Mit tehetsz a WP-login.php támadás kivédése érdekében
A következő lépésekben bemutatjuk, hogyan tudsz biztonsági jelszavas védelmet húzni a WordPress-ed és a támadók közé. Ez segít kivédeni az ilyen – Brutal Force Attack – típusú támadásokat a jövőben.
Hogyan tudod jelszóval védeni a wp-login.php
A művelet két részből áll. Egyrészt létre kell hoznod egy jelszót a a .wpkwpadmin fájlba, majd azután aktiválni azt egy .htaccess fájlal.
1. lépés: Jelszó fájl készítése
Hozz létre egy fájlt, melynek neve legyen .wpkwpadmin és helyezd el a tárhelyeden egy olyan mappába, melyet az internet irányából nem lehet elérni. Tehát nem publikus. Például elhelyezheted a tárhelyed gyökér könyvtárában, de mindenképpen a public_html mappa fölött.
Például: : /home/felhasznalonev/.wpkwpadmin
(Ahol a felhasználónév a Directadminos, vagy cPaneles fiók neved)
Helyezz el egy felhasználónevet és egy titkosított jelszót a .wpkwpadmin fájlban a következő formában:
felhasznalonev:titkositottjelszo
Például: wpkezdoknek:$apr1$FieIHkxZ$VFtPuU5lmE1Rhu8fy426I0
(ahol a wpkezdoknek a felhasználónév és a jelszó a nagyontitkos titkosított változata.)
Jelszó generálás
Jelszó generálásához látogasd meg a http://www.htaccesstools.com/htpasswd-generator/weboldalt és használd az eszközt. A felső mezőbe írj a felhasználónevet, az alsóba pedig a kívánt jelszót.
Figyelem: Csak az angol ábc betűit és számokat használj, mind a névben, mind a jelszóban!
Amint elkészültél a generálással a kapott eredményt másold be a fent létrehozott .wpkwpadmin fájlba.
2. lépés: A .htaccess fájl módosítása
Miután elkészül t a jelszófájlod, be kell állítanod egy hivatkozást erre a .wpkwpadmin fájlra. Ezt a WordPress oldalad .htaccess fájljában kell megtenned a következő tartalommal:
ErrorDocument 401 "Unauthorized Access" ErrorDocument 403 "Forbidden" <FilesMatch "wp-login.php"> AuthName "Csak tagoknak!" AuthType Basic AuthUserFile /home/felhasznalonev/.wpkwpadmin require valid-user </FilesMatch>
A AuthUserFile sorban pontosan be kell állítanod a .wpkwpadmin fájl abszolút elérését. Értelemszerűen a felhasznalonev helyett a saját tárhelyeden beállított felhasználónevet írd be.
Végeredmény
A wp-login.php fájlt csak akkor lehet elérni, ha megadod a fent beállított felhasználónév-jelszó párost és csak ezután lehet belépni az admin felületen keresztül. Így a Brutal Force Attack kísérleteket ki tudod védeni.
Kiegészítés
A következő kód a .htaccess fájlba szintén védelmet nyújthat a wp-login.php fájlt érő brutal force támadás ellen. A kódrészletet a BulletProof Security fórumáról:
RewriteCond %{REQUEST_URI} ^(/wp-login\.php|.*wp-login\.php.*)$ RewriteCond %{HTTP_USER_AGENT} ^(|-?)$ [NC,OR] RewriteCond %{THE_REQUEST} HTTP/1\.0$ [OR] RewriteCond %{SERVER_PROTOCOL} HTTP/1\.0$ RewriteRule ^(.*)$ - [F,L]