Как защитить сайт на WordPress с помощью .htaccess?
Это небольшая статья в продолжение WP-темы. В предыдущей рассматривалось создание правильного Robots.txt для WordPress, а сейчас опишу простейший способ защитить ваш вордпресс-сайт и одновременно позабавиться над взломщиками.
Всё основано на таком методе: называем стандартный файл wp-login.php любым другим именем, и в результате потенциальный взломщик попадает либо на страницу «Not Found» (при обращении к site.ru/wp-admin/), либо получает т.н. циклическую переадресацию (если обращается к site.ru/wp-login.php).
Если же к этому всему добавить пару штрихов (точнее, всего один) в файле .htaccess, то можно отправить взломщика по абсолютно любому URL + избавить свой сервер от необходимости «терпеть» эту циклическую переадресацию.
О циклической переадресации браузер говорит примерно так:
Защита WordPress при помощи .htaccess
Сперва рекомендую прочитать описание того самого метода с переименованием wp-login.php: защита входа в админку WordPress (чтоб всё сделать правильно).
Далее:
- находим в корневом каталоге своего сайта файл .htaccess (он там точно есть);
- добавляем в него такую строчку (можно в самый конец): Redirect 301 /wp-login.php любой URL-адрес
В результате человек или бот, который перейдёт по адресу http://site.ru/wp-login.php или http://site.ru/wp-admin/ сразу же попадёт на тот URL, который вы укажете в этой строчке (посредством 301-го редиректа).
URL может быть как внутренней, так и внешней ссылкой. Так что можно отправить посетителя на какую-нибудь страницу своего сайта, на Яндекс или какой-либо «грязный» сайт Например:
Redirect 301 /wp-login.php http://my-site.ru/page.html — переадресуем на страницу своего сайта,
Redirect 301 /wp-login.php http://yandex.ru — отправляем на Яндекс.
Переадресация в .htaccess на внешний ресурс полезна тем, что в случае автоматического подбора пароля к вашей админке с помощью программы, запросы этой программы мы просто отправим на другой сайт (тот же Яндекс). Т.е. наш сервер уже не будет мучаться от потока запросов (иначе получится что-то вроде DoS-атаки).
Ну а если после защиты WordPress с использованием .htaccess адрес вашей админки найдут (чудесным образом) — посмотрите, как сменить логин для входа в WP, чтобы взломщикам было тяжелее..
- Lemonad.com обзор партнерской программы...-сетей. Тем не менее, невзирая на свой «юный возраст», проект смог впитать опыт большинства
- Как заработать деньги на своем блогеРаз вы попали на мою страницу, то я сделаю предположение – вы хотите создать...
- 12 марта 2014 - Яндекс официально отключил влияние ссылок для коммерческих запросов по Москве...тся ранжирования запросов в Московском регионе по ряду коммерческих
- Неожиданные бэклинкиВсе, кто хоть чуть-чуть знаком с SEO и продвижением сайтов или блогов, знают об о...
- РСЯ - рекламная сеть Яндекса. Profit-Partner.ru: обзор, регистрация и добавление сайта в ЦОП Яндекса. Видео...орошая поддержка а также приятные бонусы и конкурсы. Среди бонусов - покупка доменов и
Спасибо Петр, займаусь этим вопросом, а то взломщиков хватает)
Да, их хватает) Особенно для вордпресса
Взломщики не найдут эту стр. А как мы сами войдем в админку? %)
Потому-то я и рекомендовал сначала прочитать это =)
А как тогда зайти в админ-панель? Может я чего-то не дочитал?
вот
Спасибо за статью, Петр, пригодится в будущем. Почему не используешь target=»_blank»? Столько ссылок в тексте и все открывается в одной вкладке. Можно потерять начало. 8)
Георгий,
обычно мне не нравится, когда внутренние страницы какого-либо сайта неожиданно открываются в новой вкладке (target=”_blank”).
На мой взгляд, пользователь всегда может сделать это самостоятельно — кликнув колёсиком мышки или зажав CTRL.
Так что на своих сайтах ссылки на отдельные страницы с target=”_blank” в основном не делаю
Петр, спасибо огромное за такую ценную информацию!
У нас сайт на WP, недавно решила проанализировать количество входящих/исходящих ссылок с помощью solomono. Так вот в результатах выскочили такие анкоры: купить мебель в Москве, свадебные платья, недвижимость в Москве и т.п. А сайт наш исключительно на автомобильную тематику, да еще и ориентирован преимущественно на Ставропольский край. Полезла в код и нашла запрятанный код ссылочной биржи. То есть нас взломали и стали продавать места с нашей площадки. Код удалила, написала админам этой биржи жалобу (указала логин человека, который проставил этот код). Хочу посоветовать новичкам: обращайте внимание на любые изменения, которые происходят в корневых папках на вашем хостинге — например, у файла .htaccess указано, что его меняли вчера, хотя вы этого не делали), я вот прошляпила этот момент, теперь отслеживаю
Анна, не за что =)
— распространённое явление.
Отличный способ! Не знал. Нужно и себе такой же сделать.
Хорошая статья, спасибо =)