Если вы используете WordPress в качестве платформы для своего блога или веб-сайта, вы, вероятно, знаете, что было много дыр в безопасности, не только в самом программном обеспечении, но и в плагинах. В свете этих проблем мы рассмотрим, как предотвратить попытки взлома, заблокировав папку администратора.
Веб-сервер Apache имеет встроенный механизм, который позволяет вам назначить необходимый пароль для папки, которая отделена от вашего пароля WordPress.
Быстрые советы по безопасности блога
Безопасность настолько важна, что я счел необходимым добавить сюда несколько дополнительных советов. Это ни в коем случае не полный список, но вы все равно должны изучить их.
- Убедитесь, что вы используете последнюю версию WordPress и все ваши плагины.
- Вы должны рассмотреть возможность подписки на BlogSecurity.net, блог, который пытается освещать новости безопасности о блог-платформах.
- Убедитесь, что ваши права доступа к файлам установлены правильно в соответствии с рекомендациями WordPress.
- Убедитесь, что вы используете жесткие пароли для всех учетных записей.
- Убедитесь, что вы создаете резервную копию всей установки WordPress и базы данных.
- Заблокируйте вашу административную папку с помощью правил .htaccess (здесь описано)
Назначение пароля для каталога wp-admin вручную
Создайте файл с именем .htaccess в каталоге wp-admin и добавьте следующее содержимое:
AuthName «Запретная зона»
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile/dev/null
требуется valid-user
Вам нужно настроить строку AuthUserFile, чтобы использовать полный путь к файлу .htpasswd, который мы создадим на следующем шаге. Вы можете найти полный путь, используя команду pwd из командной строки.
Затем вам нужно использовать утилиту командной строки htpasswd для создания файла паролей. Я бы также посоветовал вам использовать другую учетную запись пользователя и пароль, чем те, которые вы используете для установки WordPress.
$ htpasswd -c .htpasswd myusername
Новый пароль:
Повторно введите новый пароль:
Добавление пароля для пользователя myusername
Вы должны убедиться, что находитесь в каталоге, указанном AuthUserFile, и изменить «myusername» на что-то уникальное для вашего сайта. Это создаст файл с содержимым, похожим на следующее:
MyUserName: aJztXHCknKJ3.
На этом этапе вам будет предложено ввести пароль при переходе на панель администрирования WordPress. Вы заметите, что «Restricted Area» – это текст из файла .htaccess, который может быть изменен на что угодно.
Если вместо этого вы получите ошибку сервера, вам, вероятно, следует удалить файл .htaccess и начать все сначала.
Наконец, вы должны убедиться, что удалили разрешения на запись для обоих файлов с помощью команды chmod в качестве еще одного уровня безопасности.
chmod 444 .htaccess
chmod 444 .htpasswd
Генератор файлов паролей .htaccess
Существует отличный инструмент от Dynamicdrive, который сделает всю тяжелую работу по созданию файла для вас. Это особенно полезно, если у вас нет доступа к серверу в оболочке, поскольку вы можете просто загрузить файлы через клиент FTP/SFTP.
http://tools.dynamicdrive.com/password/
Вы все равно должны убедиться, что вы удалили доступ на запись после загрузки файлов.
