Poradnik.kz1.pl   porady na wiele tematów...

Poradniki | Mapa strony | Kontakt

Poradniki Online




ogłoszenia nieruchomości

Jak zabezpieczyć panel logowania Wordpress przez atakiem "brute force" ::.



W ostatnim czasie ataki metodą "brute force" zdarzają się dość często. Dotyczy to głównie blogów postawionych na darmowym skrypcie Wordpress. Atak ten polega na próbach ciągłego (zmasowanego) logowania na podstronie logowania, która znajduje się w lokalizacji www.twójblog.pl/wp-login.php. Nawet jeśli masz ustawione mocne hasło do swojego bloga, to takie zabiegi hakerskie sprawiają, że twój blog będzie generował masę zapytań do bazy danych, co może skutkować zablokowaniem usługi serwerowej przez Twojego usługodawcę hostingu.

Najprostszym sposobem na zabezpieczenie panelu logowania skryptu Wordpress, jest nałożenie dodatkowego hasła dostępu do pliku wp-login.php za pomocą pliku .htaccess

Proces tworzenia tego dodatkowego zabezpieczenia Wordpressa jest dość prosty i opiszemy go w kilku punktach.


1. Utworzenie pliku .htpasswd

Za pomocą edytora kodów źródłowych (polecam Notepad++) należy utworzyć plik o nazwie .htpasswd w którym będą znajdować się dane dostępowe. Dane te to będzie odpowiednio spreparowany dodatkowy login i hasło, za pomocą którego będziesz się logował do już właściwego panelu logowania w Wordpressie.

Następnie wchodzisz na stronę - http://www.htaccesstools.com/htpasswd-generator/

i wpisujesz login i hasło, którego będziesz używał do dodatkowego dostępu. Najlepiej jakby te dane były inne, niż te których używasz przy logowaniu do panelu administracyjnego swojego bloga.

Klikając w przycisk Create .htpasswd file wygenerujesz kod który należy wkleić do wcześniej utworzonego pliku . htpasswd


2. Wgranie pliku .htpasswd na serwer

Plik . htpasswd należy wgrać na serwer, najlepiej nie w tym samym folderze co pliki źródłowe bloga. Polecam utworzyć dodatkowy katalog (np. htpasswd), który będzie się znajdował na serwerze w tym samym katalogu głównym, co katalog z plikami źródłowymi bloga.


3. Edycja pliku .htaccess

Ostatnim krokiem jest dodanie kilku linijek poleceń w pliku .htaccess, który już istnieje w katalogu głównym bloga.

Dodajemy do niego poniższy kod:

Plik .htaccess


  AuthName "Restricted Area"
  AuthType Basic
  AuthUserFile /home/nazwa_serwera/htpasswd/.htpasswd
  <Files wp-login.php>
  require valid-user
  </Files>

  ErrorDocument 401 "Denied"
  ErrorDocument 403 "Denied"

Ścieżka /home/nazwa_serwera/htpasswd/.htpasswd wskazuje lokalizację pliku z wcześniej utworzonymi danymi dostępowymi (loginem i hasłem).

Jak sprawdzić ścieżkę do pliku na serwerze?


  Utwórz plik o nazwie info.php

  Wklej do niego linijkę z poleceniem: echo dirname( __FILE__ );

  Wgraj go na serwer do katalogu z plikami bloga. Następnie uruchom go poprzez wpisanie ścieżki pliku twoj-blog.pl/info.php

  Wyświetli się ścieżka do pliku info.php na podstawie której możemy ustalić i umieścić w pliku .htaccess ścieżkę do utworzonego pliku .htpasswd
  Początki ścieżki przeważnie różnią się z zależności od usługodawcy hostingowego.

Następnie plik .htaccess wgrywamy na serwer nadpisując stary i właściwie praca jest skończna.

Teraz próbując zalogować się do panelu administracyjnego swojego bloga, wyskoczy takie okienko logowania (może się ono różnić w zależności od używanej przeglądarki internetowej)

zabezpieczenie logowania wordpress

Wpisujesz tutaj login i hasło, które wcześniej utworzyłeś i (zakodowane) wkleiłeś do pliku .htpasswd. Po poprawnym zalogowaniu dopiero teraz, otwiera się prawidłowa strona logowania w Wordpress. Dzięki temu zabiegowi, ten kto nie przejdzie pierwszej autoryzacji, nie będzie mógł próbować logowć się już do samego skryptu, dzięki czemu nie będzie obciążał serwera. No i co najważniejsze Ty zabezpieczysz swojego bloga przed włamaniem.


Najwydajniejszy hosting pod Wordpressa:
dhosting

<-- Wstecz