Ну что начинающие блоггеры и уже матерые, приветствую всех. Я не на шутку озаботился безопасностью сайта, и начал применять все комплексно, от входа, а дальше будет все намного круче. Но сейчас будет осуществлятся защита админки wordpress путем двойного входа, как читайте статью дальше.
Итак, о чем я говорю, вы просто попробуйте зайти ко мне в панель авторизации, ну как вы обычно делаете, вводите wp-admin в url, и заходите. Но у меня сделано по другому, моя система не пустит вас, пока вы введете предварительный логин и пароль (кстате не забудьте сделать ограничения по количеству заходов), чтобы проще было понять, вот скриншот.
Нравится такая фенечка, классно? Я вывел два метода, один через сам хостинг, а второй если нет первого, то ручками придется, но там тоже проблем не много будет. Приступим, первый метод, я разобрал на примере хостинга timeweb, потому что все мои постоянный читатели именно на нем сидят, и им будет особенно полезно.
Для начала заходим в панель тайм веба, и там находим пункт «файловый менеджер». Открывая его вы увидите все файлы на вашем хостнге, там будут несколько папок и файлы, но в них мы ковыряться не будем, все будет делаться средствами сервиса.
Мы зашли в менеджер, теперь находим папку wp-admin, выделяем ее нажатием левой кнопкой мыши (не открывая ее), а дальше смотрим скриншот и под ним описание.
- Сама папка wp-admin.
- Нажимаем на вкладку «файл».
- И выбираем «пароль на директорию».
- Далее появится еще одно мини-окно, нажимаем на галочку чекбокса «Ограничение доступа».
- Жмем ссылку «добавить нового пользователя».
- После нажатия по ссылке, вылезет еще одно окно, в нем вводим желаемые логин и пароль.
- И жмем вот на эту полосочку, для подтверждения. Это видно какой-то глюк, недоделка хостинга, надеюсь они исправят.
Не забываем сохранять данные для входа на своем компьютере в отдельный файлик.
Нам покажется последний диалог, на котором выбираем обе галочки, и закрываем его. И на этом все защита админки wordpress закончена, теперь при входе в панель вордпресса, придется в двойном формате вводить все данные, что, согласитесь, усложняет задачу. Но скажу сразу, что не каждый хостинг поддерживает данную функцию, что печалит немного.
Но для полного утверждения, спрашивайте такие вещи в поддержке, мол, а у вас есть возможность поставить на директорию логин и пароль.
С помощью файлов паролей.
Если прошлый способ не помог, то переходим к этому, можно сказать универсальному. Для начала скажу что придется маленько править код файла доступа .htaccess, но не много. Если у вас выделенный сервер на nginx, то способ не сработает, потому что все заточено под apache, но переживать не стоит 99% работают именно на апаче или как минимум в связке с ним.
Предупреждаю сразу, сайт, если не правильно прописать, может заклинить, потому что .htaccess очень капризный, либо же ваш хостинг может блокировать этот запрос, но об этом позже, в любом случае не пугайтесь.
Ладно поехали, для начала, скачивайте архив вот от сюда, теперь открывайте его и смотрим содержимое. Там четыре файла, работать будем только с тремя четвертый, для информации. Давайте сейчас все объясню, чтобы вы поняли все.
- Первый файл, собственно сам файл паролей, в него будем вставлять наши зашифрованные данные.
- Второй, этот содержит код, который мы будем вставлять в основной файл .htaccess.
- Понадобиться для определения точного пути до того мета где он располагается, позже покажу.
- А здесь находится ссылка на необходимый сервис, с помощью которого и будем облегчать работу.
Обзор провел, теперь берем файл .htpasswd и path.php и загружаем в корень сайта, я пользуюсь filezilla, смотрите на скриншот (корень значит где находятся папки wp-content, wp-admin и так далее). Пока их оставляем в покое и переходим к следующему шагу.
Теперь переходим на сайт генерации паролей, и заполняем все поля, конечно же вы прописывайте свои данные, чем сложнее тем лучше, и нажимаем на кнопку генерации.
Не волнуйтесь, сам сервис при двойном входе не будет играть никакой роли, он просто делает необходимую комбинацию.
Нас перебросило на страницу с необходимой комбинацией, обводим ее и копируем в буфер обмена, на этом общение с данным сайтом закончено, можете его закрыть.
Теперь идем обратно в filezilla, и начинаем редактировать файл .htpasswd, просто жмем на нем правой кнопкой мыши, и выбираем просмотр/правка.
У вас откроется окно редактора по умолчанию, который вы используете, у меня dreamweaver, но не суть. Изначально этот файл пустой, но в самый верх вставляем тот код, который мы копировали на сервисе генерации, и сохраняем.
А сейчас финишная прямая, вводите в браузере запрос вот такого типа http://ваш домен/path.php. И у вас откроется новая вкладка, на которой у вас будет только одна строчка, вот она будет нам нужна. Активация данного файла, показывает точное его расположение на хостинге, так что копируйте данную комбинацию куда-нибудь.
Далее надо открыть файл .htaccess скачанный у меня и ваш с хостинга. И из моего скопировать все и вставить в ваш в самый верх, но давайте лучше все опишу на снимке, так лучше будет.
- Это открытый файл из скачанных материалов, копируйте его.
- Вставляйте в самое начало после фразы #Begin Wordperss.
- Видите я заляпал надпись, сюда вставляем тот путь который определяли с помощью path.php.
- Ну и сохраняем все изменения.
Все готово, теперь при заходе нехороших людей к вам на сайт с целью взломать его, он наткнется на двойную стену авторизации.
P.S. Что озадачил я вас? Сможете сделать сами? Я думаю добрая половина кто прочтет эту статью, сделают этот двойной вход и защитит админку wordpress своего ненаглядного блога.
(1 оценок, среднее: 5,00 из 5)
Привет, Валентин. Я думаю стоит и даже нужно сделать двойной вход. Хотя бы для того, чтобы морально успокоиться и не трястись о взломанном блоге. Это я про свой маленький бложек, хотя кому он нужен.
Привет Свет. Нужен еще и как, во первых ссылки халявные, во вторых могут настроить редирект, ваши посетители просто будут уходить не зная этого, как со мной раз было. С прямых заходов ничего не происходит, а вот если с поисковика то посетители редиректились на другой сайт, оказывается негодяи прописали в .htaccess ркдирект, но об этом еще напишу. Как у тебя с исправлением ошибок?
У меня такая же хрень была раньше. Год — два назад. Прописали мобильный редирект в этот файл, а также создали в некоторых папках копию этого файла с мобильными редиректами. Потом это все исправил.
Кстати, надо будет твой метод попробовать. У меня на хостинге как раз можно запаролить директорию. Я как-то об этом и не особо задумывался. Просто у меня вход в админку по другому урлу. Поэтому особо не переживал на этот счет.))
Пробуй, может пригодится.
Все, убедил. Обязательно займусь. А ошибки сегодня ночью планирую исправлять.
Спать надо по ночам
Валентин, советуй, какой способ выбрать. Я затрудняюсь.
Андрей, если есть на хостинге данная функция, то с помощью ее, если нет, то уж через файл доступа.
Спасибо Валентин, через ТаймВеб сделал. Может теперь отпадает плагин на ограничение количества попыток доступа?
Нет, ставь обязательно, лишним не будет, он блог не грузит вообще, потому что распространяет свое действие только на админку.
Понял, оставляю
Здравствуйте, подскажите пожалуйста, каждый день, один человек заходит ко мне на сайт и пытается подобрать пароль к логину админ, после чего его ip сразу автоматически блокируется, но длиться это уже полгода и я не могу понять, как он узнаёт адрес входа в админку, если она у меня переименована, при наборе /wp-admin и /wp-login.php выдаёт ошибку. логина админ нет в помине, но он как то находит страницу авторизации, Как так?
Здравствуйте. Заблокировать можно через файл .htaccess а адрес он находит возможно из исходного кода, в шаблоне может он палится.
Друзья у меня не выходит, стр не найдена , а до этого воще 500 ошибка а тех поддержка ХОСТИЯ не помогает не могут понять в чем дело? есть варианты?
Значит ХостиЯ не поддерживает создание паролей на стороне сервера.
Добрый день, Валентин. а что делать, если у меня подобный вход на сайт уже более двух лет, и в этом месяце на сайте Search Console появилось сообщение, что на сайте требуется аунтификация и googlebot не может войти на сайт? Как в этом случае поступить, удалить двух этапный вход, или можно как-то разрешить googlebot войти на сайт? Спасибо за ответ!
Здравствуйте, двойной вход нужен только для защиты админки wp-admin, или если изменено то другой. Сканировать Гуглу внутренние страницы не надо, Гугл бот и так просканирует.
Но, в Google вебмастер пишут, что googlebot не может проиндексировать страницу из-за требования сайта авторизоваться. Также, у меня на сайте возникла ошибка «Покрытие». Я думаю, из-за этого. Я по этому поводу разговаривал с Русланом Белым, и он сказал, что двойной вход лучше убрать. Он не оправдал себя.
Тут надо уже смотреть глубже, всем кому делал не жалуются на двойной вход, да и я не совсем понимаю как он мешает индексации, посмотрите тему и установленные плагины, так же файл htaccess, роботс и прогнать антивирусом.