Jak zabezpieczyć panel logowania w WordPress?

Jeśli prowadzicie stronę czy też bloga internetowego, który oparty jest o bardzo popularne rozwiązanie takie jak Wordpresz pewnością wiecie jakie niesie to za sobą konsekwencje. Im dane rozwiązanie jest bardziej popularne, tym więcej gotowych exploitów. Co w takim razie zrobić by uchronić się przed potencjalnym włamaniem? Z pewnością należy dołożyć starań, by WordPress jak i wszystkie jego dodatki były aktualne, ale niestety czasem i to nie pomoże.

Tendencja zakładania banalnych haseł jest dość powszechna (powołując się na przykład słynnego hasła admin1 ;-), warto w takim wypadku ustrzec się potencjalnego ataku słownikowego na naszego WordPressa. W jaki sposób to zrobić? Wyciąć dostęp do panelu logowania w WordPressie, jeśli tylko my z niego korzystamy i jeśli robimy to zawsze z określonych lokalizacji. W jaki sposób to zrobić? Wystarczy dodać kilka wierszy do pliku .htaccess, który znajduje się w głównym katalogu naszej instalacji WordPress.

<Files wp-login.php>
order deny,allow
Deny from all

#Pierwszy adres IP, z którego będziemy mogli się zalogować
allow from xx.xxx.xx.xx

#Kolejny adres IP, który będzie dopuszczony do panelu logowania
allow from xx.xxx.xx.xx

</Files>

Powyższy kod należy umieścić na samej górze, zmieniając odpowiednio iksy na własny adres IP, który możecie sprawdzić np. poprzez tą stronę. Oczywiście można wskazać większą pule adresów, kiedy bloga prowadzi kilka osób. O ile to rozwiązanie to raczej dmuchanie na zimne, bo większość włamań przez specjalnie przygotowane roboty spowodowane są przez dziury we wtyczkach o tyle jedną furtkę zamykamy. Oczywiście w analogiczny sposób możemy zablokować dostęp do innych, wskazanych przez nas plików. Wystarczy zmienić wp-login.php na nazwę innego pliku, do którego dostęp chcemy ograniczyć. Mam nadzieję, że się Wam przyda.

Strona tego bloga

Podoba Ci się ten tekst? Powiedz o tym innym na Fb: lub na G+:

publikuj:

wydrukuj

5 skomentuj »

Komentarze

#1 Mor 2012-02-22 21:51:44 0
Sposób jest dobry, pod warunkiem, że mamy stałe IP. Niestety większość dostawców stosuje rotację numerów IP, więc nasz numer raz na jakiś czas się zmieni. Tutaj na szczęście na ratunek może przyjść usługa typu DynDNS, ale wtedy w konfiguracji .htaccess podajemy adres domeny (o ile można, bo nie znam konfiguracji .htaccess na pamięć). ;)
IP: 89.78.248.[...] Mozilla/5.0 (X11; Linux i686) AppleWebKit/535.11 (KHTML, like Gecko) Ubuntu/11.10 Chromium/17.0.963.56 Chrome/17.0.963.56 Safari/535.11
#2 albo dostep na haslo 2012-02-23 03:42:34 0

AuthName "dostep do pliku wp-login.php"

AuthType Basic

AuthUserFile "/sciezka/do/pliku/z/haslem/.htpasswd"

require valid-user
IP: 211.110.204.[...] Mozilla/5.0 (Windows NT 5.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2
#3 albo dostep na haslo 2012-02-23 03:45:50 0
```
AuthName "dostep do pliku wp-login.php"

AuthType Basic

AuthUserFile "/sciezka/do/pliku/z/haslem/.htpasswd"

require valid-user
```
IP: 211.110.204.[...] Mozilla/5.0 (Windows NT 5.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2
#4 albo dostep na haslo 2012-02-23 03:48:18 0
<FilesMatch wp-login.php>

AuthName "dostep do pliku wp-login.php"

AuthType Basic

AuthUserFile "/sciezka/do/pliku/z/haslem/.htpasswd"

require valid-user

</FilesMatch>
IP: 211.110.204.[...] Mozilla/5.0 (Windows NT 5.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2
#5 albo dostep na haslo 2012-02-23 03:51:30 0
<FilesMatch wp-login.php>

AuthName "dostep do pliku wp-login.php"

AuthType Basic

AuthUserFile "/sciezka/do/pliku/z/haslem/.htpasswd"

require valid-user

</FilesMatch>
IP: 211.110.204.[...] Mozilla/5.0 (Windows NT 5.1; rv:10.0.2) Gecko/20100101 Firefox/10.0.2

Aby dodać komentarz, musisz podać swój nick, treść komentarza oraz poprawnie przepisać oba słowa z obrazka (słowa muszą być rozdzielone spacją).
W treści komentarza można używać języka formatowania BBcode.