Простая и надёжная защита WordPress файлами .htaccess и .htpasswd

Защита WordPress становится актуальной задачей, когда осознаёшь, что это самый популярный конструктор сайтов в мире, и что каждый из созданных на нём проектов ежесуточно подвергается попытке взлома.

В этой статье я поделюсь с вами очень практичным, простым и надёжным методом организации защиты сайта с помощью файлов .htaccess и .htpasswd.

Защита WordPress файлами .htaccess и .htpasswd заключается в том, чтобы создать дополнительную авторизацию на папку сайта wp-admin, через которую осуществляется вход в консоль. При установке такого барьера, при попытке входа в консоль появляется дополнительное окно для https-авторизации, а после успешного ввода логина и пароля, можно авторизоваться в консоли обычным способом. То есть, это двухфакторная авторизация.

Как известно, самый распространённый метод взлома сайта – это автоматический подбор логина и паролей, так называемый брут. Так вот, если защита WordPress реализована с помощью двухфакторной https-авторизации, то автоматический подбор паролей становится невозможным. Более того, невозможным становится и повышение нагрузки на сервер, которая происходит при попытке брута.

Это вам тоже может быть интересно:

• Как использовать .htaccess в WordPress и что это такое;
• Плагин защиты WordPress — Limit Login Attempts.

Защита WordPress двухфакторной https-авторизацией

Сейчас я буду рассказывать и показывать разные сложные вещи из области серверного программирования. Кто не понимает вообще, о чём речь, не вникайте, а просто сделайте всё по моей инструкции. У вас всё получится, если вы будете выполнять каждый пункт внимательно.

Первым делом создайте файл .htpasswd. Это файл, в котором хранится логин и пароль для https-авторизации на сайте. Они там записаны в секретном виде, никто их не сможет прочитать. Чтобы зашифровать данные, нужно перейти в этот генератор.

В нём, в поле «Username» введите желаемый логин, а в поле «Password» — пароль. Запишите эти данные у себя в надёжном месте. Нажмите кнопку «Create .htpasswd file».

На следующей странице вы увидите содержимое для .htpasswd файла. Выделите его и скопируйте.

Откройте на вашем компьютере программу блокнот и вставьте туда скопированный зашифрованный логин и пароль.

Закройте этот файл и сохраните. Дайте ему имя .htpasswd, а в списке «Тип файла» выберите «Все файлы».

Полученный файл загрузите на сайт прямо в папку wp-admin (для этого нужно воспользоваться файловым менеджером).

Защита WordPress наполовину создана. Идём дальше. Теперь необходимо создать файл .htaccess. Откройте программу блокнот на вашем компьютере и вставьте в него следующее содержимое:

В строке AuthUserFile необходимо указать абсолютный путь к файлу .htpasswd, который вы только что загрузили на сайт. Отложите пока открытый блокнот, но не закрывайте его, сверните.

Откройте ещё один блокнот и вставьте в него следующий микросприт:

Сохраните файл, дайте ему любое имя, например 1 и загрузите его в корневую папку вашего сайта. Уже на хостинге или заранее на компьютере измените расширение этого файла, чтобы было не .txt, а .php.

Файл загружен и теперь в браузере введите адрес такого типа: https://example.ru/1.php (example.ru – ваш домен, а 1.php имя файла, куда вставили микроскрипт). Вы должны увидеть что-то типа этого. Здесь нас интересует первая строка (в целях безопасности я стёр её часть).

Скопируйте первую строку, вернитесь к отложенному файлу .htaccess, который мы начали создавать и свернули, и в строку AuthUserFile вставьте то, что скопировали из первой строки микроскприта. Затем, после последнего символа запишите следующий фрагмент: /wp-admin/.htpasswd

С помощью ретвитов в Twitter и репостов ВКонтакте можно ускорить индексацию любой страницы сайта. Также на сайте Ави1 доступны другие соцсигналы в социальных сетях, такие как: лайки, комментарии, фолловеры и голоса.

Закройте блокнот и дайте ему имя .htaccess, а в списке «Тип файла» выберите «Все файлы».

Прежде чем продолжать, удалите из корневой папки файл с микроскриптом 1.php, чтобы он не стал лёгким путём для взлома.

Сохранённый файл .htaccess загрузите в ту же папку wp-admin, в которую загружали файл .htpasswd.

Теперь попробуйте авторизоваться на своём сайте по адресу типа https://example.ru/wp-admin Защита WordPress уже работает. Нужно ввести имя пользователя и пароль, которые вы задали в начале для https-авторизации, и нажать «Ок».

После этого вас перебросит на стандартную страницу авторизации WordPress, где вы можете войти в консоль обычным способом.

Казалось бы, всё – защита WordPress установлена и работает. Однако нет. Попробуйте перейти на ваш сайт по адресу типа https://example.ru/wp-login.php Вы увидите такую же страницу авторизации в консоли, только без дополнительной https-авторизации. То есть, эта брешь осталась не защищённой.

Чтобы это исправить откройте файл .htaccess в корневой папке вашего сайта и дополните его этим:

В строке AuthUserFile необходимо указать абсолютный пусть к файлу .htpasswd. Его мы уже знаем. А теперь перейдите на свой сайт по адресу https://example.ru/wp-login.php и вы увидите такой же запрос дополнительной https-авторизации.

Всё. Теперь защита WordPress точно установлена и никто не проберётся к вашей консоли.

(7 оценок, среднее: 5,00 из 5)