Защита на WordPress Admin панела с .htpasswd и .htaccess

29 ян. 2019 | Защита
wordpress security

По принцип wp-admin панелът в WordPress има защита, тъй като влизаме в него с потребителско име и парола. Но това не е достатъчно. Хубаво е да има още една предварителна стъпка, защитаваща сайта ни от неоторизирано влизане, като по този начин блокираме wp-login.php заявки от досадни ботове или други злонамерени потребители. Тази стъпка е HTTP Basic Authentication и важи за Apache сървъри, които са най-разпространени.

За да защитим WordPress сайта си с HTTP удостоверяване, първо трябва да създадем .htpasswd файл, в който изброяваме оторизираните потребители с техните имена и пароли. За целта използваме htpasswd генератор. Може да ползваме този или някой от другите налични в интернет. Ако ще имаме повече потребители с различни имена и пароли, ще си генерираме кодове за всеки един от тях и ги добавяме в .htpasswd файла, всеки на нов ред.

.htpasswd file

След това ще си създадем и .htaccess файл, в който ще поставим следния код:

AuthType Basic
AuthName "STOP!"
AuthUserFile /path/site.com/wp-admin/.htpasswd
ErrorDocument 401 default
require valid-user

Не трябва да забравяме да сменим path и site.com с нашите конкретни.

.htaccess file

Накрая добавяме и двата файла във wp-admin директорията на нашия WordPress сайт.