Защита на WordPress администрацията през .htaccess файл

Сигурността на всеки уебсайт е важен елемент, който в никакъв случай не бива да се пренебрегва като в същото време не бива да се преминава и отвъд тънката линия на здравия разум.

Супер защитен сайт не означава полезен или успешен сайт, търсещите машини не дават бонус за сигурност, както например за бързина и мобилност.

В тази статия ще ви покажем изключително лесен и сигурен начин за защита на достъпа до администрацията на WordPress. Защитата се състои в сравняване на IP адреса на заявката с IP адреса, въведен в .htaccess файла - ако двата адреса съвпадат скрипта дава достъп до администрацията, ако двата IP адреса се различават - достъпа се блокира и се генерира грешка Forbidden.

Защитата може да се реализира по два начина в зависимост от това в коя директория се намира .htaccess файла - root директорията на WordPress сайта или в директория wp-admin.

Защита чрез .htaccess файл в root директорията

За да се достъпи администрацията на WordPress сайт се използват два URL адреса:

https://domain/wp-admin

https://domain/wp-login.php

от които се зарежда познатия формуляр за въвеждане на данни за логване:

Влезте в cPanel на вашия ICN.Bg хостинг, през файловия мениджър навигирайте до root директорията на WordPress сайта, маркирайте .htaccess файла и кликнете линка Редактирай в хоризонталното меню.

Ако не виждате .htaccess файла в директорията кликнете бутона Настройки в горния десен ъгъл на файловия мениджър и се уверете, че пред опцията Показване на скритите файлове (тези, които започват с точка) е поставена отметка:

Преди всички други записи във файла поставете следния код, в който трябва да замените 11.22.33.44 с вашия реален IP адрес:

RewriteEngine on 
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR] 
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ 
RewriteCond %{REMOTE_ADDR} !^11.22.33.44$ 
RewriteRule ^(.*)$ – [R=403,L]

Най-лесния начин да проверите своя IP адрес е да отворите търсеща машина и в полето за търсене да въведете my ip. Над резултатите от търсенето почти всички търсещи машини показват IP адреса на компютъра.

Променете поне една от цифрите в кода, запазете промяната и заредете някой от URL адресите на администрацията. Сървъра блокира достъпа до админ панела и генерира грешка Forbidden:

Докато в същото време потребителската част (frontend) на сайта се зарежда коректно:

Ако имате динамичен IP адрес, който периодично се променя трябва преди да влезете в администрацията да актуализирате записа в .htaccess.

Защита чрез .htaccess файл в директория wp-admin

Същият метод (сравняване на IP адреси) се прилага и когато .htaccess файла е в директория wp-admin, въпреки че кода е различен. Много вероятно е в директорията да няма създаден .htaccess файл, затова кликнете бутона +Файл и създайте нов файл като въведете името точно по този начин - .htaccess.

Маркирайте файла, кликнете бутона Редактирай и въведете следния код:

deny from all
allow from 11.22.33.44

Отново трябва да замените IP адреса 11.22.33.44 с вашия реален IP адрес за да може да достъпите администрацията на WordPress сайта. Може да предоставите достъп от повече от един IP адрес като копирате реда allow from и добавите следващия IP адрес (по един адрес на ред):

allow from 11.22.33.55

За да деактивирате достъп от IP адрес може да изтриете реда или да поставите знак диез # в началото на реда - в cPanel редактора целия ред ще промени цвета си в зелен:

Това е една от най-ефикасните защити на администрацията на WordPress, тъй като дори и по някакъв начин хакери да са получили данните за достъп до администрацията, тези данни трябва да бъдат въведени от точно определен IP адрес, което прави мисията по хакването почти невъзможна.

Важно: в един WordPress сайт трябва да приложите само единия от описаните в статията методи на защита.