Защищаем админку WordPress без плагинов

Строго говоря, таким способом можно защитить не только админку WordPress, но и любую директорию на любой CMS.

Итак, защищать будем с помощью файлов .htpasswd и .htaccess. Для начала сгенерируем файл .htpasswd. Например, это легко сделать с помощью онлайн сервиса:

http://www.htaccesstools.com/htpasswd-generator/

Далее создаем файл .htaccess с таким содержанием:

AuthType Basic
AuthName "admin zone"
AuthUserFile /home/user/public_html/.htpasswd
Require valid-user

Где строчка  AuthUserFile — это полный путь до файла .htpasswd. Узнать его можно с помощью функции phpinfo () или с помощью это простого php-скрипта:

<?php
$dir = dirname(__FILE__);
echo "<p>Полный путь к файлу .htpasswd: " . $dir . "/.htpasswd" . "</p>";
?>

Соответственно этот скрипт должен находиться в том же каталоге, куда вы загрузите .htpasswd

Далее закачиваем файл .htpasswd по тому пути какой прописан в  AuthUserFile, а файл .htaccess в папку wp-admin. Вот что мы увидим при попытке войти в админку WordPress:

Использование .htpasswd

Кстати, интересен этот способ еще тем, что при уязвимостях типа sql-инъекции злоумышленник сможет получить данные из базы и реквизиты администратора (если они хранятся в базе), но вот попасть в админ-панель уже не сможет. Конечно, это очень примитивная защита, поэтому находить уязвимости на своих сайтах лучше раньше злоумышленников.

В рубрике: Wordpress.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *