If-Koubou

Ochrona twojego panelu administracyjnego WordPress przed hakerami. Htaccess

Ochrona twojego panelu administracyjnego WordPress przed hakerami. Htaccess (Jak)

Jeśli używasz WordPressa jako platformy za swoim blogiem lub stroną internetową, prawdopodobnie wiesz, że było wiele luk w zabezpieczeniach, nie tylko w samym oprogramowaniu, ale także w wtyczkach. W świetle tych problemów przyjrzymy się, jak zapobiegać próbom hakowania, blokując folder administracyjny.

Serwer WWW Apache ma wbudowany mechanizm, który umożliwia przypisanie wymaganego hasła do folderu, który jest oddzielony od hasła WordPress.

Szybkie wskazówki bezpieczeństwa na blogu

Bezpieczeństwo jest na tyle ważne, że uważam, że konieczne jest dodanie kilku dodatkowych wskazówek. Nie jest to pełna lista, ale mimo to należy się do nich zaglądać.

  • Upewnij się, że korzystasz z najnowszej wersji WordPress i wszystkich wtyczek.
  • Powinieneś rozważyć subskrybowanie BlogSecurity.net, blogu, który stara się objąć nowości bezpieczeństwa na temat platform blogowych.
  • Upewnij się, że uprawnienia do plików są ustawione poprawnie zgodnie z wytycznymi WordPress.
  • Upewnij się, że używasz trudnych haseł do wszystkich kont.
  • Upewnij się, że tworzysz kopię zapasową całej instalacji i bazy danych WordPress.
  • Zablokuj swój folder administracyjny za pomocą reguł .htaccess (omówionych tutaj)

Ręczne przypisywanie hasła do katalogu wp-admin

Utwórz plik o nazwie .htaccess w katalogu wp-admin i dodaj następującą zawartość:

AuthName "Obszar zastrzeżony"
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
wymagać prawidłowego użytkownika

Będziesz musiał dostosować linię AuthUserFile, aby użyć pełnej ścieżki do pliku .htpasswd, który utworzymy w następnym kroku. Pełną ścieżkę można znaleźć za pomocą pwd polecenie od zachęty powłoki.

Następnie musisz użyć narzędzia wiersza poleceń htpasswd, aby utworzyć plik haseł. Radziłbym także, abyś używał innego konta użytkownika i hasła, niż używasz do instalacji WordPress.

$ htpasswd -c .htpasswd myusername
Nowe hasło:
Wpisz ponownie nowe hasło:
Dodawanie hasła dla użytkownika myusername

Musisz upewnić się, że jesteś w katalogu określonym przez AuthUserFile i zmienić "myusername" na coś unikatowego dla twojej witryny. Spowoduje to utworzenie pliku o treści podobnej do następującej:

myusername: aJztXHCknKJ3.

W tym momencie powinieneś zostać poproszony o podanie hasła po przejściu do panelu administracyjnego WordPress. Zauważysz, że "Ograniczony obszar" to tekst z pliku .htaccess, który można zmienić na cokolwiek innego.

Jeśli pojawi się błąd serwera, powinieneś prawdopodobnie usunąć plik .htaccess i zacząć od nowa.

Na koniec powinieneś upewnić się, że usuniesz uprawnienia zapisu do obu plików za pomocą polecenia chmod jako jeszcze jedna warstwa zabezpieczeń.

chmod 444 .htaccess

chmod 444 .htpasswd

.htaccess Password Generator plików

Jest wspaniałe narzędzie z Dynamicdrive, które zrobi całą ciężką pracę tworzenia pliku dla ciebie. Jest to szczególnie przydatne, jeśli nie masz dostępu do powłoki na serwerze, ponieważ możesz po prostu przesłać pliki za pośrednictwem klienta FTP / SFTP.

http://tools.dynamicdrive.com/password/

Powinieneś upewnić się, że usunąłeś prawo zapisu po przesłaniu plików.