Начална » как да » Защита на вашия WordPress админ панел от хакери с .htaccess

    Защита на вашия WordPress админ панел от хакери с .htaccess

    Ако използвате WordPress като платформа зад вашия блог или уебсайт, вероятно знаете, че има много дупки в сигурността, не само в самия софтуер, но и в плъгините. В светлината на тези проблеми ще разгледаме как да предотвратим опитите за хакерство, като блокираме папката за администриране.

    Уеб сървърът на Apache има вграден механизъм, който ви позволява да зададете необходимата парола за папка, която е отделна от вашата парола за WordPress..

    Бързи съвети за сигурност на блога

    Сигурността е достатъчно важна, за да почувствам, че е необходимо да включа тук някои допълнителни съвети. Това по никакъв начин не е пълен списък, но все пак трябва да ги разгледате.

    • Уверете се, че използвате най-новата версия на WordPress и всички ваши плъгини.
    • Трябва да се запишете в BlogSecurity.net, блог, който се опитва да покрие новини за сигурността на платформите за блогове.
    • Уверете се, че вашите разрешения за файлове са зададени правилно според указанията на WordPress.
    • Уверете се, че използвате твърди пароли за всички профили.
    • Уверете се, че архивирате цялата инсталация и базата данни на WordPress.
    • Заключете административната папка с .htaccess правила (описани тук)

    Присвояване на парола към wp-admin Directory Ръчно

    Създайте файл с име .htaccess във вашия wp-admin директория и добавете следното съдържание:

    AuthName „Ограничена зона“
    AuthType Basic
    AuthUserFile /var/full/web/path/.htpasswd
    AuthGroupFile / dev / null
    изискват валиден потребител

    Трябва да коригирате реда AuthUserFile, за да използвате пълния път до .htpasswd файла, който ще създадем в следващата стъпка. Можете да намерите пълния път, като използвате хората с увреждания от командния ред.

    След това трябва да използвате помощната програма за командния ред htpasswd, за да създадете файла с паролите. Също така бих препоръчал да използвате различен потребителски акаунт и парола, отколкото използвате за инсталацията на WordPress.

    $ htpasswd -c .htpasswd myusername
    Нова парола:
    Въведете повторно новата парола:
    Добавяне на парола за потребителското име на потребителя

    Трябва да се уверите, че се намирате в указаната от AuthUserFile директория и да промените „myusername“ на нещо уникално за вашия сайт. Това ще създаде файл със съдържание, подобно на следното:

    myusername: aJztXHCknKJ3.

    На този етап трябва да бъдете подканени да въведете парола, когато се придвижите до панела за администриране на WordPress. Ще забележите, че “Restricted Area” е текстът от .htaccess файла, който може да бъде променен на нещо друго.

    Ако вместо това получите грешка в сървъра, вероятно ще трябва да премахнете .htaccess файла и да започнете отначало.

    И накрая, трябва да се уверите, че премахвате разрешенията за писане към двата файла с командата chmod като още един слой на сигурност.

    chmod 444 .htaccess

    chmod 444

    .htaccess генератор на файлове с пароли

    Има чудесен инструмент от Dynamicdrive, който ще направи цялата тежка работа по създаването на файла за вас. Това е особено полезно, ако нямате достъп до вашия сървър, защото можете просто да качите файловете чрез вашия FTP / SFTP клиент.

    http://tools.dynamicdrive.com/password/

    Все пак трябва да се уверите, че сте премахнали достъп за запис след качването на файловете.