Защита на WordPress администрацията през .htaccess файл
Съдържание
Сигурността на всеки уебсайт е важен елемент, който в никакъв случай не бива да се пренебрегва като в същото време не бива да се преминава и отвъд тънката линия на здравия разум.
Супер защитен сайт не означава полезен или успешен сайт, търсещите машини не дават бонус за сигурност, както например за бързина и мобилност.
В тази статия ще ви покажем изключително лесен и сигурен начин за защита на достъпа до администрацията на WordPress. Защитата се състои в сравняване на IP адреса на заявката с IP адреса, въведен в .htaccess
файла - ако двата адреса съвпадат скрипта дава достъп до администрацията, ако двата IP адреса се различават - достъпа се блокира и се генерира грешка Forbidden.
Защитата може да се реализира по два начина в зависимост от това в коя директория се намира .htaccess
файла - root директорията на WordPress сайта или в директория wp-admin
.
Защита чрез .htaccess файл в root директорията
За да се достъпи администрацията на WordPress сайт се използват два URL адреса:
https://domain/wp-admin
https://domain/wp-login.php
от които се зарежда познатия формуляр за въвеждане на данни за логване:
Влезте в cPanel на вашия ICN.Bg хостинг, през файловия мениджър навигирайте до root директорията на WordPress сайта, маркирайте .htaccess
файла и кликнете линка Редактирай в хоризонталното меню.
Ако не виждате .htaccess
файла в директорията кликнете бутона Настройки в горния десен ъгъл на файловия мениджър и се уверете, че пред опцията Показване на скритите файлове (тези, които започват с точка) е поставена отметка:
Преди всички други записи във файла поставете следния код, в който трябва да замените 11.22.33.44
с вашия реален IP адрес:
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^11.22.33.44$
RewriteRule ^(.*)$ – [R=403,L]
Най-лесния начин да проверите своя IP адрес е да отворите търсеща машина и в полето за търсене да въведете my ip
. Над резултатите от търсенето почти всички търсещи машини показват IP адреса на компютъра.
Променете поне една от цифрите в кода, запазете промяната и заредете някой от URL адресите на администрацията. Сървъра блокира достъпа до админ панела и генерира грешка Forbidden:
Докато в същото време потребителската част (frontend) на сайта се зарежда коректно:
Ако имате динамичен IP адрес, който периодично се променя трябва преди да влезете в администрацията да актуализирате записа в .htaccess
.
Защита чрез .htaccess файл в директория wp-admin
Същият метод (сравняване на IP адреси) се прилага и когато .htaccess
файла е в директория wp-admin
, въпреки че кода е различен. Много вероятно е в директорията да няма създаден .htaccess
файл, затова кликнете бутона +Файл и създайте нов файл като въведете името точно по този начин - .htaccess.
Маркирайте файла, кликнете бутона Редактирай и въведете следния код:
deny from all
allow from 11.22.33.44
Отново трябва да замените IP адреса 11.22.33.44
с вашия реален IP адрес за да може да достъпите администрацията на WordPress сайта. Може да предоставите достъп от повече от един IP адрес като копирате реда allow from и добавите следващия IP адрес (по един адрес на ред):
allow from 11.22.33.55
За да деактивирате достъп от IP адрес може да изтриете реда или да поставите знак диез # в началото на реда - в cPanel редактора целия ред ще промени цвета си в зелен:
Това е една от най-ефикасните защити на администрацията на WordPress, тъй като дори и по някакъв начин хакери да са получили данните за достъп до администрацията, тези данни трябва да бъдат въведени от точно определен IP адрес, което прави мисията по хакването почти невъзможна.
Важно: в един WordPress сайт трябва да приложите само единия от описаните в статията методи на защита.