Защита панели администратора WordPress от хакеров с помощью .htaccess
Если вы используете WordPress в качестве платформы для своего блога или веб-сайта, вы, вероятно, знаете, что было много дыр в безопасности, не только в самом программном обеспечении, но и в плагинах. В свете этих проблем мы рассмотрим, как предотвратить попытки взлома путем блокировки папки администратора..
Веб-сервер Apache имеет встроенный механизм, который позволяет назначать необходимый пароль для папки, которая отделена от вашего пароля WordPress..
Быстрые Подсказки Безопасности Блога
Безопасность настолько важна, что я счел необходимым добавить сюда несколько дополнительных советов. Это ни в коем случае не полный список, но вы все равно должны изучить их.
- Убедитесь, что вы используете последнюю версию WordPress и все ваши плагины.
- Вы должны рассмотреть возможность подписки на BlogSecurity.net, блог, который пытается освещать новости безопасности о платформах блогов.
- Убедитесь, что ваши права доступа к файлам установлены правильно в соответствии с рекомендациями WordPress.
- Убедитесь, что вы используете надежные пароли для всех учетных записей.
- Убедитесь, что вы создаете резервную копию всей установки WordPress и базы данных..
- Заблокируйте вашу административную папку с помощью правил .htaccess (здесь описано)
Назначение пароля для каталога wp-admin вручную
Создайте файл с именем .htaccess в каталоге wp-admin и добавьте следующее содержимое:
AuthName «Запретная зона»
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
Требуется действительный пользователь
Вам нужно настроить строку AuthUserFile, чтобы использовать полный путь к файлу .htpasswd, который мы создадим на следующем шаге. Вы можете найти полный путь, используя PWD команда из командной строки.
Далее вам нужно использовать утилиту командной строки htpasswd для создания файла паролей. Я бы также посоветовал вам использовать другую учетную запись пользователя и пароль, чем вы используете для установки WordPress..
$ htpasswd -c .htpasswd myusername
Новый пароль:
Введите повторно новый пароль:
Добавление пароля для пользователя myusername
Вам нужно убедиться, что вы находитесь в каталоге, указанном AuthUserFile, и изменить «myusername» на что-то уникальное для вашего сайта. Это создаст файл с содержимым, похожим на следующее:
MyUserName: aJztXHCknKJ3.
На этом этапе вам будет предложено ввести пароль при переходе на панель администрирования WordPress. Вы заметите, что «Restricted Area» - это текст из файла .htaccess, который можно изменить на что угодно.
Если вместо этого вы получите ошибку сервера, вам, вероятно, следует удалить файл .htaccess и начать заново..
Наконец, вы должны убедиться, что вы удалили разрешения на запись для обоих файлов с помощью команды chmod как еще одного уровня безопасности..
chmod 444 .htaccess
chmod 444 .htpasswd
.Генератор файлов паролей htaccess
Существует отличный инструмент от Dynamicdrive, который сделает всю тяжелую работу по созданию файла для вас. Это особенно полезно, если у вас нет доступа к серверу в оболочке, потому что вы можете просто загрузить файлы через FTP / SFTP-клиент.
http://tools.dynamicdrive.com/password/
Вы все равно должны убедиться, что вы удалили доступ на запись после загрузки файлов.