Zaštita vaše WordPress Admin ploče od hakera s .htaccess

Ako koristite WordPress kao platformu iza vašeg bloga ili web stranice, vjerojatno znate da je bilo puno sigurnosnih rupa, ne samo u samom softveru, već iu dodatcima. U svjetlu tih problema pogledat ćemo kako spriječiti hakiranje pokušavajući zaključavanje mape administratora.

Apache web poslužitelj ima ugrađeni mehanizam koji vam omogućuje dodjeljivanje tražene lozinke za mapu, koja je odvojena od WordPress zaporke.

Brzi savjeti za sigurnost blogova

Sigurnost je dovoljno važna da smatram potrebnim ovdje uključiti dodatne savjete. Ovo nikako nije potpuni popis, ali svakako biste trebali pogledati u njih.

• Provjerite koristite li najnoviju verziju programa WordPress i sve svoje dodatke.
• Trebali biste razmotriti pretplatu na BlogSecurity.net, blog koji pokušava pokriti sigurnosne vijesti o platformama za blogove.
• Provjerite jesu li vaše dozvole za datoteke ispravno postavljene prema smjernicama za WordPress.
• Svakako koristite teške zaporke za sve račune.
• Pobrinite se za izradu sigurnosne kopije cijele vaše instalacije i baze programa WordPress.
• Zaključajte administratorsku mapu s .htaccess pravilima (ovdje pokrivene)

Dodjeljivanje lozinke za wp-admin direktorij ručno

Stvorite datoteku koja se zove .htaccess u vašem direktoriju wp-admin i dodajte sljedeće sadržaje:

AuthName "Ograničeno područje"
AuthType osnovni
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
zahtijevaju valjanog korisnika

Morat ćete prilagoditi liniju AuthUserFile da biste upotrijebili cijeli put do .htpasswd datoteke koju ćemo stvoriti u sljedećem koraku. Cijeli put možete pronaći pomoću pwd naredba iz prompta za ljude.

Zatim ćete morati koristiti uslužni program naredbenog retka htpasswd da biste stvorili datoteku lozinke. Također bih savjetovao da koristite drugi korisnički račun i lozinku nego što koristite za instalaciju programa WordPress.

$ htpasswd -c .htpasswd moje korisničko ime
Nova lozinka:
Ponovo upišite novu zaporku:
Dodavanje lozinke za moje korisničko ime korisnika

Želite provjeriti jeste li u direktoriju navedenom od strane autora AuthUserFile i promijenili "moje korisničko ime" na nešto jedinstveno za vašu web-lokaciju. Time će se stvoriti datoteka sa sadržajima sličnim sljedećim:

myusername: aJztXHCknKJ3.

U ovom trenutku trebali biste zatražiti zaporku prilikom prelaska na WordPress upravnu ploču. Primijetit ćete da je "Ograničeno područje" tekst iz .htaccess datoteke, koji se može promijeniti u bilo što drugo.

Ako umjesto toga dobijete pogrešku poslužitelja, vjerojatno biste trebali ukloniti .htaccess datoteku i početi ispočetka.

Na kraju, trebali biste provjeriti uklanjanje dopuštenja za pisanje na obje datoteke s naredbom chmod kao još jedan sloj sigurnosti.

chmod 444 .htaccess

chmod 444 .htpasswd

.htaccess Lozinka Generator datoteka

Izvrstan je alat za Dynamicdrive koji će učiniti sve teže stvaranje datoteke za vas. To je naročito korisno ako nemate pristup ljusci na svoj poslužitelj jer možete jednostavno prenijeti datoteke putem FTP / SFTP klijenta.

http://tools.dynamicdrive.com/password/

I dalje biste trebali paziti da uklonite pristup za pisanje nakon što se datoteke prenesu.