Na jednej z moich stron internetowych opartych o system WordPress zauważyłem, że duże obciążenie serwera generuje plik wp-login.php odpowiedzialny za logowanie użytkowników i dostęp do panelu administracyjnego. Prawdopodobnie WordPress był atakowany metodą brute-force, w której agresor próbował złamać zabezpieczenia i w ten sposób generował duże obciążenie CPU serwera. W tym poradniku pokażę Wam jak zabezpieczyć plik logowania do WordPressa i zmniejszyć obciążenie wp-login.php.
Źródło: pixabay, pixelcreatures
Zabezpieczenie WordPress przed atakiem brute-force
Skoro wiemy, że plik wp-login.php jest miejscem potencjalnych ataków powinniśmy go odpowiednio zabezpieczyć. Moglibyśmy na przykład zmienić lokalizację, lub nazwę pliku, wtedy prawdopodobnie agresor miałby spore trudności z lokalizacją formularza logowania. Innym rozwiązaniem, z którego ja skorzystałem jest założenie dodatkowego hasła na stronę z formularzem logowania z wykorzystaniem pliku .htpasswd
Na początku w katalogu na serwerze, gdzie zainstalowaliśmy WordPressa powinniśmy utworzyć plik o nazwie .htpasswd
Źródło: Źródło: W kolejnym kroku przechodzimy na stronę http://www.htaccesstools.com/htpasswd-generator/ i generujemy login, oraz hasło, za pomocą których uzyskamy dostęp do strony z formularzem logowania. Wygenerowany ciąg znaków wklejamy do wcześniej utworzonego pliku .htpasswd
Źródło: Źródło: W dalszej części na serwerze odnajdujemy plik .htaccess (w katalogu z zainstalowanym WP) – a jeżeli go nie ma, to należy go utworzyć.
Do pliku .htaccess wklejamy następujący fragment kodu:
<Files wp-login.php> AuthName "Restricted Area" AuthType Basic AuthUserFile /home/domains/public_html/wordpress/.htpasswd require valid-user </Files> ErrorDocument 401 "Denied" Errordocument 403 "Denied"
Bardzo ważne – należy zmodyfikować ścieżkę „/home/domains/public_html/wordpress/.htpasswd”, która wskazuje plik .htpasswd
Zadaniem powyższego fragmentu kodu dodanego do pliku .htaccess jest zablokowanie dostępu do pliku wp-login.php, a dokładniej mówiąc po przejściu na stronę z formularzem logowania wyskoczy monit o podanie hasła i loginu, który wcześniej wygenerowaliśmy.
Zabezpieczenie WordPressa przed atakiem brute-force nie jest zbyt skomplikowane, a dodatkowo znacznie odciąży zużycie zasobów serwera. Jeżeli znacie inne sposoby, dzięki którym zabezpieczacie swojego WP to chętnie o nich przeczytam w komentarzach 😉
Na indywidualne życzenie Klienta odpowiednie materiałу doo stworzenia wymarzonej tapicerki sprowadzam z
różnych stron świata. Ⅾo renowacji zawsze używam ekologicznych, naturalnyh
skór. Proponuję kompleksowy zakres ᥙѕług tapicerskich dla
zastosowań motoryzacyjnych – oferuję tapicerowanie dla aut osobowych, ⅽіężarowych, przyczep
kempingowych, autobusóᴡ,…