Как защитить сайт на WordPress с помощью .htaccess?

WordPress - .htaccess защита

  Защита вордпресс с помощью .htaccess

Это небольшая статья в продолжение WP-темы. В предыдущей рассматривалось создание правильного Robots.txt для WordPress, а сейчас опишу простейший способ защитить ваш вордпресс-сайт и одновременно позабавиться над взломщиками.

Всё основано на таком методе: называем стандартный файл wp-login.php любым другим именем, и в результате потенциальный взломщик попадает либо на страницу «Not Found» (при обращении к site.ru/wp-admin/), либо получает т.н. циклическую переадресацию (если обращается к site.ru/wp-login.php).

Если же к этому всему добавить пару штрихов (точнее, всего один) в файле .htaccess, то можно отправить взломщика по абсолютно любому URL + избавить свой сервер от необходимости «терпеть» эту циклическую переадресацию.

О циклической переадресации браузер говорит примерно так:

WordPress - циклическая переадресация

  Циклическая переадресация в WordPress

Защита WordPress при помощи .htaccess

Сперва рекомендую прочитать описание того самого метода с переименованием wp-login.php: защита входа в админку WordPress (чтоб всё сделать правильно).

Далее:

  1. находим в корневом каталоге своего сайта файл .htaccess (он там точно есть);
  2. добавляем в него такую строчку (можно в самый конец): Redirect 301 /wp-login.php любой URL-адрес

В результате человек или бот, который перейдёт по адресу http://site.ru/wp-login.php или http://site.ru/wp-admin/ сразу же попадёт на тот URL, который вы укажете в этой строчке (посредством 301-го редиректа).

URL может быть как внутренней, так и внешней ссылкой. Так что можно отправить посетителя на какую-нибудь страницу своего сайта, на Яндекс или какой-либо «грязный» сайт :). Например:

Redirect 301 /wp-login.php http://my-site.ru/page.html — переадресуем на страницу своего сайта,
Redirect 301 /wp-login.php http://yandex.ru — отправляем на Яндекс.

Переадресация в .htaccess на внешний ресурс полезна тем, что в случае автоматического подбора пароля к вашей админке с помощью программы, запросы этой программы мы просто отправим на другой сайт (тот же Яндекс). Т.е. наш сервер уже не будет мучаться от потока запросов (иначе получится что-то вроде DoS-атаки).

Ну а если после защиты WordPress с использованием .htaccess адрес вашей админки найдут (чудесным образом) — посмотрите, как сменить логин для входа в WP, чтобы взломщикам было тяжелее.. ;)

1 Star2 Stars3 Stars4 Stars5 Stars (Пока оценок нет)
Loading...

Случайные публикации:
  • Как выглядят HTML-списки в сниппетах Google и ЯндексаКак выглядят HTML-списки в сниппетах Google и Яндекса...менее, решил ею поделиться :). Вот пример того, как выглядят HTML-списки в сниппете
  • Защита WordPress от спама. Плагин Akismet, как получить ключ бесплатно? ВидеоурокЗащита WordPress от спама. Плагин Akismet, как получить ключ бесплатно? Видеоурок...ность получить внешнюю ссылку на свой сайт (указав её "под" именем комментатора).
  • Что такое SEO оптимизация сайта и продвижение в поисковых системах. Чёрно-бело-серое СЕОЧто такое SEO оптимизация сайта и продвижение в поисковых системах. Чёрно-бело-серое СЕО...Само собой, что любое искусственное воздействие на ПС расценивается этими ПС как давление
  • Шрифт GTA, скачать San AndreasШрифт GTA, скачать San Andreas...Шрифт Rage Italic Rage Italic - это шрифт из GTA Vice City.
  • Сайты-аффилиаты и аффилированность сайтов - что это такое?Сайты-аффилиаты и аффилированность сайтов - что это такое?...а он делится с ними прибылью. Например, если вы сейчас зарегистрируетесь
Оставьте комментарий:
комментариев 12
  1. Василий:

    Спасибо Петр, займаусь этим вопросом, а то взломщиков хватает)

    Ответить
  2. hagalazgebo:

    Взломщики не найдут эту стр. А как мы сами войдем в админку? %)

    Ответить
  3. Юрий:

    А как тогда зайти в админ-панель? Может я чего-то не дочитал?
    ;)

    Ответить
  4. Георгий:

    Спасибо за статью, Петр, пригодится в будущем. Почему не используешь target=»_blank»? Столько ссылок в тексте и все открывается в одной вкладке. Можно потерять начало. 8)

    Ответить
    • Пётр:

      Георгий,
      обычно мне не нравится, когда внутренние страницы какого-либо сайта неожиданно открываются в новой вкладке (target=”_blank”).
      На мой взгляд, пользователь всегда может сделать это самостоятельно — кликнув колёсиком мышки или зажав CTRL.
      Так что на своих сайтах ссылки на отдельные страницы с target=”_blank” в основном не делаю ;)

      Ответить
  5. Анна:

    Петр, спасибо огромное за такую ценную информацию!
    У нас сайт на WP, недавно решила проанализировать количество входящих/исходящих ссылок с помощью solomono. Так вот в результатах выскочили такие анкоры: купить мебель в Москве, свадебные платья, недвижимость в Москве и т.п. А сайт наш исключительно на автомобильную тематику, да еще и ориентирован преимущественно на Ставропольский край. Полезла в код и нашла запрятанный код ссылочной биржи. То есть нас взломали и стали продавать места с нашей площадки. Код удалила, написала админам этой биржи жалобу (указала логин человека, который проставил этот код). Хочу посоветовать новичкам: обращайте внимание на любые изменения, которые происходят в корневых папках на вашем хостинге — например, у файла .htaccess указано, что его меняли вчера, хотя вы этого не делали), я вот прошляпила этот момент, теперь отслеживаю :)

    Ответить
    • Пётр:

      Анна, не за что =)

      нашла запрятанный код ссылочной биржи

      — распространённое явление.

      Ответить
  6. Николай:

    Отличный способ! Не знал. Нужно и себе такой же сделать.

    Ответить
  7. Коля:

    Хорошая статья, спасибо =)

    Ответить
Я не спамлю...