Główna » jak » Ochrona twojego panelu administracyjnego WordPress przed hakerami. Htaccess

    Ochrona twojego panelu administracyjnego WordPress przed hakerami. Htaccess

    Jeśli używasz WordPressa jako platformy za swoim blogiem lub witryną, prawdopodobnie wiesz, że było wiele luk w zabezpieczeniach, nie tylko w samym oprogramowaniu, ale także w wtyczkach. W świetle tych problemów przyjrzymy się, jak zapobiegać próbom hakerskim, blokując folder administracyjny.

    Serwer WWW Apache ma wbudowany mechanizm umożliwiający przypisanie wymaganego hasła do folderu, który jest oddzielony od hasła WordPress.

    Szybkie wskazówki bezpieczeństwa na blogu

    Bezpieczeństwo jest na tyle ważne, że uważam, że konieczne jest dołączenie dodatkowych wskazówek. Nie jest to pełna lista, ale mimo to należy się do nich zaglądać.

    • Upewnij się, że korzystasz z najnowszej wersji WordPressa i wszystkich wtyczek.
    • Powinieneś rozważyć subskrybowanie BlogSecurity.net, blogu, który stara się objąć wiadomościami o bezpieczeństwie na temat platform blogowych.
    • Upewnij się, że uprawnienia do plików są ustawione poprawnie zgodnie z wytycznymi WordPress.
    • Upewnij się, że używasz trudnych haseł do wszystkich kont.
    • Upewnij się, że tworzysz kopię zapasową całej instalacji i bazy danych WordPress.
    • Zablokuj swój folder administracyjny za pomocą reguł .htaccess (omówionych tutaj)

    Ręczne przypisywanie hasła do katalogu wp-admin

    Utwórz plik o nazwie .htaccess w katalogu wp-admin i dodaj następującą zawartość:

    AuthName "Obszar zastrzeżony"
    AuthType Basic
    AuthUserFile /var/full/web/path/.htpasswd
    AuthGroupFile / dev / null
    wymagać prawidłowego użytkownika

    Będziesz musiał dostosować linię AuthUserFile, aby użyć pełnej ścieżki do pliku .htpasswd, który utworzymy w następnym kroku. Pełną ścieżkę można znaleźć za pomocą pwd polecenie od znaku zachęty powłoki.

    Następnie musisz użyć narzędzia wiersza poleceń htpasswd, aby utworzyć plik haseł. Radziłbym również, abyś używał innego konta użytkownika i hasła, niż używasz do instalacji WordPress.

    $ htpasswd -c .htpasswd myusername
    Nowe hasło:
    Wpisz ponownie nowe hasło:
    Dodawanie hasła dla użytkownika myusername

    Musisz upewnić się, że jesteś w katalogu określonym przez AuthUserFile i zmienić "myusername" na coś unikatowego dla twojej witryny. Spowoduje to utworzenie pliku o treści podobnej do następującej:

    myusername: aJztXHCknKJ3.

    W tym momencie powinieneś zostać poproszony o podanie hasła po przejściu do panelu administracyjnego WordPress. Zauważysz, że "Ograniczony obszar" to tekst z pliku .htaccess, który można zmienić na cokolwiek innego.

    Jeśli pojawi się błąd serwera, powinieneś prawdopodobnie usunąć plik .htaccess i zacząć od nowa.

    Na koniec powinieneś upewnić się, że usuniesz uprawnienia zapisu do obu plików za pomocą polecenia chmod jako jeszcze jedna warstwa zabezpieczeń.

    chmod 444 .htaccess

    chmod 444 .htpasswd

    .htaccess Password Generator plików

    Jest wspaniałe narzędzie z Dynamicdrive, które zrobi całą ciężką pracę tworzenia pliku dla ciebie. Jest to szczególnie przydatne, jeśli nie masz dostępu do powłoki na serwerze, ponieważ możesz po prostu przesłać pliki za pośrednictwem klienta FTP / SFTP.

    http://tools.dynamicdrive.com/password/

    Powinieneś upewnić się, że usuniesz dostęp do zapisu po przesłaniu plików.