Jeśli używasz WordPressa jako platformy za swoim blogiem lub stroną internetową, prawdopodobnie wiesz, że było wiele luk w zabezpieczeniach, nie tylko w samym oprogramowaniu, ale także w wtyczkach. W świetle tych problemów przyjrzymy się, jak zapobiegać próbom hakowania, blokując folder administracyjny.
Serwer WWW Apache ma wbudowany mechanizm, który umożliwia przypisanie wymaganego hasła do folderu, który jest oddzielony od hasła WordPress.
Szybkie wskazówki bezpieczeństwa na blogu
Bezpieczeństwo jest na tyle ważne, że uważam, że konieczne jest dodanie kilku dodatkowych wskazówek. Nie jest to pełna lista, ale mimo to należy się do nich zaglądać.
Ręczne przypisywanie hasła do katalogu wp-admin
Utwórz plik o nazwie .htaccess w katalogu wp-admin i dodaj następującą zawartość:
AuthName "Obszar zastrzeżony"
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
wymagać prawidłowego użytkownika
Będziesz musiał dostosować linię AuthUserFile, aby użyć pełnej ścieżki do pliku .htpasswd, który utworzymy w następnym kroku. Pełną ścieżkę można znaleźć za pomocą pwd polecenie od zachęty powłoki.
Następnie musisz użyć narzędzia wiersza poleceń htpasswd, aby utworzyć plik haseł. Radziłbym także, abyś używał innego konta użytkownika i hasła, niż używasz do instalacji WordPress.
$ htpasswd -c .htpasswd myusername
Nowe hasło:
Wpisz ponownie nowe hasło:
Dodawanie hasła dla użytkownika myusername
Musisz upewnić się, że jesteś w katalogu określonym przez AuthUserFile i zmienić "myusername" na coś unikatowego dla twojej witryny. Spowoduje to utworzenie pliku o treści podobnej do następującej:
myusername: aJztXHCknKJ3.
W tym momencie powinieneś zostać poproszony o podanie hasła po przejściu do panelu administracyjnego WordPress. Zauważysz, że "Ograniczony obszar" to tekst z pliku .htaccess, który można zmienić na cokolwiek innego.
Jeśli pojawi się błąd serwera, powinieneś prawdopodobnie usunąć plik .htaccess i zacząć od nowa.
Na koniec powinieneś upewnić się, że usuniesz uprawnienia zapisu do obu plików za pomocą polecenia chmod jako jeszcze jedna warstwa zabezpieczeń.
chmod 444 .htaccess
chmod 444 .htpasswd
.htaccess Password Generator plików
Jest wspaniałe narzędzie z Dynamicdrive, które zrobi całą ciężką pracę tworzenia pliku dla ciebie. Jest to szczególnie przydatne, jeśli nie masz dostępu do powłoki na serwerze, ponieważ możesz po prostu przesłać pliki za pośrednictwem klienta FTP / SFTP.
http://tools.dynamicdrive.com/password/
Powinieneś upewnić się, że usunąłeś prawo zapisu po przesłaniu plików.