Как защитить сайт на WordPress с помощью .htaccess?

WordPress - .htaccess защита

  Защита вордпресс с помощью .htaccess

Это небольшая статья в продолжение WP-темы. В предыдущей рассматривалось создание правильного Robots.txt для WordPress, а сейчас опишу простейший способ защитить ваш вордпресс-сайт и одновременно позабавиться над взломщиками.

Всё основано на таком методе: называем стандартный файл wp-login.php любым другим именем, и в результате потенциальный взломщик попадает либо на страницу «Not Found» (при обращении к site.ru/wp-admin/), либо получает т.н. циклическую переадресацию (если обращается к site.ru/wp-login.php).

Если же к этому всему добавить пару штрихов (точнее, всего один) в файле .htaccess, то можно отправить взломщика по абсолютно любому URL + избавить свой сервер от необходимости «терпеть» эту циклическую переадресацию.

О циклической переадресации браузер говорит примерно так:

WordPress - циклическая переадресация

  Циклическая переадресация в WordPress

Защита WordPress при помощи .htaccess

Сперва рекомендую прочитать описание того самого метода с переименованием wp-login.php: защита входа в админку WordPress (чтоб всё сделать правильно).

Далее:

  1. находим в корневом каталоге своего сайта файл .htaccess (он там точно есть);
  2. добавляем в него такую строчку (можно в самый конец): Redirect 301 /wp-login.php любой URL-адрес

В результате человек или бот, который перейдёт по адресу http://site.ru/wp-login.php или http://site.ru/wp-admin/ сразу же попадёт на тот URL, который вы укажете в этой строчке (посредством 301-го редиректа).

URL может быть как внутренней, так и внешней ссылкой. Так что можно отправить посетителя на какую-нибудь страницу своего сайта, на Яндекс или какой-либо «грязный» сайт :). Например:

Redirect 301 /wp-login.php http://my-site.ru/page.html — переадресуем на страницу своего сайта,
Redirect 301 /wp-login.php http://yandex.ru — отправляем на Яндекс.

Переадресация в .htaccess на внешний ресурс полезна тем, что в случае автоматического подбора пароля к вашей админке с помощью программы, запросы этой программы мы просто отправим на другой сайт (тот же Яндекс). Т.е. наш сервер уже не будет мучаться от потока запросов (иначе получится что-то вроде DoS-атаки).

Ну а если после защиты WordPress с использованием .htaccess адрес вашей админки найдут (чудесным образом) — посмотрите, как сменить логин для входа в WP, чтобы взломщикам было тяжелее.. ;)

1 Star2 Stars3 Stars4 Stars5 Stars (1 оценок, среднее: 5,00 из 5)
Loading...
Случайные публикации:
  • Как сделать 301 редирект в WordPress? Плагин Permalinks MigrationКак сделать 301 редирект в WordPress? Плагин Permalinks MigrationНедавно на одном моём старом сайте, созданном на движке WordPress...
  • Какой хостинг выбрать? На что обратить внимание, выбирая хостинг для сайта (мощность сервера, технологии, цены, uptime...)Какой хостинг выбрать? На что обратить внимание, выбирая хостинг для сайта (мощность сервера, технологии, цены, uptime...)...огично вашему домашнему компьютеру - если нагрузка велика, то компьютер виснет.
  • Что дают социальные ссылкиЧто дают социальные ссылки...будет зависеть от тематики группы и количества ее подписчиков.
  • Как включить субтитры на Youtube и посмотреть их? Автоматические титры в Ютуб – это забавноКак включить субтитры на Youtube и посмотреть их? Автоматические титры в Ютуб – это забавноОтносительно недавно всем известный видеохостинг Youtube начал са...
  • Конкурс Летняя жара на $100K от WelcomePartnersКонкурс Летняя жара на $100K от WelcomePartnersПоловина лета пролетела в футбольной лихорадке. Финал вчера выиграли фр...
Оставьте комментарий:
комментариев 12
  1. Василий:

    Спасибо Петр, займаусь этим вопросом, а то взломщиков хватает)

    Ответить
  2. hagalazgebo:

    Взломщики не найдут эту стр. А как мы сами войдем в админку? %)

    Ответить
  3. Юрий:

    А как тогда зайти в админ-панель? Может я чего-то не дочитал?
    ;)

    Ответить
  4. Георгий:

    Спасибо за статью, Петр, пригодится в будущем. Почему не используешь target=»_blank»? Столько ссылок в тексте и все открывается в одной вкладке. Можно потерять начало. 8)

    Ответить
    • Пётр:

      Георгий,
      обычно мне не нравится, когда внутренние страницы какого-либо сайта неожиданно открываются в новой вкладке (target=”_blank”).
      На мой взгляд, пользователь всегда может сделать это самостоятельно — кликнув колёсиком мышки или зажав CTRL.
      Так что на своих сайтах ссылки на отдельные страницы с target=”_blank” в основном не делаю ;)

      Ответить
  5. Анна:

    Петр, спасибо огромное за такую ценную информацию!
    У нас сайт на WP, недавно решила проанализировать количество входящих/исходящих ссылок с помощью solomono. Так вот в результатах выскочили такие анкоры: купить мебель в Москве, свадебные платья, недвижимость в Москве и т.п. А сайт наш исключительно на автомобильную тематику, да еще и ориентирован преимущественно на Ставропольский край. Полезла в код и нашла запрятанный код ссылочной биржи. То есть нас взломали и стали продавать места с нашей площадки. Код удалила, написала админам этой биржи жалобу (указала логин человека, который проставил этот код). Хочу посоветовать новичкам: обращайте внимание на любые изменения, которые происходят в корневых папках на вашем хостинге — например, у файла .htaccess указано, что его меняли вчера, хотя вы этого не делали), я вот прошляпила этот момент, теперь отслеживаю :)

    Ответить
    • Пётр:

      Анна, не за что =)

      нашла запрятанный код ссылочной биржи

      — распространённое явление.

      Ответить
  6. Николай:

    Отличный способ! Не знал. Нужно и себе такой же сделать.

    Ответить
  7. Коля:

    Хорошая статья, спасибо =)

    Ответить
Я не спамлю...