Προστατεύοντας το WordPress Admin Panel από τους χάκερ με το .htaccess
Εάν χρησιμοποιείτε το WordPress ως την πλατφόρμα πίσω από το blog ή την ιστοσελίδα σας, ίσως γνωρίζετε ότι έχουν υπάρξει πολλές τρύπες ασφαλείας, όχι μόνο στο ίδιο το λογισμικό, αλλά και στα plugins. Υπό το πρίσμα αυτών των προβλημάτων, θα εξετάσουμε πώς να αποτρέψουμε τις προσπάθειες hacking κλείνοντας τον φάκελο διαχείρισης.
Ο διακομιστής ιστού Apache διαθέτει έναν ενσωματωμένο μηχανισμό που σας επιτρέπει να ορίσετε έναν απαιτούμενο κωδικό πρόσβασης για έναν φάκελο, ο οποίος είναι ξεχωριστός από τον κωδικό πρόσβασής σας στο WordPress.
Γρήγορη Συμβουλές Ασφάλειας Blog
Η ασφάλεια είναι αρκετά σημαντική που ένιωσα απαραίτητο να συμπεριλάβω κάποιες επιπλέον συμβουλές εδώ. Αυτό δεν είναι καθόλου πλήρης κατάλογος, αλλά θα πρέπει να τα εξετάσετε ούτως ή άλλως.
- Βεβαιωθείτε ότι χρησιμοποιείτε την πιο πρόσφατη έκδοση του WordPress και όλα τα πρόσθετα.
- Θα πρέπει να εξετάσετε το ενδεχόμενο να εγγραφείτε στο BlogSecurity.net, ένα blog που προσπαθεί να καλύψει τις ειδήσεις ασφαλείας σχετικά με τις πλατφόρμες blogging.
- Βεβαιωθείτε ότι τα δικαιώματα αρχείων σας έχουν ρυθμιστεί σωστά, σύμφωνα με τις οδηγίες του WordPress.
- Βεβαιωθείτε ότι χρησιμοποιείτε σκληρούς κωδικούς πρόσβασης για όλους τους λογαριασμούς.
- Βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας ολόκληρης της εγκατάστασης του WordPress και της βάσης δεδομένων.
- Κλείστε το φάκελο διαχείρισης με τους κανόνες .htaccess (που καλύπτονται εδώ)
Αντιστοίχιση μη αυτόματου κωδικού πρόσβασης στον κατάλογο wp-admin
Δημιουργήστε ένα αρχείο με όνομα .htaccess στον κατάλογο wp-admin και προσθέστε τα ακόλουθα περιεχόμενα:
AuthName "Περιοχή Περιορισμένης Περιοχής"
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
απαιτούν έγκυρο χρήστη
Θα χρειαστεί να προσαρμόσετε τη γραμμή AuthUserFile για να χρησιμοποιήσετε την πλήρη διαδρομή στο αρχείο .htpasswd που θα δημιουργήσουμε στο επόμενο βήμα. Μπορείτε να βρείτε την πλήρη διαδρομή χρησιμοποιώντας το pwd εντολή από το prompt του κελύφους.
Στη συνέχεια, θα χρειαστεί να χρησιμοποιήσετε το βοηθητικό πρόγραμμα γραμμής εντολών htpasswd για να δημιουργήσετε το αρχείο κωδικού πρόσβασης. Θα σας συμβούλευα επίσης να χρησιμοποιήσετε διαφορετικό λογαριασμό χρήστη και κωδικό πρόσβασης από αυτόν που χρησιμοποιείτε για την εγκατάσταση του WordPress.
$ htpasswd -c .htpasswd το όνομα μου
Νέος κωδικός πρόσβασης:
Πληκτρολογήστε ξανά τον νέο κωδικό πρόσβασης:
Προσθήκη κωδικού πρόσβασης για το όνομα χρήστη του χρήστη μου
Θα θελήσετε να βεβαιωθείτε ότι βρίσκεστε στον κατάλογο που καθορίζεται από το AuthUserFile και να αλλάξετε "myusername" σε κάτι μοναδικό για τον ιστότοπό σας. Αυτό θα δημιουργήσει ένα αρχείο με περιεχόμενο παρόμοιο με το ακόλουθο:
myusername: aJztXHCknKJ3.
Σε αυτό το σημείο θα πρέπει να σας ζητηθεί κωδικός πρόσβασης όταν πλοηγηθείτε στον πίνακα διαχείρισης του WordPress. Θα παρατηρήσετε ότι το "Restricted Area" είναι το κείμενο από το αρχείο .htaccess, το οποίο θα μπορούσε να αλλάξει σε οτιδήποτε άλλο.
Αν λάβετε αντίθετα ένα σφάλμα διακομιστή, πιθανόν να καταργήσετε το αρχείο .htaccess και να ξεκινήσετε πάλι.
Τέλος, πρέπει να βεβαιωθείτε ότι καταργείτε τα δικαιώματα εγγραφής και στα δύο αρχεία με την εντολή chmod ως ένα ακόμη επίπεδο ασφάλειας.
chmod 444 .htaccess
chmod 444 .htpasswd
.htaccess Γεννήτρια αρχείων κωδικού πρόσβασης
Υπάρχει ένα εξαιρετικό εργαλείο από το Dynamicdrive που θα κάνει όλη τη σκληρή δουλειά της δημιουργίας του αρχείου για σας. Αυτό είναι ιδιαίτερα χρήσιμο αν δεν έχετε πρόσβαση στο shell σας στο διακομιστή σας, επειδή μπορείτε να ανεβάσετε τα αρχεία μέσω του προγράμματος-πελάτη FTP / SFTP.
http://tools.dynamicdrive.com/password/
Θα πρέπει ακόμα να βεβαιωθείτε ότι καταργείτε την πρόσβαση εγγραφής μόλις φορτωθούν τα αρχεία.