Melindungi Panel Admin WordPress Anda Daripada Peretas Dengan .htaccess
Jika anda menggunakan WordPress sebagai platform di belakang blog atau laman web anda, anda mungkin tahu bahawa terdapat banyak lubang keselamatan, bukan hanya pada perisian itu sendiri, tetapi juga pada plugin juga. Memandangkan masalah ini, kami akan melihat cara untuk mencegah percubaan penggodaman dengan mengunci folder pentadbiran anda.
Pelayan web Apache mempunyai mekanisme terbina dalam yang membolehkan anda memberikan kata laluan yang diperlukan untuk folder, yang berasingan dari kata laluan WordPress anda.
Tips Keselamatan Blog Cepat
Keselamatan adalah cukup penting bahawa saya merasa perlu untuk memasukkan beberapa petua tambahan di sini. Ini tidak bermakna senarai lengkap, tetapi anda perlu melihatnya juga.
- Pastikan anda menjalankan versi terkini WordPress dan semua plugin anda.
- Anda harus mempertimbangkan melanggan BlogSecurity.net, sebuah blog yang cuba menutup berita keselamatan tentang platform blogging.
- Pastikan keizinan fail anda ditetapkan dengan betul mengikut garis panduan WordPress.
- Pastikan anda menggunakan kata laluan yang sukar untuk semua akaun.
- Pastikan anda menyandarkan pemasangan dan pangkalan data WordPress anda secara keseluruhan.
- Kunci folder pentadbiran anda dengan peraturan .htaccess (dilindungi di sini)
Menetapkan Kata Laluan ke Direktori wp-admin Secara Manual
Buat fail bernama .htaccess dalam direktori wp-admin anda, dan tambahkan kandungan berikut:
AuthName "Kawasan Terhad"
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
memerlukan pengguna sah
Anda perlu melaraskan baris AuthUserFile untuk menggunakan laluan penuh ke fail .htpasswd yang akan kami buat dalam langkah seterusnya. Anda boleh mencari laluan penuh dengan menggunakan pwd arahan dari prompt shell.
Seterusnya, anda perlu menggunakan utiliti baris htpasswd untuk membuat fail kata laluan. Saya juga akan menasihati bahawa anda menggunakan akaun pengguna dan kata laluan yang berbeza daripada yang anda gunakan untuk pemasangan WordPress anda.
$ htpasswd -c .htpasswd myusername
Kata laluan baharu:
Taip semula kata laluan baru:
Menambah kata laluan untuk nama pengguna saya
Anda ingin memastikan anda berada dalam direktori yang ditentukan oleh AuthUserFile, dan menukar "myusername" kepada sesuatu yang unik untuk laman web anda. Ini akan membuat fail dengan kandungan yang serupa dengan yang berikut:
myusername: aJztXHCknKJ3.
Pada ketika ini, anda perlu diminta kata laluan apabila anda menavigasi ke panel pentadbiran WordPress anda. Anda akan melihat bahawa "Kawasan Terhad" adalah teks dari fail .htaccess, yang boleh ditukar kepada apa-apa lagi.
Sekiranya anda mendapat ralat pelayan, anda mungkin perlu mengeluarkan fail .htaccess dan mulakan semula.
Akhir sekali, anda harus memastikan bahawa anda mengalih keluar keizinan menulis untuk kedua-dua fail dengan perintah chmod sebagai satu lagi lapisan keselamatan.
chmod 444 .htaccess
chmod 444 .htpasswd
.htaccess Password Generator File
Terdapat alat hebat dari Dynamicdrive yang akan melakukan semua kerja keras untuk membuat fail untuk anda. Ini sangat berguna jika anda tidak mempunyai akses shell ke pelayan anda, kerana anda hanya boleh memuat naik fail melalui klien FTP / SFTP anda.
http://tools.dynamicdrive.com/password/
Anda masih perlu memastikan bahawa anda mengalih keluar akses tulis sebaik sahaja fail dimuat naik.