Как защитить сайт на WordPress с помощью .htaccess?

WordPress - .htaccess защита

  Защита вордпресс с помощью .htaccess

Это небольшая статья в продолжение WP-темы. В предыдущей рассматривалось создание правильного Robots.txt для WordPress, а сейчас опишу простейший способ защитить ваш вордпресс-сайт и одновременно позабавиться над взломщиками.

Всё основано на таком методе: называем стандартный файл wp-login.php любым другим именем, и в результате потенциальный взломщик попадает либо на страницу “Not Found” (при обращении к site.ru/wp-admin/), либо получает т.н. циклическую переадресацию (если обращается к site.ru/wp-login.php).

Если же к этому всему добавить пару штрихов (точнее, всего один) в файле .htaccess, то можно отправить взломщика по абсолютно любому URL + избавить свой сервер от необходимости “терпеть” эту циклическую переадресацию.

О циклической переадресации браузер говорит примерно так:

WordPress - циклическая переадресация

  Циклическая переадресация в WordPress

Защита WordPress при помощи .htaccess

Сперва рекомендую прочитать описание того самого метода с переименованием wp-login.php: защита входа в админку WordPress (чтоб всё сделать правильно).

Далее:

  1. находим в корневом каталоге своего сайта файл .htaccess (он там точно есть);
  2. добавляем в него такую строчку (можно в самый конец): Redirect 301 /wp-login.php любой URL-адрес

В результате человек или бот, который перейдёт по адресу http://site.ru/wp-login.php или http://site.ru/wp-admin/ сразу же попадёт на тот URL, который вы укажете в этой строчке (посредством 301-го редиректа).

URL может быть как внутренней, так и внешней ссылкой. Так что можно отправить посетителя на какую-нибудь страницу своего сайта, на Яндекс или какой-либо “грязный” сайт :). Например:

Redirect 301 /wp-login.php http://my-site.ru/page.html – переадресуем на страницу своего сайта,
Redirect 301 /wp-login.php http://yandex.ru – отправляем на Яндекс.

Переадресация в .htaccess на внешний ресурс полезна тем, что в случае автоматического подбора пароля к вашей админке с помощью программы, запросы этой программы мы просто отправим на другой сайт (тот же Яндекс). Т.е. наш сервер уже не будет мучаться от потока запросов (иначе получится что-то вроде DoS-атаки).

Ну а если после защиты WordPress с использованием .htaccess адрес вашей админки найдут (чудесным образом) – посмотрите, как сменить логин для входа в WP, чтобы взломщикам было тяжелее.. ;)

web-ru.net - всё о продвижении сайтов
Случайные публикации:
  • Как увеличить посещаемость сайта бесплатно? Используем Яндекс.Метрику!Как увеличить посещаемость сайта бесплатно? Используем Яндекс.Метрику!Наверное, уже почти каждый вебмастер слыхал о том, что Яндекс обещ...
  • Что такое зеркало сайта?Что такое зеркало сайта?В предыдущей статье про настройку Robots.txt затронул момент указания главно...
  • Что такое релевантность поиска, индекс поисковой системы и ранжирование?Что такое релевантность поиска, индекс поисковой системы и ранжирование?...ричём одна из них будет релевантнее. Аналогом книги в Интернете является,
  • SEO-аудит сайта на sites.google. ВидеоSEO-аудит сайта на sites.google. ВидеоВ данном SEO-аудите - проект, созданный на сервисе sites.google. Верны...
  • Как скачать и установить Денвер (Denwer) на локальный компьютер и запустить сайт. Видео урокКак скачать и установить Денвер (Denwer) на локальный компьютер и запустить сайт. Видео урок...сайта - установка на компьютере - подготовка файлов сайта и запуск этого
Оставьте комментарий:
Отзывов всего: 12
Через сайт Через ВКонтакте Через Facebook
  1. Василий пишет:

    Спасибо Петр, займаусь этим вопросом, а то взломщиков хватает)

    Ответить
  2. hagalazgebo пишет:

    Взломщики не найдут эту стр. А как мы сами войдем в админку? %)

    Ответить
  3. Юрий пишет:

    А как тогда зайти в админ-панель? Может я чего-то не дочитал?
    ;)

    Ответить
  4. Георгий пишет:

    Спасибо за статью, Петр, пригодится в будущем. Почему не используешь target=”_blank”? Столько ссылок в тексте и все открывается в одной вкладке. Можно потерять начало. 8)

    Ответить
    • Пётр пишет:

      Георгий,
      обычно мне не нравится, когда внутренние страницы какого-либо сайта неожиданно открываются в новой вкладке (target=”_blank”).
      На мой взгляд, пользователь всегда может сделать это самостоятельно – кликнув колёсиком мышки или зажав CTRL.
      Так что на своих сайтах ссылки на отдельные страницы с target=”_blank” в основном не делаю ;)

      Ответить
  5. Анна пишет:

    Петр, спасибо огромное за такую ценную информацию!
    У нас сайт на WP, недавно решила проанализировать количество входящих/исходящих ссылок с помощью solomono. Так вот в результатах выскочили такие анкоры: купить мебель в Москве, свадебные платья, недвижимость в Москве и т.п. А сайт наш исключительно на автомобильную тематику, да еще и ориентирован преимущественно на Ставропольский край. Полезла в код и нашла запрятанный код ссылочной биржи. То есть нас взломали и стали продавать места с нашей площадки. Код удалила, написала админам этой биржи жалобу (указала логин человека, который проставил этот код). Хочу посоветовать новичкам: обращайте внимание на любые изменения, которые происходят в корневых папках на вашем хостинге – например, у файла .htaccess указано, что его меняли вчера, хотя вы этого не делали), я вот прошляпила этот момент, теперь отслеживаю :)

    Ответить
    • Пётр пишет:

      Анна, не за что =)

      нашла запрятанный код ссылочной биржи

      – распространённое явление.

      Ответить
  6. Николай пишет:

    Отличный способ! Не знал. Нужно и себе такой же сделать.

    Ответить
  7. Коля пишет:

    Хорошая статья, спасибо =)

    Ответить
сайт web-ru.net
Я не спамлю...