Domovská » jak » Ochrana vašeho panelu WordPress Admin od hackerů s .htaccess

    Ochrana vašeho panelu WordPress Admin od hackerů s .htaccess

    Používáte-li aplikaci WordPress jako platformu za vaším blogem nebo webovými stránkami, pravděpodobně víte, že existuje mnoho bezpečnostních děr, a to nejen v samotném softwaru, ale také v pluginech. Vzhledem k těmto problémům se budeme zabývat tím, jak zabránit pokusům o hacking zablokováním složky správy.

    Apache webový server má vestavěný mechanismus, který umožňuje přiřadit požadované heslo pro složku, která je oddělena od hesla aplikace WordPress.

    Rychlé tipy pro zabezpečení blogu

    Bezpečnost je dostatečně důležitá, že jsem se domníval, že je potřeba zařadit další tipy. To v žádném případě není úplný seznam, ale měli byste se na ně stejně podívat.

    • Ujistěte se, že používáte nejnovější verzi aplikace WordPress a všechny vaše pluginy.
    • Měli byste se přihlásit k odběru blogu BlogSecurity.net, který se snaží pokrýt bezpečnostní zprávy o platformách pro blogování.
    • Ujistěte se, že vaše oprávnění k souboru jsou správně nastavena podle pokynů WordPress.
    • Ujistěte se, že používáte náročná hesla pro všechny účty.
    • Ujistěte se, že zálohujete celou instalaci a databázi WordPress.
    • Zamkněte správní složku pravidly .htaccess (pokryté zde)

    Ruční přiřazení adresáře wp-admin ručně

    Vytvořte soubor s názvem .htaccess v adresáři wp-admin a přidejte následující obsah:

    AuthName "Omezená oblast"
    AuthType Basic
    AuthUserFile /var/full/web/path/.htpasswd
    AuthGroupFile / dev / null
    požadovat platný uživatel

    Budete muset upravit řádek AuthUserFile tak, že použijete úplnou cestu k souboru .htpasswd, který vytvoříme v dalším kroku. Celou cestu můžete najít pomocí příkazu pwd příkaz z příkazového řádku.

    Dále budete muset použít nástroj příkazového řádku htpasswd k vytvoření souboru s hesly. Doporučuji také, abyste použili jiný uživatelský účet a heslo, než používáte pro instalaci aplikace WordPress.

    $ htpasswd -c .htpasswd myusername
    Nové heslo:
    Znovu zadejte nové heslo:
    Přidání hesla pro uživatelské jméno uživatele

    Budete se chtít ujistit, že jste v adresáři zadaném AuthUserFile a změnit "myusername" na něco jedinečného pro vaše stránky. Tím vytvoříte soubor s obsahem podobným následujícím:

    myusername: aJztXHCknKJ3.

    V tomto okamžiku byste měli být vyzváni k zadání hesla, když přejdete na správní panel aplikace WordPress. Všimnete si, že "Restricted Area" je text z souboru .htaccess, který lze změnit na cokoli jiného.

    Pokud se místo toho dostane chyba serveru, pravděpodobně byste měli odebrat soubor .htaccess a začít znovu.

    Nakonec byste se měli ujistit, že odstraníte oprávnění k zápisu do obou souborů pomocí příkazu chmod jako další vrstvu zabezpečení.

    chmod 444 .htaccess

    chmod 444 .htpasswd

    .htaccess generátor hesel

    Existuje skvělý nástroj od společnosti Dynamicdrive, který bude dělat všechnu tvrdou práci při vytváření souboru pro vás. To je obzvláště užitečné, pokud nemáte přístup ke shellu na server, protože stačí nahrát soubory přes FTP / SFTP klienta.

    http://tools.dynamicdrive.com/password/

    Měli byste se stále ujistit, že po odevzdání souborů odstraníte přístup k zápisu.