Bảo vệ Bảng quản trị WordPress của bạn khỏi tin tặc với .htaccess
Nếu bạn đang sử dụng WordPress làm nền tảng đằng sau blog hoặc trang web của mình, bạn có thể biết rằng đã có rất nhiều lỗ hổng bảo mật, không chỉ trong chính phần mềm, mà cả trong các plugin. Trước những vấn đề này, chúng tôi sẽ xem xét cách ngăn chặn các nỗ lực hack bằng cách khóa thư mục quản trị của bạn.
Máy chủ web Apache có một cơ chế tích hợp cho phép bạn gán mật khẩu cần thiết cho một thư mục, tách biệt với mật khẩu WordPress của bạn.
Mẹo bảo mật blog nhanh
Bảo mật là đủ quan trọng mà tôi cảm thấy cần phải bao gồm một số mẹo bổ sung ở đây. Đây không phải là một danh sách đầy đủ, nhưng dù sao bạn cũng nên xem xét chúng.
- Đảm bảo bạn đang chạy phiên bản mới nhất của WordPress và tất cả các plugin của bạn.
- Bạn nên xem xét đăng ký vào BlogSecurity.net, một blog cố gắng đưa tin tức bảo mật về các nền tảng blog.
- Đảm bảo rằng quyền truy cập tệp của bạn được đặt chính xác theo nguyên tắc của WordPress.
- Đảm bảo bạn đang sử dụng mật khẩu khó khăn cho tất cả các tài khoản.
- Đảm bảo rằng bạn đang sao lưu toàn bộ cơ sở dữ liệu và cài đặt WordPress của mình.
- Khóa thư mục quản trị của bạn với các quy tắc .htaccess (được đề cập ở đây)
Gán mật khẩu cho thư mục wp-admin bằng tay
Tạo một tệp có tên .htaccess trong thư mục wp-admin của bạn và thêm các nội dung sau:
AuthName Giới hạn khu vực Giới hạn
AuthType cơ bản
AuthUserFile /var/full/web/path/.htpasswd
AuthgroupFile / dev / null
yêu cầu người dùng hợp lệ
Bạn sẽ cần điều chỉnh dòng AuthUserFile để sử dụng đường dẫn đầy đủ đến tệp .htpasswd mà chúng tôi sẽ tạo trong bước tiếp theo. Bạn có thể tìm thấy đường dẫn đầy đủ bằng cách sử dụng pwd lệnh từ dấu nhắc shell.
Tiếp theo bạn sẽ cần sử dụng tiện ích dòng lệnh htpasswd để tạo tệp mật khẩu. Tôi cũng khuyên bạn nên sử dụng tài khoản người dùng và mật khẩu khác với việc bạn sử dụng để cài đặt WordPress.
$ htpasswd -c .htpasswd tên người dùng
Mật khẩu mới:
Gõ lại mật khẩu mới:
Thêm mật khẩu cho tên người dùng
Bạn sẽ muốn đảm bảo rằng bạn đang ở trong thư mục được chỉ định bởi AuthUserFile và thay đổi tên my myernameername thành một cái gì đó duy nhất cho trang web của bạn. Điều này sẽ tạo ra một tệp có nội dung tương tự như sau:
tên người dùng: aJztXHCknKJ3.
Tại thời điểm này, bạn sẽ được nhắc nhập mật khẩu khi bạn điều hướng đến bảng quản trị WordPress của mình. Bạn sẽ nhận thấy rằng khu vực giới hạn của khu vực đó là văn bản từ tệp .htaccess, có thể thay đổi thành bất kỳ thứ gì khác.
Nếu bạn gặp lỗi máy chủ, có lẽ bạn nên xóa tệp .htaccess và bắt đầu lại.
Cuối cùng, bạn nên đảm bảo rằng bạn xóa quyền ghi vào cả hai tệp bằng lệnh chmod dưới dạng một lớp bảo mật nữa.
chmod 444 .htaccess
chmod 444 .htpasswd
.Trình tạo tập tin mật khẩu htaccess
Có một công cụ tuyệt vời từ Dynamicdrive sẽ làm tất cả công việc khó khăn để tạo tệp cho bạn. Điều này đặc biệt hữu ích nếu bạn không có quyền truy cập shell vào máy chủ của mình, vì bạn chỉ có thể tải lên các tệp qua ứng dụng khách FTP / SFTP của mình.
http://tools.dynamicdrive.com/password/
Bạn vẫn nên đảm bảo rằng bạn xóa quyền truy cập ghi sau khi các tệp được tải lên.