Zaščita WordPress Admin Panel od hekerjev z .htaccess
Če uporabljate WordPress kot platformo za svoj blog ali spletno stran, verjetno veste, da je bilo veliko varnostnih lukenj, ne samo v sami programski opremi, ampak tudi v vtičnikih. Glede na te težave bomo pogledali, kako preprečiti poskuse taksistov, tako da zaklenete skrbniško mapo.
Spletni strežnik Apache ima vgrajen mehanizem, ki vam omogoča dodelitev zahtevanega gesla za mapo, ki je ločena od gesla za WordPress..
Varnostni nasveti za hiter blog
Varnost je dovolj pomembna, da sem menil, da je treba tu vključiti nekaj dodatnih nasvetov. To nikakor ni popoln seznam, vendar bi jih vseeno morali preučiti.
- Prepričajte se, da uporabljate najnovejšo različico WordPressa in vse vtičnike.
- Razmislite o naročanju na BlogSecurity.net, blog, ki poskuša zajeti varnostne novice o platformah za bloganje.
- Prepričajte se, da so dovoljenja za datoteke pravilno nastavljena v skladu s smernicami za WordPress.
- Prepričajte se, da uporabljate težka gesla za vse račune.
- Poskrbite, da boste varnostno kopirali celotno namestitev in bazo podatkov programa WordPress.
- Zaklenite skrbniško mapo s pravili .htaccess (zajeta tukaj)
Ročno dodeljevanje gesla imeniku wp-admin
V imeniku wp-admin ustvarite datoteko z imenom .htaccess in dodajte naslednjo vsebino:
Imenovanje »Omejeno območje«
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
zahtevajo veljavnega uporabnika
Če želite uporabiti celotno pot do datoteke .htpasswd, ki jo bomo ustvarili v naslednjem koraku, morate prilagoditi vrstico AuthUserFile. Celotno pot lahko najdete s pomočjo pwd iz ukazne vrstice.
Nato boste morali uporabiti pripomoček za ukazno vrstico htpasswd za ustvarjanje datoteke z gesli. Priporočam tudi, da uporabite drugačen uporabniški račun in geslo, kot ga uporabljate za namestitev v WordPressu.
$ htpasswd -c .htpasswd moje uporabniško ime
Novo geslo:
Ponovno vpiši novo geslo:
Dodajanje gesla za uporabniško uporabniško ime
Preverite, ali ste v imeniku, ki ga je podal AuthUserFile, in spremenite »myusername« v nekaj, kar je edinstveno za vaše spletno mesto. To bo ustvarilo datoteko s podobnimi vsebinami:
myusername: aJztXHCknKJ3.
Na tej točki bi vas morali pozvati, da vnesete geslo, ko se pomaknete do upravne plošče programa WordPress. Opazili boste, da je »Omejeno območje« besedilo iz .htaccess datoteke, ki se lahko spremeni v kaj drugega.
Če namesto tega pride do napake strežnika, morate verjetno odstraniti datoteko .htaccess in začeti znova.
Nazadnje morate zagotoviti, da dovoljenja za pisanje odstranite v obe datoteki s ukazom chmod kot še eno plast varnosti.
chmod 444 .htaccess
chmod 444 .htpasswd
.htaccess Generator datotek z gesli
Z orodjem Dynamicdrive je na voljo odlično orodje za ustvarjanje datoteke za vas. To je še posebej uporabno, če nimate dostopa do strežnika, saj lahko datoteke prenesete prek FTP / SFTP odjemalca.
http://tools.dynamicdrive.com/password/
Še vedno se prepričajte, da odstranite dostop za pisanje, ko so datoteke naložene.