Защитите панель администрирования WordPress с помощью .htaccess пароля

Прочитав эту статью, вы узнаете как с помощью файла .htaccess эффективно защитить панель администрирования WordPress от хакеров и brute force атак.

Повысить безопасность своего WordPress-сайта можно, активировав защиту паролем для каталога /wp-admin и файла wp-login.php через .htaccess. После этого при входе в панель администрирования WordPress потребуется два раза вводить пароль.

Содержание

Что такое файл .htaccess?

.htaccess — это файл конфигурации, который можно использовать для настроек доступа к конкретному каталогу на сервере (например, Apache). Например, с помощью дополнительного пароля.
Чтобы создать файл .htacces, потребуется текстовый редактор, например «Блокнот».

Включение защиты каталога для /wp-admin

При входе в панель администрирования WordPress загружает файлы из подкаталога /wp-admin. Поэтому это то место, для которого стоит настроить защиту.

Если защита каталога активирована, то после нажатия кнопки входа в систему открывается дополнительное окно.

Защита каталога WordPress

В следующих разделах вы узнаете, как настроить дополнительную защиту паролем своего WordPress.

Создайте файлы .htaccess и .htpasswd

Нам также потребуется файл .htpasswd. Он будет содержать имя пользователя и пароль. Но сначала создайте файл .htaccess.

Если вы уже используете файл .htaccess для каталога /wp-admin, его нужно переписать. Также можно скачать старый файл .htaccess, добавить в него новые строки и снова загрузить.

Создание .htaccess

Создайте файл с именем .htaccess (точка важна!) на своем ПК с помощью текстового редактора.

Скопируйте приведенные ниже строки кода в файл .htaccess:

AuthType Basic
AuthName "Protected Area"
AuthUserFile /homepages/xx/xxxxxxxxx/htdocs/[Folder]/wp-admin/.htpasswd
require user [Username]

Введите путь к каталогу, в котором установлен WordPress

Теперь необходимо адаптировать скопированный код к вашей установке WordPress:

  • Символьная строка /homepages/xx/xxxxxxxxxxx/htdocs/ является примером абсолютного пути к основному каталогу.
  • Замените [Folder] на путь к каталогу с WordPress. Например, если вы установили WordPress в папку с именем «wordpress», замените «[Folder]» на wordpress. Обратите внимание на регистр вводимых символов.
  • Замените текст [Username] любым именем пользователя. Также можно указать несколько имен (через пробел), чтобы разрешить доступ нескольким пользователям.
  • Вы можете заменить строку «Protected Area» любым текстом.

Измененный файл .htaccess должен выглядеть следующим образом.

Файл.htaccess

Создайте файл .htpasswd

Создайте на своем ПК новый файл с именем .htpasswd (не забудьте про точку). Введите имя пользователя и пароль в следующем формате:

[Username]:[EncryptedPasswort]

Вы можете сгенерировать зашифрованный пароль самостоятельно. Введите в поисковик запрос «.htpasswd generieren» и вам будут предложены инструменты для генерации защищенного пароля.

Если вы предоставили доступ к каталогу нескольким пользователям, то каждый логин должен начинаться с новой строки.

Файл .htpasswd

Загрузите файлы .htaccess и .htpasswd на сервер

После того, как вы создали файлы .htaccess и .htpasswd, их нужно загрузить в каталог /wp-admin на сервере. Защита паролем активируется сразу.

Важно: загрузите эти два файла в режиме ASCII (текстовый) (соответствующая опция должна быть включена в FTP-клиенте).

Загрузка с помощью FileZilla

На примере FTP-клиента FileZilla мы опишем, как загружать необходимые файлы.

  • Запустите FileZilla.
  • Откройте панель настроек: Редактирование-Настройки и в разделе Передача-Типы файлов установите тип передачи по умолчанию — ASCII. Тип файла txt уже задан.

Загрузка с помощью FileZilla

  • Нажмите «ОК».
  • Введите учетные данные для доступа на сервер по протоколу FTP и нажмите «Подключить».
  • Загрузка с помощью FileZilla, подключение к серверу:

o Установите FTP-соединение с веб-сервером.

o Имя пользователя: ваше имя пользователя для FTP.

o Пароль: ваш пароль для FTP.

o Порт: нет необходимости указывать.

  • Найдите и откройте каталог /wp-admin (A) и скопируйте файлы .htaccess и .htpasswd с ПК в этот каталог, перетащив их с помощью мыши (B):

Выбор и загрузка файлов

Защита паролем сразу активируется. Если вы захотите ее отключить, удалите файлы .htaccess и htpasswd.

Если защита паролем не работает

Если защита паролем не работает, вот наиболее распространенные причины этого:

  • Неправильно указан путь к файлу «.htpasswd» в файле «.htaccess».
  • Имена пользователей в файлах .htaccess и .htpasswd не совпадают(с учетом регистра).
  • Вы не ввели пароль в зашифрованном виде (crypt) в файле .htpassd.
  • Вы загрузили файлы не в тот каталог (/wp-admin).
  • Вы не ввели пароль в той же зашифрованной форме в файле .htpassd.

Данная публикация представляет собой перевод статьи «Protect WordPress login (wp-admin): .htaccess password/directory protectiont» , подготовленной дружной командой проекта Интернет-технологии.ру