Защита на Вашия WordPress администраторски панел от хакери с .htaccess

Ако използвате WordPress като платформа зад вашия блог или уеб сайт, вероятно знаете, че има много дупки в сигурността, не само в самия софтуер, но и в плъгините. В светлината на тези проблеми ще разгледаме как да предотвратите опитите за хакване, като заключите административната си папка.

Уеб сървърът на Apache има вграден механизъм, който ви позволява да зададете необходимата парола за папка, която е отделна от вашата парола за WordPress.

Бързи съвети за сигурност на блога

Сигурността е достатъчно важна, че смятам, че е необходимо да включа някои допълнителни съвети тук. Това в никакъв случай не е пълен списък, но все пак трябва да ги разгледате.

• Уверете се, че използвате най-новата версия на WordPress и всичките си плъгини.
• Трябва да обмислите абонирането за BlogSecurity.net - блог, който се опитва да обхване новини за сигурността на платформите за блогове.
• Уверете се, че файловите ви разрешения са зададени правилно според указанията на WordPress.
• Уверете се, че използвате здрави пароли за всички профили.
• Уверете се, че архивирате цялата си инсталация и базата данни на WordPress.
• Заключете административната си папка с правилата за .htaccess (покрити тук)

Ръчно присвояване на парола за директорията на wp-admin

Създайте файл с име .htaccess в директорията на wp-admin и добавете следното съдържание:

AuthName "Ограничена зона"
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
изискват валиден потребител

Ще трябва да настроите реда AuthUserFile, за да използвате пълния път към файла .htpasswd, който ще създадем в следващата стъпка. Можете да намерите пълния път с помощта на хората с увреждания команда от командния ред.

След това ще трябва да използвате помощната програма htpasswd за създаване на парола. Също така бих препоръчал да използвате различен потребителски акаунт и парола, отколкото използвате за вашата WordPress инсталация.

$ htpasswd -c .htpasswd myusername
Нова парола:
Въведете повторно новата парола:
Добавяне на парола за потребителското ми име

Вие ще искате да се уверите, че сте в директорията, посочена от AuthUserFile, и да промените "myusername" на нещо уникално за вашия сайт. Това ще създаде файл със съдържание, подобно на следното:

myusername: aJztXHCknKJ3.

В този момент трябва да бъдете подканени за парола, когато навигирате до панела за управление на WordPress. Ще забележите, че "Restricted Area" е текста от файла .htaccess, който може да бъде променен на нещо друго.

Ако вместо това получите грешка в сървъра, вероятно трябва да премахнете файла .htaccess и да започнете отново.

И накрая, трябва да се уверите, че премахвате разрешенията за писане и на двата файла с командата chmod като още един слой за сигурност.

chmod 444 .htaccess

chmod 444 .htpasswd

Генератор на пароли .htaccess

Има страхотно средство от Dynamicdrive, което ще свърши цялата упорита работа по създаването на файла за вас. Това е особено полезно, ако нямате достъп до сървъра си, защото можете просто да качите файловете чрез вашия FTP / SFTP клиент.

http://tools.dynamicdrive.com/password/

Все пак трябва да сте сигурни, че премахвате достъпа за запис, след като качите файловете.