Как защитить сайт на WordPress с помощью .htaccess?

WordPress - .htaccess защита

  Защита вордпресс с помощью .htaccess

Это небольшая статья в продолжение WP-темы. В предыдущей рассматривалось создание правильного Robots.txt для WordPress, а сейчас опишу простейший способ защитить ваш вордпресс-сайт и одновременно позабавиться над взломщиками.

Всё основано на таком методе: называем стандартный файл wp-login.php любым другим именем, и в результате потенциальный взломщик попадает либо на страницу «Not Found» (при обращении к site.ru/wp-admin/), либо получает т.н. циклическую переадресацию (если обращается к site.ru/wp-login.php).

Если же к этому всему добавить пару штрихов (точнее, всего один) в файле .htaccess, то можно отправить взломщика по абсолютно любому URL + избавить свой сервер от необходимости «терпеть» эту циклическую переадресацию.

О циклической переадресации браузер говорит примерно так:

WordPress - циклическая переадресация

  Циклическая переадресация в WordPress

Защита WordPress при помощи .htaccess

Сперва рекомендую прочитать описание того самого метода с переименованием wp-login.php: защита входа в админку WordPress (чтоб всё сделать правильно).

Далее:

  1. находим в корневом каталоге своего сайта файл .htaccess (он там точно есть);
  2. добавляем в него такую строчку (можно в самый конец): Redirect 301 /wp-login.php любой URL-адрес

В результате человек или бот, который перейдёт по адресу http://site.ru/wp-login.php или http://site.ru/wp-admin/ сразу же попадёт на тот URL, который вы укажете в этой строчке (посредством 301-го редиректа).

URL может быть как внутренней, так и внешней ссылкой. Так что можно отправить посетителя на какую-нибудь страницу своего сайта, на Яндекс или какой-либо «грязный» сайт :). Например:

Redirect 301 /wp-login.php http://my-site.ru/page.html — переадресуем на страницу своего сайта,
Redirect 301 /wp-login.php http://yandex.ru — отправляем на Яндекс.

Переадресация в .htaccess на внешний ресурс полезна тем, что в случае автоматического подбора пароля к вашей админке с помощью программы, запросы этой программы мы просто отправим на другой сайт (тот же Яндекс). Т.е. наш сервер уже не будет мучаться от потока запросов (иначе получится что-то вроде DoS-атаки).

Ну а если после защиты WordPress с использованием .htaccess адрес вашей админки найдут (чудесным образом) — посмотрите, как сменить логин для входа в WP, чтобы взломщикам было тяжелее.. ;)

web-ru.net - всё о продвижении сайтов
Случайные публикации:
  • Защита WordPress от спама. Плагин Akismet, как получить ключ бесплатно? ВидеоурокЗащита WordPress от спама. Плагин Akismet, как получить ключ бесплатно? ВидеоурокВскоре после того, как вы создадите сайт на WordPress, его начнут си...
  • Как узнать версию WordPress и скрыть версию WP своего сайта?Как узнать версию WordPress и скрыть версию WP своего сайта?...новиться. Как узнать версию WordPress любого сайта? Во-первых, сначала нужно узнать
  • Граватар в WordPress - меняем его размер быстро и просто!Граватар в WordPress - меняем его размер быстро и просто!Совсем недавно для одного сайта, созданного на WordPress, потребовалось изм...
  • Метрика Яндекса для молодого сайта - опасно или нет?Метрика Яндекса для молодого сайта - опасно или нет?...ках, то счётчик от Гугла Google Analytics (который, как и Я.М., "докладывает" Гуглу о
  • Анализ данных по UTM-меткам в Яндекс.МетрикеАнализ данных по UTM-меткам в Яндекс.МетрикеВ предыдущей статье я описал, что такое UTM-метки и как их создавать, а сейчас...
Оставьте комментарий:
комментариев 12
Через сайт Через ВКонтакте Через Facebook
  1. Василий:

    Спасибо Петр, займаусь этим вопросом, а то взломщиков хватает)

    Ответить
  2. hagalazgebo:

    Взломщики не найдут эту стр. А как мы сами войдем в админку? %)

    Ответить
  3. Юрий:

    А как тогда зайти в админ-панель? Может я чего-то не дочитал?
    ;)

    Ответить
  4. Георгий:

    Спасибо за статью, Петр, пригодится в будущем. Почему не используешь target=»_blank»? Столько ссылок в тексте и все открывается в одной вкладке. Можно потерять начало. 8)

    Ответить
    • Пётр:

      Георгий,
      обычно мне не нравится, когда внутренние страницы какого-либо сайта неожиданно открываются в новой вкладке (target=”_blank”).
      На мой взгляд, пользователь всегда может сделать это самостоятельно — кликнув колёсиком мышки или зажав CTRL.
      Так что на своих сайтах ссылки на отдельные страницы с target=”_blank” в основном не делаю ;)

      Ответить
  5. Анна:

    Петр, спасибо огромное за такую ценную информацию!
    У нас сайт на WP, недавно решила проанализировать количество входящих/исходящих ссылок с помощью solomono. Так вот в результатах выскочили такие анкоры: купить мебель в Москве, свадебные платья, недвижимость в Москве и т.п. А сайт наш исключительно на автомобильную тематику, да еще и ориентирован преимущественно на Ставропольский край. Полезла в код и нашла запрятанный код ссылочной биржи. То есть нас взломали и стали продавать места с нашей площадки. Код удалила, написала админам этой биржи жалобу (указала логин человека, который проставил этот код). Хочу посоветовать новичкам: обращайте внимание на любые изменения, которые происходят в корневых папках на вашем хостинге — например, у файла .htaccess указано, что его меняли вчера, хотя вы этого не делали), я вот прошляпила этот момент, теперь отслеживаю :)

    Ответить
    • Пётр:

      Анна, не за что =)

      нашла запрятанный код ссылочной биржи

      — распространённое явление.

      Ответить
  6. Николай:

    Отличный способ! Не знал. Нужно и себе такой же сделать.

    Ответить
  7. Коля:

    Хорошая статья, спасибо =)

    Ответить
сайт web-ru.net
Я не спамлю...