Защита админки wordpress с помощью двойного входа

защищаем вордпресс
Ну что начинающие блоггеры и уже матерые, приветствую всех. Я не на шутку озаботился безопасностью сайта, и начал применять все комплексно, от входа, а дальше будет все намного круче. Но сейчас будет осуществлятся защита админки wordpress путем двойного входа, как читайте статью дальше.

Итак, о чем я говорю, вы просто попробуйте зайти ко мне в панель авторизации, ну как вы обычно делаете, вводите wp-admin в url, и заходите. Но у меня сделано по другому, моя система не пустит вас, пока вы введете предварительный логин и пароль (кстате не забудьте сделать ограничения по количеству заходов), чтобы проще было понять, вот скриншот.

защита админки двойной вход

Нравится такая фенечка, классно? Я вывел два метода, один через сам хостинг, а второй если нет первого, то ручками придется, но там тоже проблем не много будет. Приступим, первый метод, я разобрал на примере хостинга timeweb, потому что все мои постоянный читатели именно на нем сидят, и им будет особенно полезно.

файловый менеджерДля начала заходим в панель тайм веба, и там находим пункт «файловый менеджер». Открывая его вы увидите все файлы на вашем хостнге, там будут несколько папок и файлы, но в них мы ковыряться не будем, все будет делаться средствами сервиса.

Мы зашли в менеджер, теперь находим папку wp-admin, выделяем ее нажатием левой кнопкой мыши (не открывая ее), а дальше смотрим скриншот и под ним описание.

ставим пароль на директорию

  1. Сама папка wp-admin.
  2. Нажимаем на вкладку «файл».
  3. И выбираем «пароль на директорию».

конечные настройки двойного входа на сайт

  1. Далее появится еще одно мини-окно, нажимаем на галочку чекбокса «Ограничение доступа».
  2. Жмем ссылку «добавить нового пользователя».
  3. После нажатия по ссылке, вылезет еще одно окно, в нем вводим желаемые логин и пароль.
  4. И жмем вот на эту полосочку, для подтверждения. Это видно какой-то глюк, недоделка хостинга, надеюсь они исправят.

Не забываем сохранять данные для входа на своем компьютере в отдельный файлик.

активируем нового пользователяНам покажется последний диалог, на котором выбираем обе галочки, и закрываем его. И на этом все защита админки wordpress закончена, теперь при входе в панель вордпресса, придется в двойном формате вводить все данные, что, согласитесь, усложняет задачу. Но скажу сразу, что не каждый хостинг поддерживает данную функцию, что печалит немного.

Но для полного утверждения, спрашивайте такие вещи в поддержке, мол, а у вас есть возможность поставить на директорию логин и пароль.

С помощью файлов паролей.

Если прошлый способ не помог, то переходим к этому, можно сказать универсальному. Для начала скажу что придется маленько править код файла доступа .htaccess, но не много. Если у вас выделенный сервер на nginx, то способ не сработает, потому что все заточено под apache, но переживать не стоит 99% работают именно на апаче или как минимум в связке с ним.

Предупреждаю сразу, сайт, если не правильно прописать, может заклинить, потому что .htaccess очень капризный, либо же ваш хостинг может блокировать этот запрос, но об этом позже, в любом случае не пугайтесь.

Ладно поехали, для начала, скачивайте архив вот от сюда, теперь открывайте его и смотрим содержимое. Там четыре файла, работать будем только с тремя четвертый, для информации. Давайте сейчас все объясню, чтобы вы поняли все.
скачанные файлы для защиты админки вордпресса

  1. Первый файл, собственно сам файл паролей, в него будем вставлять наши зашифрованные данные.
  2. Второй, этот содержит код, который мы будем вставлять в основной файл .htaccess.
  3. Понадобиться для определения точного пути до того мета где он располагается, позже покажу.
  4. А здесь находится ссылка на необходимый сервис, с помощью которого и будем облегчать работу.

Обзор провел, теперь берем файл .htpasswd и path.php и загружаем в корень сайта, я пользуюсь filezilla, смотрите на скриншот (корень значит где находятся папки wp-content, wp-admin и так далее). Пока их оставляем в покое и переходим к следующему шагу.куда кидать файлы

Теперь переходим на сайт генерации паролей, и заполняем все поля, конечно же вы прописывайте свои данные, чем сложнее тем лучше, и нажимаем на кнопку генерации.
сервис генерации паролей для защиты и двойного входа

Не волнуйтесь, сам сервис при двойном входе не будет играть никакой роли, он просто делает необходимую комбинацию.

Нас перебросило на страницу с необходимой комбинацией, обводим ее и копируем в буфер обмена, на этом общение с данным сайтом закончено, можете его закрыть.шифрованный код паролей

Теперь идем обратно в filezilla, и начинаем редактировать файл .htpasswd, просто жмем на нем правой кнопкой мыши, и выбираем просмотр/правка.

редактируем файл паролей

У вас откроется окно редактора по умолчанию, который вы используете, у меня dreamweaver, но не суть. Изначально этот файл пустой, но в самый верх вставляем тот код, который мы копировали на сервисе генерации, и сохраняем.
вставляем шифр

А сейчас финишная прямая, вводите в браузере запрос вот такого типа http://ваш домен/path.php. И у вас откроется новая вкладка, на которой у вас будет только одна строчка, вот она будет нам нужна. Активация данного файла, показывает точное его расположение на хостинге, так что копируйте данную комбинацию куда-нибудь.
путь до path.php

Далее надо открыть файл .htaccess скачанный у меня и ваш с хостинга. И из моего скопировать все и вставить в ваш в самый верх, но давайте лучше все опишу на снимке, так лучше будет.
прописываем директивы двойного входа в админку вордпресса

  1. Это открытый файл из скачанных материалов, копируйте его.
  2. Вставляйте в самое начало после фразы #Begin Wordperss.
  3. Видите я заляпал надпись, сюда вставляем тот путь который определяли с помощью path.php.
  4. Ну и сохраняем все изменения.

Все готово, теперь при заходе нехороших людей к вам на сайт с целью взломать его, он наткнется на двойную стену авторизации.

P.S. Что озадачил я вас? Сможете сделать сами? Я думаю добрая половина кто прочтет эту статью, сделают этот двойной вход и защитит админку wordpress своего ненаглядного блога.

Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 (1 оценок, среднее: 5,00 из 5)
Понравилась статья? Поделиться с друзьями:
Комментариев: 19
  1. Светлана

    Привет, Валентин. Я думаю стоит и даже нужно сделать двойной вход. Хотя бы для того, чтобы морально успокоиться и не трястись о взломанном блоге. Это я про свой маленький бложек, хотя кому он нужен.

    1. Лифанов Валентин (автор)

      Привет Свет. Нужен еще и как, во первых ссылки халявные, во вторых могут настроить редирект, ваши посетители просто будут уходить не зная этого, как со мной раз было. С прямых заходов ничего не происходит, а вот если с поисковика то посетители редиректились на другой сайт, оказывается негодяи прописали в .htaccess ркдирект, но об этом еще напишу. Как у тебя с исправлением ошибок?

      1. Сергей Стеклов

        У меня такая же хрень была раньше. Год — два назад. Прописали мобильный редирект в этот файл, а также создали в некоторых папках копию этого файла с мобильными редиректами. Потом это все исправил.
        Кстати, надо будет твой метод попробовать. У меня на хостинге как раз можно запаролить директорию. Я как-то об этом и не особо задумывался. Просто у меня вход в админку по другому урлу. Поэтому особо не переживал на этот счет.))

        1. Лифанов Валентин (автор)

          Пробуй, может пригодится.

      2. Светлана

        Все, убедил. Обязательно займусь. А ошибки сегодня ночью планирую исправлять.

        1. Лифанов Валентин (автор)

          Спать надо по ночам :)

  2. Андрей

    Валентин, советуй, какой способ выбрать. Я затрудняюсь.

    1. Лифанов Валентин (автор)

      Андрей, если есть на хостинге данная функция, то с помощью ее, если нет, то уж через файл доступа.

  3. Андрей

    Спасибо Валентин, через ТаймВеб сделал. Может теперь отпадает плагин на ограничение количества попыток доступа?

    1. Лифанов Валентин (автор)

      Нет, ставь обязательно, лишним не будет, он блог не грузит вообще, потому что распространяет свое действие только на админку.

  4. Андрей

    Понял, оставляю :o

  5. Мария

    Здравствуйте, подскажите пожалуйста, каждый день, один человек заходит ко мне на сайт и пытается подобрать пароль к логину админ, после чего его ip сразу автоматически блокируется, но длиться это уже полгода и я не могу понять, как он узнаёт адрес входа в админку, если она у меня переименована, при наборе /wp-admin и /wp-login.php выдаёт ошибку. логина админ нет в помине, но он как то находит страницу авторизации, Как так?

    1. Лифанов Валентин (автор)

      Здравствуйте. Заблокировать можно через файл .htaccess а адрес он находит возможно из исходного кода, в шаблоне может он палится.

  6. Ed

    Друзья у меня не выходит, стр не найдена , а до этого воще 500 ошибка а тех поддержка ХОСТИЯ не помогает не могут понять в чем дело? есть варианты?

    1. Лифанов Валентин (автор)

      Значит ХостиЯ не поддерживает создание паролей на стороне сервера.

  7. Андрей Зимин

    Добрый день, Валентин. а что делать, если у меня подобный вход на сайт уже более двух лет, и в этом месяце на сайте Search Console появилось сообщение, что на сайте требуется аунтификация и googlebot не может войти на сайт? Как в этом случае поступить, удалить двух этапный вход, или можно как-то разрешить googlebot войти на сайт? Спасибо за ответ!

    1. Лифанов Валентин (автор)

      Здравствуйте, двойной вход нужен только для защиты админки wp-admin, или если изменено то другой. Сканировать Гуглу внутренние страницы не надо, Гугл бот и так просканирует.

  8. Андрей Зимин

    Но, в Google вебмастер пишут, что googlebot не может проиндексировать страницу из-за требования сайта авторизоваться. Также, у меня на сайте возникла ошибка «Покрытие». Я думаю, из-за этого. Я по этому поводу разговаривал с Русланом Белым, и он сказал, что двойной вход лучше убрать. Он не оправдал себя.

    1. Лифанов Валентин (автор)

      Тут надо уже смотреть глубже, всем кому делал не жалуются на двойной вход, да и я не совсем понимаю как он мешает индексации, посмотрите тему и установленные плагины, так же файл htaccess, роботс и прогнать антивирусом.

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

86 queries in 0,173 seconds.