco