Как защитить сайт на WordPress с помощью .htaccess?

WordPress - .htaccess защита

  Защита вордпресс с помощью .htaccess

Это небольшая статья в продолжение WP-темы. В предыдущей рассматривалось создание правильного Robots.txt для WordPress, а сейчас опишу простейший способ защитить ваш вордпресс-сайт и одновременно позабавиться над взломщиками.

Всё основано на таком методе: называем стандартный файл wp-login.php любым другим именем, и в результате потенциальный взломщик попадает либо на страницу «Not Found» (при обращении к site.ru/wp-admin/), либо получает т.н. циклическую переадресацию (если обращается к site.ru/wp-login.php).

Если же к этому всему добавить пару штрихов (точнее, всего один) в файле .htaccess, то можно отправить взломщика по абсолютно любому URL + избавить свой сервер от необходимости «терпеть» эту циклическую переадресацию.

О циклической переадресации браузер говорит примерно так:

WordPress - циклическая переадресация

  Циклическая переадресация в WordPress

Защита WordPress при помощи .htaccess

Сперва рекомендую прочитать описание того самого метода с переименованием wp-login.php: защита входа в админку WordPress (чтоб всё сделать правильно).

Далее:

  1. находим в корневом каталоге своего сайта файл .htaccess (он там точно есть);
  2. добавляем в него такую строчку (можно в самый конец): Redirect 301 /wp-login.php любой URL-адрес

В результате человек или бот, который перейдёт по адресу http://site.ru/wp-login.php или http://site.ru/wp-admin/ сразу же попадёт на тот URL, который вы укажете в этой строчке (посредством 301-го редиректа).

URL может быть как внутренней, так и внешней ссылкой. Так что можно отправить посетителя на какую-нибудь страницу своего сайта, на Яндекс или какой-либо «грязный» сайт :). Например:

Redirect 301 /wp-login.php http://my-site.ru/page.html — переадресуем на страницу своего сайта,
Redirect 301 /wp-login.php http://yandex.ru — отправляем на Яндекс.

Переадресация в .htaccess на внешний ресурс полезна тем, что в случае автоматического подбора пароля к вашей админке с помощью программы, запросы этой программы мы просто отправим на другой сайт (тот же Яндекс). Т.е. наш сервер уже не будет мучаться от потока запросов (иначе получится что-то вроде DoS-атаки).

Ну а если после защиты WordPress с использованием .htaccess адрес вашей админки найдут (чудесным образом) — посмотрите, как сменить логин для входа в WP, чтобы взломщикам было тяжелее.. ;)

web-ru.net - всё о продвижении сайтов
Случайные публикации:
  • Доменная зона и ранжированиеДоменная зона и ранжированиеНередко в интернете можно встретить разговоры о том, что сайты в доменной зоне...
  • Как повысить кликабельность сайта в выдаче Яндекса?Как повысить кликабельность сайта в выдаче Яндекса?Простейший способ повышения кликабельности сайта (CTR), о котором многие...
  • Сервис Dropbox - первое облачное хранилище данных. Обзор и регистрация на Dropbox.comСервис Dropbox - первое облачное хранилище данных. Обзор и регистрация на Dropbox.comВ последнее время меня что-то "потянуло" исследовать различные сер...
  • За что могут удалить сайт из каталога Rambler? За что могут удалить сайт из каталога Rambler? ...ить" тему, связанную с каталогом и рейтингом Rambler Top100. Ранее в двух
  • Поведенческие факторы поисковых систем. Как улучшить ПФ и в чём суть?Поведенческие факторы поисковых систем. Как улучшить ПФ и в чём суть?...зированности контента, наличия "жирных" ссылок и т.п. На мой взгляд, это хорошо :).
Оставьте комментарий:
комментариев 12
Через сайт Через ВКонтакте Через Facebook
  1. Василий:

    Спасибо Петр, займаусь этим вопросом, а то взломщиков хватает)

    Ответить
  2. hagalazgebo:

    Взломщики не найдут эту стр. А как мы сами войдем в админку? %)

    Ответить
  3. Юрий:

    А как тогда зайти в админ-панель? Может я чего-то не дочитал?
    ;)

    Ответить
  4. Георгий:

    Спасибо за статью, Петр, пригодится в будущем. Почему не используешь target=»_blank»? Столько ссылок в тексте и все открывается в одной вкладке. Можно потерять начало. 8)

    Ответить
    • Пётр:

      Георгий,
      обычно мне не нравится, когда внутренние страницы какого-либо сайта неожиданно открываются в новой вкладке (target=”_blank”).
      На мой взгляд, пользователь всегда может сделать это самостоятельно — кликнув колёсиком мышки или зажав CTRL.
      Так что на своих сайтах ссылки на отдельные страницы с target=”_blank” в основном не делаю ;)

      Ответить
  5. Анна:

    Петр, спасибо огромное за такую ценную информацию!
    У нас сайт на WP, недавно решила проанализировать количество входящих/исходящих ссылок с помощью solomono. Так вот в результатах выскочили такие анкоры: купить мебель в Москве, свадебные платья, недвижимость в Москве и т.п. А сайт наш исключительно на автомобильную тематику, да еще и ориентирован преимущественно на Ставропольский край. Полезла в код и нашла запрятанный код ссылочной биржи. То есть нас взломали и стали продавать места с нашей площадки. Код удалила, написала админам этой биржи жалобу (указала логин человека, который проставил этот код). Хочу посоветовать новичкам: обращайте внимание на любые изменения, которые происходят в корневых папках на вашем хостинге — например, у файла .htaccess указано, что его меняли вчера, хотя вы этого не делали), я вот прошляпила этот момент, теперь отслеживаю :)

    Ответить
    • Пётр:

      Анна, не за что =)

      нашла запрятанный код ссылочной биржи

      — распространённое явление.

      Ответить
  6. Николай:

    Отличный способ! Не знал. Нужно и себе такой же сделать.

    Ответить
  7. Коля:

    Хорошая статья, спасибо =)

    Ответить
сайт web-ru.net
Я не спамлю...