Головна » як » Захист панелі адміністратора WordPress від хакерів з .htaccess

    Захист панелі адміністратора WordPress від хакерів з .htaccess

    Якщо ви використовуєте WordPress як платформу за вашим блогом або веб-сайтом, ви, напевно, знаєте, що було багато дірок безпеки, не тільки в самому програмному забезпеченні, а й у додатках. У світлі цих проблем ми розглянемо, як запобігти спробам злому, заблокувавши папку адміністратора.

    Веб-сервер Apache має вбудований механізм, який дозволяє призначати потрібний пароль для папки, яка є окремою від пароля WordPress..

    Швидкі поради щодо безпеки блогу

    Безпека є достатньо важливою, щоб я вважав за необхідне включити тут додаткові поради. Це аж ніяк не повний список, але ви все одно повинні дивитися в них.

    • Переконайтеся, що ви використовуєте останню версію WordPress і всі ваші плагіни.
    • Ви повинні розглянути підписку на блог BlogSecurity.net, блог, який намагається охопити новини безпеки про платформи для блогів.
    • Переконайтеся, що права доступу до файлів встановлені правильно відповідно до вказівок WordPress.
    • Переконайтеся, що ви використовуєте жорсткі паролі для всіх облікових записів.
    • Переконайтеся, що ви створюєте резервні копії всієї інсталяції WordPress і бази даних.
    • Заблокуйте папку адміністрації за допомогою правил .htaccess (наведених тут)

    Призначення пароля до wp-admin Directory вручну

    Створіть файл з назвою .htaccess у вашому каталозі wp-admin і додайте наступний вміст:

    Назва авторизації "Обмежена зона"
    AuthType Basic
    AuthUserFile /var/full/web/path/.htpasswd
    AuthGroupFile / dev / null
    вимагають користувача

    Необхідно налаштувати рядок AuthUserFile, щоб використовувати повний шлях до файлу .htpasswd, який буде створено на наступному кроці. Повний шлях можна знайти за допомогою pwd з командного рядка.

    Далі потрібно створити файл паролів за допомогою утиліти командного рядка htpasswd. Я також радив би використовувати інший обліковий запис і пароль, ніж ви використовуєте для установки WordPress.

    $ htpasswd -c .htpasswd myusername
    Новий пароль:
    Введіть новий пароль:
    Додавання пароля для користувача myusername

    Ви хочете переконатися, що ви знаходитесь в каталозі, вказаному в AuthUserFile, і змініть "myusername" на щось унікальне для вашого сайту. Це створить файл із вмістом, подібним до наступного:

    ім'я користувача: aJztXHCknKJ3.

    На цьому етапі вам буде запропоновано ввести пароль, коли ви переходите до панелі адміністрування WordPress. Ви помітите, що “Restricted Area” - це текст з файлу .htaccess, який можна змінити на що-небудь інше.

    Якщо замість цього ви отримаєте помилку сервера, можливо, видалити файл .htaccess і почати все спочатку.

    Нарешті, ви повинні переконатися, що ви видаляєте права на запис в обидва файли за допомогою команди chmod як ще один рівень безпеки.

    chmod 444 .htaccess

    chmod 444 .htpasswd

    .htaccess Генератор файлів паролів

    Там є відмінний інструмент від Dynamicdrive, який буде робити всю важку роботу зі створення файлу для вас. Це особливо корисно, якщо ви не маєте доступу до сервера, тому що ви можете просто завантажити файли через ваш FTP / SFTP клієнт.

    http://tools.dynamicdrive.com/password/

    Ви повинні переконатися, що ви видаляєте доступ до запису після завантаження файлів.