Защита админки WordPress с помощью .htaccess и плагина
На чтение: 4 минОпубликовано:Обновлено:Автор:Виктория
Доброго времени суток, уважаемые читатели ИнетСоветы.ру! В этом посте я хочу рассказать Вам о еще одном эффективном способе защиты админки от взлома. Ранее я уже писала о плагине для защиты админки от подбора пароля, почитать можете здесь. Я стараюсь использовать поменьше плагинов на своем блоге, чтобы ускорить его загрузку. После установки нового дизайна этот вопрос особенно актуален для меня, так как у тех, кто имеет медленный интернет, мой блог загружается медленно.
Как Вы догадались, речь пойдет не о очередном плагине, а о защите админки с помощью кода. Весь принцип работы этого кода прост. Он заключается в проверке IP адреса, с которого осуществляется доступ к админке. У этого способа есть один минус, из-за которого, его не все захотят использовать для защиты своего сайта. Все дело в IP адресе. Перед применением этого способа для защиты админки без плагина, Вам нужно узнать какой у Вам IP адрес. Есть два вида: динамический и статический. Не пугайтесь этих слов. Динамический означает, что IP адрес Вашего компьютера меняется каждый после подключения компьютера к интернету, а статический - значит, что айпи адрес не меняется.
Как определить какой у Вас айпи, если Вы еще это не знаете или Вам просто не нужно было знать. Очень просто. Вот этот сайт покажет текущий IP адрес 2ip.ru. Теперь отключитесь от интернета (перезагрузите модем) и проверьте поменялись ли циферки.
Также, определитесь с каких устройств Вы заходите в админку сайта. Если это один единственный компьютер, со статическим айпи, то можете смело использовать метод защиты админки, который будет показан ниже. В противном случае, более рационально будет установить плагин Login LockDown. В случае с динамическим айпи, если Вы решите использовать этот метод, Вам придется каждый прописывать свой текущий айпи и копировать файл на хостинг, чтобы попасть в админку.
Плагин Login LockDown
Распространенный метод взломать блог - это подобрать логин или пароль. Если злоумышленники каким-то образом узнают Ваш логин входа, то пароль можно будет подобрать. Они будут пытаться всякими методами узнать каков Ваш пароль, а узнав тематику пароля, они со временем подберут его. Вручную пароль злоумышленники не подбирают. Это выполняет специальная программа, которая автоматически перебирает все возможные варианты. Плагин Login LockDown - ограничивает число попыток ввести неправильный логин или пароль до трех:
Плагин вводит ограничение на количество попыток ввода логина или пароля с одного IP-адреса. Если злоумышленник ввел 3 раза неправильно пароль, то этот плагин заблокирует доступ к входу с данного IP-адреса на определенное время. Использование в качестве защиты от подбора пароля плагина Login LockDown делает невозможным взлом Вашего блога на WordPress. Злоумышленникам понадобится очень много времени, чтобы подобрать пароль.
Ограничиваем вход в админку по IP адресу
Теперь давайте по пунктам рассмотрим, как защитить админку Вашего блога по IP адресу:
Откройте в новой вкладке страничку с добавляемым кодом. В статье не выкладываю его, а даю ссылку на файл
Соединяемся с хостингом любым удобным для Вас способом. Находим файл .htaccess, он находится там же, где и папки wp-admin, wp-content.
Сначала копируем файл на компьютер. Желательно сохранить еще одну копию в папку, где Вы храните резервные копии шаблона и базы данных. Может быть такое, что такого файла еще нет на хостинге. Тогда Вы его создадите в текстовом редакторе Notepad++, как обычный документ, только название ему присвоите .htaccess.
Откройте этот файл и вставьте в него тот код, который Вы открыли по ссылке в первом пункте. Обратите внимание, что вместо 000.000.000.000 нужно вставить свой айпи. На каком сайте его посмотреть, я писала в начале статьи. Если в файле .htaccess был какой-то код, то код для защиты админки вставляем после него.
Последний шаг - сохранение файла и замена файла на хостинге тем файлом, что Вы только что отредактировали.
Вот и все. Как видите, ограничить доступ к админке сайта по IP адресу не сложно. Главное, чтобы вы оказались в числе тех счастливчиков, которые имеют статический IP
Очень жаль, но у меня динамический айпи. Не получится воспользоваться вашей инструкцией.
Знаю еще, что можно сделать двойной вход в админку также при помощи файла htacctss
Люся
Руслан, может можно прописать не один айпи, а диапазон адресов, через которые провайдер предоставляет вам выход в сеть. Если в коде предусмотрено это.
Алексей Щукин
Виктория, простите за офтоп. Возник вопрос. Как вы сделали страницу «Спаму нет!» ???
Пару раз попадал на такую страницу при неправильном написании комментария.
Виктория
(автор)
Это программист ее сделал, когда устанавливал защиту от спама через код в файле функций.
Ignis
Мне кажется, у большинства все же динамические ip. Но даже если он постоянный, подобный метод все равно опасен — мало ли что! смените неожиданно провайдера, понадобится зайти с другого провайдера, да и сам провайдер может изменить ip-адрес…
Такой метод считается наилучшей защитой, но лично я его никогда не советую, уж очень велик риск никогда не попасть в админку…
Конечно, можно через хостинг все откорректировать, но это уже отдельный случай и тоже не всегда возможный…
seomodern
Я бы посоветовал не экономить на хостинге. На моем хостинге ежедневный автоматический бэкап и весьма отзывчивая и оперативнореагирующая техподдержка. Если возникают какие-либо проблемы, то они их быстро решают — все входит в абонплату. Аптайм 99.9% по данным http://www.pingdom.com. За все время использования хостинга мной и моими партнерами — 3 с лишним года — проблемы со взломом аккаунтов были только один раз, которые решились в течении дня-двух. Никто из животных не пострадал
Сергей
Такой метод считается наилучшей защитой, но лично я его никогда не советую, уж очень велик риск никогда не попасть в админку…
Я часто пользуюсь этим методом. А добавить новый ip в .htaccess через notepad++ и FTP — дело двух минут.
Считаю этот метод не самой лучшей защитой, если будет идти целенаправленая атака на ваш сайт, подобрать IP дело времени.
Сергей Грицюк
Так взломать можно все что угодно (в инете) — было бы желание. Сложнее всего взломать только чернила на листе бумаги.
Люся
Прописать несколько айпи и вопрос со входом в админку решёню Сложно представить, чтобы сразу и на работе и дома одновременно сменились айпи адреса.
Александр
Очень нравиться хостинг mchost там есть элементарная простая защита, которая может дать небольшую степень защиты. для новичков очень будет полезно. хотя не знаю возможно другие хостинг провайдеры тоже делают какие то условия по защите
Сергей Грицюк
Каждый уважающий себя хостинг предлагает какую-либо защиту.
Александр
Сейчас задумался всерьез защитой админки. сменил адрес страницы входа и еще много чего в основном без плагинов. Но и от плагинов не отказался. Так сказать сделал все возможные способы защиты.
Сергей Грицюк
Подобные манипуляции — дополнительная трата времени и, если ты не специалист, то результат может не оправдать ожидания. Лучше поручить защиту админки профессионалам — заказать авторитетный хостинг подороже.
Светлана Нимчук
Я защищаю плагинами, спамеры не проходят! Через день приходится их фильтровать. О таком способе не знала, плагинов много, тоже плохо. Спасибо, нужно использовать такие возможности, тем более не очень сложно.
seomodern
Мне понравился плагин AntispamBee. Весь спам автоматически переносится в соответствующую папку, которая сама очищается в заданное время.
Руслан
Сейчас популярен плагин envisible captcha
Сергей Грицюк
Видать маркетологи славно поработали
Александр
Очень жаль но мне наверное не подойдет такой способ. У меня на блоге публикует статьи редактор. У него другой айпи а у меня другой. возможно не получиться сделать такой способ.
Сергей Грицюк
Можно попробовать работать через прокси на одном ip.
Люся
Александр, можно же в htacctss прописать два айпи адреса, вашего редактора и ваш собственный.
Иван
Отличный пост! Удачи Вам!
seomodern
Код можно вставлять в любом месте файла?
Если IP динамический, как-то в файле можно прописать диапазон адресов, с которых можно зайти в админку? Например, 198.*.*.*.*. Т.е. можно будет заходить с любых адресов, которые начинаются на 198.
Люся
Это во-1, если можно прописать диапазон адресов. Во-2, что это за диапазон 198.*.*.*. В такой легко зайти. А вот например, в 198.25.*.*. намного сложнее.
Николай
Великолепный пост!! Виктория, Вы молодец, я уже давно читаю Ваши посты, много интересного и полезного. Еще раз спасибо за качественный материал.
Сергей Грицюк
Статья однозначно полезная, чтоб понимать, как нужно действовать.
Александр
Вот то что мне нужно! Защитить админку это дело чести. Но я не могу все делать с помощью плагинов. Хостинг очень слабоват. Мне очень нужны советы на тему того как можно сделать определенную вещь без плагинов. Спасибо обязательно сделаю все как вы описали! Буду с нетерпением ждать новых постов!
Сергей Грицюк
Хороший хостинг сейчас не такой уж и дорогой. Есть смысл немного переплатить, чтоб спать спокойно.
Очень жаль, но у меня динамический айпи. Не получится воспользоваться вашей инструкцией.
Знаю еще, что можно сделать двойной вход в админку также при помощи файла htacctss
Руслан, может можно прописать не один айпи, а диапазон адресов, через которые провайдер предоставляет вам выход в сеть. Если в коде предусмотрено это.
Виктория, простите за офтоп. Возник вопрос. Как вы сделали страницу «Спаму нет!» ???
Пару раз попадал на такую страницу при неправильном написании комментария.
Это программист ее сделал, когда устанавливал защиту от спама через код в файле функций.
Мне кажется, у большинства все же динамические ip. Но даже если он постоянный, подобный метод все равно опасен — мало ли что! смените неожиданно провайдера, понадобится зайти с другого провайдера, да и сам провайдер может изменить ip-адрес…
Такой метод считается наилучшей защитой, но лично я его никогда не советую, уж очень велик риск никогда не попасть в админку…
Конечно, можно через хостинг все откорректировать, но это уже отдельный случай и тоже не всегда возможный…
Я бы посоветовал не экономить на хостинге. На моем хостинге ежедневный автоматический бэкап и весьма отзывчивая и оперативнореагирующая техподдержка. Если возникают какие-либо проблемы, то они их быстро решают — все входит в абонплату. Аптайм 99.9% по даннымhttp://www.pingdom.com . За все время использования хостинга мной и моими партнерами — 3 с лишним года — проблемы со взломом аккаунтов были только один раз, которые решились в течении дня-двух. Никто из животных не пострадал
Такой метод считается наилучшей защитой, но лично я его никогда не советую, уж очень велик риск никогда не попасть в админку…
Я часто пользуюсь этим методом. А добавить новый ip в .htaccess через notepad++ и FTP — дело двух минут.
Считаю этот метод не самой лучшей защитой, если будет идти целенаправленая атака на ваш сайт, подобрать IP дело времени.
Так взломать можно все что угодно (в инете) — было бы желание. Сложнее всего взломать только чернила на листе бумаги.
Прописать несколько айпи и вопрос со входом в админку решёню Сложно представить, чтобы сразу и на работе и дома одновременно сменились айпи адреса.
Очень нравиться хостинг mchost там есть элементарная простая защита, которая может дать небольшую степень защиты. для новичков очень будет полезно. хотя не знаю возможно другие хостинг провайдеры тоже делают какие то условия по защите
Каждый уважающий себя хостинг предлагает какую-либо защиту.
Сейчас задумался всерьез защитой админки. сменил адрес страницы входа и еще много чего в основном без плагинов. Но и от плагинов не отказался. Так сказать сделал все возможные способы защиты.
Подобные манипуляции — дополнительная трата времени и, если ты не специалист, то результат может не оправдать ожидания. Лучше поручить защиту админки профессионалам — заказать авторитетный хостинг подороже.
Я защищаю плагинами, спамеры не проходят! Через день приходится их фильтровать. О таком способе не знала, плагинов много, тоже плохо. Спасибо, нужно использовать такие возможности, тем более не очень сложно.
Мне понравился плагин AntispamBee. Весь спам автоматически переносится в соответствующую папку, которая сама очищается в заданное время.
Сейчас популярен плагин envisible captcha
Видать маркетологи славно поработали
Очень жаль но мне наверное не подойдет такой способ. У меня на блоге публикует статьи редактор. У него другой айпи а у меня другой. возможно не получиться сделать такой способ.
Можно попробовать работать через прокси на одном ip.
Александр, можно же в htacctss прописать два айпи адреса, вашего редактора и ваш собственный.
Отличный пост! Удачи Вам!
Код можно вставлять в любом месте файла?
Если IP динамический, как-то в файле можно прописать диапазон адресов, с которых можно зайти в админку? Например, 198.*.*.*.*. Т.е. можно будет заходить с любых адресов, которые начинаются на 198.
Это во-1, если можно прописать диапазон адресов. Во-2, что это за диапазон 198.*.*.*. В такой легко зайти. А вот например, в 198.25.*.*. намного сложнее.
Великолепный пост!! Виктория, Вы молодец, я уже давно читаю Ваши посты, много интересного и полезного. Еще раз спасибо за качественный материал.
Статья однозначно полезная, чтоб понимать, как нужно действовать.
Вот то что мне нужно! Защитить админку это дело чести. Но я не могу все делать с помощью плагинов. Хостинг очень слабоват. Мне очень нужны советы на тему того как можно сделать определенную вещь без плагинов. Спасибо обязательно сделаю все как вы описали! Буду с нетерпением ждать новых постов!
Хороший хостинг сейчас не такой уж и дорогой. Есть смысл немного переплатить, чтоб спать спокойно.