Защита админки wordpress с помощью двойного входа

СОДЕРЖАНИЕ

08 февраля 2019

С помощью файлов паролей.

защищаем вордпресс
Ну что начинающие блоггеры и уже матерые, приветствую всех. Я не на шутку озаботился безопасностью сайта, и начал применять все комплексно, от входа, а дальше будет все намного круче. Но сейчас будет осуществлятся защита админки wordpress путем двойного входа, как читайте статью дальше.

Итак, о чем я говорю, вы просто попробуйте зайти ко мне в панель авторизации, ну как вы обычно делаете, вводите wp-admin в url, и заходите. Но у меня сделано по другому, моя система не пустит вас, пока вы введете предварительный логин и пароль (кстате не забудьте сделать ограничения по количеству заходов), чтобы проще было понять, вот скриншот.

Нравится такая фенечка, классно? Я вывел два метода, один через сам хостинг, а второй если нет первого, то ручками придется, но там тоже проблем не много будет. Приступим, первый метод, я разобрал на примере хостинга timeweb, потому что все мои постоянный читатели именно на нем сидят, и им будет особенно полезно.

Для начала заходим в панель тайм веба, и там находим пункт “файловый менеджер”. Открывая его вы увидите все файлы на вашем хостнге, там будут несколько папок и файлы, но в них мы ковыряться не будем, все будет делаться средствами сервиса.

Мы зашли в менеджер, теперь находим папку wp-admin, выделяем ее нажатием левой кнопкой мыши (не открывая ее), а дальше смотрим скриншот и под ним описание.

ставим пароль на директорию

Сама папка wp-admin.
Нажимаем на вкладку “файл”.
И выбираем “пароль на директорию”.

конечные настройки двойного входа на сайт

Далее появится еще одно мини-окно, нажимаем на галочку чекбокса “Ограничение доступа”.
Жмем ссылку “добавить нового пользователя”.
После нажатия по ссылке, вылезет еще одно окно, в нем вводим желаемые логин и пароль.
И жмем вот на эту полосочку, для подтверждения. Это видно какой-то глюк, недоделка хостинга, надеюсь они исправят.

Не забываем сохранять данные для входа на своем компьютере в отдельный файлик.

активируем нового пользователя Нам покажется последний диалог, на котором выбираем обе галочки, и закрываем его. И на этом все защита админки wordpress закончена, теперь при входе в панель вордпресса, придется в двойном формате вводить все данные, что, согласитесь, усложняет задачу. Но скажу сразу, что не каждый хостинг поддерживает данную функцию, что печалит немного.

Но для полного утверждения, спрашивайте такие вещи в поддержке, мол, а у вас есть возможность поставить на директорию логин и пароль.

С помощью файлов паролей.

Если прошлый способ не помог, то переходим к этому, можно сказать универсальному. Для начала скажу что придется маленько править код файла доступа .htaccess, но не много. Если у вас выделенный сервер на nginx, то способ не сработает, потому что все заточено под apache, но переживать не стоит 99% работают именно на апаче или как минимум в связке с ним.

Предупреждаю сразу, сайт, если не правильно прописать, может заклинить, потому что .htaccess очень капризный, либо же ваш хостинг может блокировать этот запрос, но об этом позже, в любом случае не пугайтесь.

Ладно поехали, для начала, скачивайте архив вот от сюда, теперь открывайте его и смотрим содержимое. Там четыре файла, работать будем только с тремя четвертый, для информации. Давайте сейчас все объясню, чтобы вы поняли все.
скачанные файлы для защиты админки вордпресса

Первый файл, собственно сам файл паролей, в него будем вставлять наши зашифрованные данные.
Второй, этот содержит код, который мы будем вставлять в основной файл .htaccess.
Понадобиться для определения точного пути до того мета где он располагается, позже покажу.
А здесь находится ссылка на необходимый сервис, с помощью которого и будем облегчать работу.

Обзор провел, теперь берем файл .htpasswd и path.php и загружаем в корень сайта, я пользуюсь filezilla, смотрите на скриншот (корень значит где находятся папки wp-content, wp-admin и так далее). Пока их оставляем в покое и переходим к следующему шагу. куда кидать файлы

Теперь переходим на сайт генерации паролей, и заполняем все поля, конечно же вы прописывайте свои данные, чем сложнее тем лучше, и нажимаем на кнопку генерации.
сервис генерации паролей для защиты и двойного входа

Не волнуйтесь, сам сервис при двойном входе не будет играть никакой роли, он просто делает необходимую комбинацию.

Нас перебросило на страницу с необходимой комбинацией, обводим ее и копируем в буфер обмена, на этом общение с данным сайтом закончено, можете его закрыть. шифрованный код паролей

Теперь идем обратно в filezilla, и начинаем редактировать файл .htpasswd, просто жмем на нем правой кнопкой мыши, и выбираем просмотр/правка.

редактируем файл паролей

У вас откроется окно редактора по умолчанию, который вы используете, у меня dreamweaver, но не суть. Изначально этот файл пустой, но в самый верх вставляем тот код, который мы копировали на сервисе генерации, и сохраняем.
вставляем шифр

А сейчас финишная прямая, вводите в браузере запрос вот такого типа http://ваш домен/path.php. И у вас откроется новая вкладка, на которой у вас будет только одна строчка, вот она будет нам нужна. Активация данного файла, показывает точное его расположение на хостинге, так что копируйте данную комбинацию куда-нибудь.
путь до path.php

Далее надо открыть файл .htaccess скачанный у меня и ваш с хостинга. И из моего скопировать все и вставить в ваш в самый верх, но давайте лучше все опишу на снимке, так лучше будет.

Это открытый файл из скачанных материалов, копируйте его.
Вставляйте в самое начало после фразы #Begin Wordperss.
Видите я заляпал надпись, сюда вставляем тот путь который определяли с помощью path.php.
Ну и сохраняем все изменения.

Все готово, теперь при заходе нехороших людей к вам на сайт с целью взломать его, он наткнется на двойную стену авторизации.

P.S. Что озадачил я вас? Сможете сделать сами? Я думаю добрая половина кто прочтет эту статью, сделают этот двойной вход и защитит админку wordpress своего ненаглядного блога.

Автор: Лифанов Валентин

Рубрика: Защита WP

Комментировать

http://login-slog.ru/ Светлана
Привет, Валентин. Я думаю стоит и даже нужно сделать двойной вход. Хотя бы для того, чтобы морально успокоиться и не трястись о взломанном блоге. Это я про свой маленький бложек, хотя кому он нужен.
- https://wpsovet.ru Лифанов Валентин
  Привет Свет. Нужен еще и как, во первых ссылки халявные, во вторых могут настроить редирект, ваши посетители просто будут уходить не зная этого, как со мной раз было. С прямых заходов ничего не происходит, а вот если с поисковика то посетители редиректились на другой сайт, оказывается негодяи прописали в .htaccess ркдирект, но об этом еще напишу. Как у тебя с исправлением ошибок?
  - http://alpha-byte.ru/ Сергей Стеклов
    У меня такая же хрень была раньше. Год – два назад. Прописали мобильный редирект в этот файл, а также создали в некоторых папках копию этого файла с мобильными редиректами. Потом это все исправил.
    Кстати, надо будет твой метод попробовать. У меня на хостинге как раз можно запаролить директорию. Я как-то об этом и не особо задумывался. Просто у меня вход в админку по другому урлу. Поэтому особо не переживал на этот счет.))
    - https://wpsovet.ru Лифанов Валентин
      Пробуй, может пригодится.
  - http://login-slog.ru/ Светлана
    Все, убедил. Обязательно займусь. А ошибки сегодня ночью планирую исправлять.
    - https://wpsovet.ru Лифанов Валентин
      Спать надо по ночам
http://usvinternet.ru/ Андрей
Валентин, советуй, какой способ выбрать. Я затрудняюсь.
- https://wpsovet.ru Лифанов Валентин
  Андрей, если есть на хостинге данная функция, то с помощью ее, если нет, то уж через файл доступа.
http://usvinternet.ru/ Андрей
Спасибо Валентин, через ТаймВеб сделал. Может теперь отпадает плагин на ограничение количества попыток доступа?
- https://wpsovet.ru Лифанов Валентин
  Нет, ставь обязательно, лишним не будет, он блог не грузит вообще, потому что распространяет свое действие только на админку.
http://usvinternet.ru/ Андрей
Понял, оставляю
Мария
Здравствуйте, подскажите пожалуйста, каждый день, один человек заходит ко мне на сайт и пытается подобрать пароль к логину админ, после чего его ip сразу автоматически блокируется, но длиться это уже полгода и я не могу понять, как он узнаёт адрес входа в админку, если она у меня переименована, при наборе /wp-admin и /wp-login.php выдаёт ошибку. логина админ нет в помине, но он как то находит страницу авторизации, Как так?
- https://wpsovet.ru Лифанов Валентин
  Здравствуйте. Заблокировать можно через файл .htaccess а адрес он находит возможно из исходного кода, в шаблоне может он палится.
Ed
Друзья у меня не выходит, стр не найдена , а до этого воще 500 ошибка а тех поддержка ХОСТИЯ не помогает не могут понять в чем дело? есть варианты?
- https://wpsovet.ru Лифанов Валентин
  Значит ХостиЯ не поддерживает создание паролей на стороне сервера.
https://info-kibersant.ru Андрей Зимин
Добрый день, Валентин. а что делать, если у меня подобный вход на сайт уже более двух лет, и в этом месяце на сайте Search Console появилось сообщение, что на сайте требуется аунтификация и googlebot не может войти на сайт? Как в этом случае поступить, удалить двух этапный вход, или можно как-то разрешить googlebot войти на сайт? Спасибо за ответ!
- https://wpsovet.ru Лифанов Валентин
  Здравствуйте, двойной вход нужен только для защиты админки wp-admin, или если изменено то другой. Сканировать Гуглу внутренние страницы не надо, Гугл бот и так просканирует.
https://info-kibersant.ru Андрей Зимин
Но, в Google вебмастер пишут, что googlebot не может проиндексировать страницу из-за требования сайта авторизоваться. Также, у меня на сайте возникла ошибка “Покрытие”. Я думаю, из-за этого. Я по этому поводу разговаривал с Русланом Белым, и он сказал, что двойной вход лучше убрать. Он не оправдал себя.
- https://wpsovet.ru Лифанов Валентин
  Тут надо уже смотреть глубже, всем кому делал не жалуются на двойной вход, да и я не совсем понимаю как он мешает индексации, посмотрите тему и установленные плагины, так же файл htaccess, роботс и прогнать антивирусом.