WordPress-блог

Терпенье и труд...

Простая и надёжная защита WordPress файлами .htaccess и .htpasswd

Защита WordPress становится актуальной задачей, когда осознаёшь, что это самый популярный конструктор сайтов в мире, и что каждый из созданных на нём проектов ежесуточно подвергается попытке взлома.

В этой статье я поделюсь с вами очень практичным, простым и надёжным методом организации защиты сайта с помощью файлов .htaccess и .htpasswd.

[stextbox id=»info»]Защита WordPress файлами .htaccess и .htpasswd заключается в том, чтобы создать дополнительную авторизацию на папку сайта wp-admin, через которую осуществляется вход в консоль. При установке такого барьера, при попытке входа в консоль появляется дополнительное окно для https-авторизации, а после успешного ввода логина и пароля, можно авторизоваться в консоли обычным способом. То есть, это двухфакторная авторизация.[/stextbox]

Как известно, самый распространённый метод взлома сайта – это автоматический подбор логина и паролей, так называемый брут. Так вот, если защита WordPress реализована с помощью двухфакторной https-авторизации, то автоматический подбор паролей становится невозможным. Более того, невозможным становится и повышение нагрузки на сервер, которая происходит при попытке брута.

Надёжная защита WordPress файлами .htaccess и .htpasswd
[stextbox id=»black»] Это вам тоже может быть интересно:

  • Как использовать .htaccess в WordPress и что это такое;
  • Плагин защиты WordPress — Limit Login Attempts.[/stextbox]

    Защита WordPress двухфакторной https-авторизацией

    Сейчас я буду рассказывать и показывать разные сложные вещи из области серверного программирования. Кто не понимает вообще, о чём речь, не вникайте, а просто сделайте всё по моей инструкции. У вас всё получится, если вы будете выполнять каждый пункт внимательно.

    Первым делом создайте файл .htpasswd. Это файл, в котором хранится логин и пароль для https-авторизации на сайте. Они там записаны в секретном виде, никто их не сможет прочитать. Чтобы зашифровать данные, нужно перейти в этот генератор.

    В нём, в поле «Username» введите желаемый логин, а в поле «Password» — пароль. Запишите эти данные у себя в надёжном месте. Нажмите кнопку «Create .htpasswd file».

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    На следующей странице вы увидите содержимое для .htpasswd файла. Выделите его и скопируйте.

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Откройте на вашем компьютере программу блокнот и вставьте туда скопированный зашифрованный логин и пароль.

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Закройте этот файл и сохраните. Дайте ему имя .htpasswd, а в списке «Тип файла» выберите «Все файлы».

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Полученный файл загрузите на сайт прямо в папку wp-admin (для этого нужно воспользоваться файловым менеджером).

    Защита WordPress наполовину создана. Идём дальше. Теперь необходимо создать файл .htaccess. Откройте программу блокнот на вашем компьютере и вставьте в него следующее содержимое:

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    В строке AuthUserFile необходимо указать абсолютный путь к файлу .htpasswd, который вы только что загрузили на сайт. Отложите пока открытый блокнот, но не закрывайте его, сверните.

    Откройте ещё один блокнот и вставьте в него следующий микросприт:

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Сохраните файл, дайте ему любое имя, например 1 и загрузите его в корневую папку вашего сайта. Уже на хостинге или заранее на компьютере измените расширение этого файла, чтобы было не .txt, а .php.

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Файл загружен и теперь в браузере введите адрес такого типа: https://example.ru/1.php (example.ru – ваш домен, а 1.php имя файла, куда вставили микроскрипт). Вы должны увидеть что-то типа этого. Здесь нас интересует первая строка (в целях безопасности я стёр её часть).

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Скопируйте первую строку, вернитесь к отложенному файлу .htaccess, который мы начали создавать и свернули, и в строку AuthUserFile вставьте то, что скопировали из первой строки микроскприта. Затем, после последнего символа запишите следующий фрагмент: /wp-admin/.htpasswd

    [stextbox id=’info’]С помощью ретвитов в Twitter и репостов ВКонтакте можно ускорить индексацию любой страницы сайта. Также на сайте Ави1 доступны другие соцсигналы в социальных сетях, такие как: лайки, комментарии, фолловеры и голоса.[/stextbox]
    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Закройте блокнот и дайте ему имя .htaccess, а в списке «Тип файла» выберите «Все файлы».

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Прежде чем продолжать, удалите из корневой папки файл с микроскриптом 1.php, чтобы он не стал лёгким путём для взлома.

    Сохранённый файл .htaccess загрузите в ту же папку wp-admin, в которую загружали файл .htpasswd.

    Теперь попробуйте авторизоваться на своём сайте по адресу типа https://example.ru/wp-admin Защита WordPress уже работает. Нужно ввести имя пользователя и пароль, которые вы задали в начале для https-авторизации, и нажать «Ок».

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    После этого вас перебросит на стандартную страницу авторизации WordPress, где вы можете войти в консоль обычным способом.

    Надёжная защита WordPress файлами .htaccess и .htpasswd

    Казалось бы, всё – защита WordPress установлена и работает. Однако нет. Попробуйте перейти на ваш сайт по адресу типа https://example.ru/wp-login.php Вы увидите такую же страницу авторизации в консоли, только без дополнительной https-авторизации. То есть, эта брешь осталась не защищённой.

    Чтобы это исправить откройте файл .htaccess в корневой папке вашего сайта и дополните его этим:

    В строке AuthUserFile необходимо указать абсолютный пусть к файлу .htpasswd. Его мы уже знаем. А теперь перейдите на свой сайт по адресу https://example.ru/wp-login.php и вы увидите такой же запрос дополнительной https-авторизации.

    Всё. Теперь защита WordPress точно установлена и никто не проберётся к вашей консоли.

    УжасноПлохоНормальноХорошоОтлично (6 оценок, среднее: 5,00 из 5)
  1. Евгений

    Спасибо за статью. Особенно за рекомендацию закрыть не только админку, но и страницу входа wp-login.php.

     Но вот всё же не могу удержаться от комментария, что определять путь файла скриптом — это как-то меня шокировало. Блондинко испугается и запутается, а для любого хоть чуть-чуть знающего человека это проще пареной репы в панели, в ftp, в sftp и т.д.. Я лично сначала вообще не въехал, что там, и чуть страницу не закрыл, опасаясь каких-то ненужных сложностей. И хорошо, что не закрыл, потому как концовка важна. Хотя про скрипт — понятно, что Вы, наверное, хотели указать некий способ, который можно применить независимо от хостера, панели и знаний читающего.

    P.S. Вот эта форма комментов (в которой я сейчас пишу), на Андроиде не позволяет корректно выделить текст, чтобы его на всякий случай скопировать. Придётся отправлять так, а если не отправится — есть риск потерять. Может, лучше сменить плагин комментов. Простите за поучения,

    1. Константин Вендин

      Приняли к сведению. Спасибо.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

WordPress-блог © 2015-2017