Пара простых способов защитить админку блога на Wordpress.

Пара простых способов защитить админку блога на WordPress.


После переезда, на мой блог, в последнее время, зачастили неведомые взломщики. Их цель мне непонятна, но в админку они пытаются настойчиво залезть, при чем сильно подсаживают сервер. Скорее всего пытаются хакнуть через софт, но возможно и вручную, так как пытались публиковать сообщения от моего имени.

Атакующие пытаются найти доступ к файлу вордпресс wp-login.php, который мы и попытаемся защитить. Ну, а более-менее простым методом элементарной защиты будет закрытие взломщикам доступа к файлу входа в админку.

Осуществлять это будем по разному:

1) Закрываем файлом .htaccess доступ к файлам админки всем IP-адресам

Открываем .htaccess в редакторе и прописываем

<Files wp-login.php>
order deny,allow
deny from all
allow from 5.6.7.8
</Files>

Это значит:

— Здесь правило для файла wp-login.php order deny,allow — которое определяет логику его работы.
deny from all — Здесь запрещаем просматривать файлы админки всем.
allow from 5.6.7.8 — Тут разрешаем доступ к тому же файлу wp-login.php для IP-адреса 5.6.7.8

Адрес 5.6.7.8, естесственно меняем на тот IP-адрес, который можно узнать тут: //internet.yandex.ru, это ваш IP.
Хотя стоит заметить, что если провайдер выдает вам статический адрес, то этот способ вас утомит, в плане того, что придется постоянно менять IP в .htaccess.

kak zashitit adminku wordpress2) Способ второй — переименовываем файл вордпресс wp-login.php

1. Придумайте подходящее только вам название, к примеру, «novuhodonosor.php».

2. Обязательно открываем wp-login.php в редакторе html или любом текстовом, находим все на wp-login.php и меняем на novuhodonosor.php.
Затем находим файл wp-includes/general-template.php и проделываем с ним то же самое. Редактируем, заменяем и сохраняем.

3. Ну и заключительным шагом у нас будет ограничение всякого доступа к файлу wp-login.php в .htaccess, открываем его в редакторе и пишем:

<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

Закрыть доступ к неведомому файлу wp-login.php, которого нет, нужно потому, что сетевые хулиганы так или иначе будут его атаковать, а движок в это время выдаст им страничку 404 (мол, файл не существует), а это тоже нагружает сайт.

4. Также обратите внимание, коль вы создали конструкцию deny from all, то вам нужно убедиться в том — а есть ли у вас файл 403.shtml, который должен быть в корневой папке вашего блога. А если нет, то также создайте его.
Он нужен, чтобы запросы ошибки 403 не были перехвачены движком wordpress и нагрузка на ваш движок подуменьшилась.


Понравилась статья? Поделись с друзьями!

Обсудить