Как мы уже упоминали в то время как с помощью WordPress 2.8.3, наш сайт был атакован в попытке взломать нашу папку WP-admin. К счастью, WordPress имеет нашел баг и выпустила соответствующее Обновление безопасности в WordPress 2.8.4, но эта атака заставила нас принимать дополнительные меры безопасности для нашего сайта. Мы ограничили доступ к нашей папке wp-admin с помощью .htaccess и назначение конкретных IP-адресов, которые могут получить к нему доступ. Прежде чем какой-то хакер переустановить наш пароль и то потому, что они могли видеть нашу папку wp-admin и увидеть логин бар. Теперь никто, кроме редакторов не может увидеть нашей админ-панели. В этой статье мы расскажем вам, как можно ограничить папку wp-admin для доступа по IP адресу с помощью файла .htaccess.

Для начала вам нужно открыть свой файл .htaccess, расположенный в /wp-admin/, и сделать резервную копию.

Примечание: запрещено редактировать свой корневой файл .htaccess, не вставить эти коды там. Она должна быть в папке /wp-admin/ .htaccess если Вы не видите этот файл, то создайте пустой файл, назовите его .htaccess в папке wp-admin.

Затем вставьте следующий код:

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "WordPress Admin Access Control"

AuthType Basic

<LIMIT GET>

order deny,allow

deny from all

# разрешен IP адрес Роман

allow from xx.xx.xx.xxx

# разрешен IP адрес Виталик

allow from xx.xx.xx.xxx

# разрешен IP адрес Андрей

allow from xx.xx.xx.xxx 

</LIMIT>

Вставьте Ваш IP-адрес и загрузить файл.

Теперь если у вас есть более одного IP, убедитесь, что вы перечислить их здесь. Например, работа, дом, в отпуске, если вы когда-либо использовали его. Каждый раз, когда вы хотите перейти на свой wp-admin из другого места, то вам придется добавить дополнительный IP-адрес. Единственный минус этого хака, это будет держать ваши папки wp-admin безопасности.

Читая заголовок, вас, наверное, заинтересовало, не защищен уже паролем каталог WP-admin. Вы должны авторизоваться. Что ж, это правда, но, чтобы добавить дополнительный уровень безопасности — популярные сайты часто добавляют дополнительный уровень аутентификации. Несколько дней назад, мы начали видеть некоторую подозрительную активность, так наш хостер посоветовал нам защитить паролем наш каталог. Видимо популярные сайты делают то же самое. В этой статье мы покажем вам шаг за шагом руководство о том, как защитить паролем администратора WordPress (каталога WP-admin).

Чтобы понять легко и просто, мы только откроем cpanel веб-хостинга компании здесь только потому, что cpanel имеет достаточно простой интерфейс для добавления защищенные паролем каталога.

Логин к вашей cpanel. Прокрутите вниз, пока не увидите вкладку безопасность. Нажмите на значок “защитить паролем каталоги”.

При нажатии на который, появится лайтбокс где просят каталог. Просто нажмите на корневой Web. Оказавшись здесь, перейдите к папке, где ваш WordPress хостинг. Затем нажмите на папку /WP-admin/. Вы увидите такой экран:

Просто установите флажок защитить паролем каталог. Затем создайте пользователя для каталога. Все. Теперь при попытке доступа к директории WP-admin, вы должны увидеть окно «требуется аутентификация» такой:

Ручной Метод

Сначала создайте .htpasswds файл. Загрузить этот файл в ваш /public_html/ каталог.

Затем, создайте .htaccess файл и загрузить его в каталог /WP-admin/. Затем добавьте следующие коды там:

AuthName "Admins Only"

AuthUserFile /home/ваша папка/.htpasswds/public_html/wp-admin/passwd

AuthGroupFile /dev/null

AuthType basic

require user putyourusernamehere

Вы должны обновить свой логин там. Также не забудьте обновить AuthUserFile путь доступа.

У меня 404 ошибка или слишком много ошибка перенаправлений

Ну это может произойти в зависимости от того как настроен сервер. Чтобы устранить эту проблему, откройте на WordPress файл .htaccess и добавьте следующий код туда, пока правила WordPress начнут действовать.

ErrorDocument 401 default

Хорошо что у вас есть. Теперь у вас есть двойная аутентификации для вашей админки WordPress. Это хорошая альтернатива для ограничения WP-admin доступ по IP-адресу.

Обновление: вот как исправить в админке работу Аякс

Если вы защитите паролем Админ-директорию, то она сломает AJAX-функциональность в интерфейсе (если он используется). В нашем случае, у нас нет никаких плагинов, которые пользуются AJAX интерфейс. Но если вы делаете, то вот как исправить эту проблему.

Откройте .htaccess файл, расположенный в папке /WP-admin/ (это было не главный файл .htaccess, который мы редактировали выше).

В WP-admin файле .htaccess, вставьте следующий код:

<Files admin-ajax.php>

    Order allow,deny

    Allow from all

    Satisfy any

</Files>

Убрав многочисленные хаки для WordPress, по нашему опыту наиболее опасный доступ к файлам в каталоге /wp-includes/ ваш каталог /wp-content/uploads/. Как правило, это PHP файлы с именами, порой кажется некоторые файлы ядра WordPress, но они не являются. Одной из мер, которые можно предпринять, чтобы улучшить ваш WordPress в плане безопасности является отключение исполнение PHP в определенных каталогах на WordPress. В этой статье мы покажем вам, как можно использовать файл .htacces, чтобы отключить исполнение PHP в определенном каталоге.

Создайте пустой файл в текстовом редакторе. Назовите файл .htaccess и вставьте следующий код:

<Files *.php>

deny from all

</Files>

Теперь загрузите этот файл в ваш /wp-content/uploads/ Вы должны также загрузить его в свою папку /WP-includes/.

Объяснение кода: этот код проверяет любой PHP файл и запрещает доступ к нему.

Эта статья является ответом на один из вопросов, как можно улучшить безопасность вашего сайта при помощи .htaccess. Один из советов, которые мы упомянули, было отключение исполнения скрипта PHP в директории загрузок.

Примечание: это не как исправить хак. Это просто совет по усилению безопасности.

Также необходимо создавать резервные копии WordPress.