WordPress — Защита от brute-force

Вчера вечером появилась информация, что на WordPress-сайты, размещенные у известного хостинг-провайдера Hostgator, проводится массированная brute-force-атака с целью получить доступ в админку WordPress.

По мнению экспертов, одной из целей является получение доступа к административной части этой популярной CMS и создание мощного ботнета , используя ресурсы web-серверов, на которых расположены сайты.

Пока неизвестно насколько распространится атака, но чтобы этого избежать можно дополнительно защитить wp-login.php вашего сайта, что в целом значительно усложнит взлом админки WordPress при любых атаках.

Шаг 1: Создайте файл с паролем

Создайте пустой файл с именем .wpadmin и поместите его в корневую директорию вашего хостинга с помощью FTP-клиента или файл-менеджера. Например, для CPanel это будет:

Если у вас Plesk, тогда файл нужно поместить в директорию /var/www/vhosts или /var/www/vhosts/domain.

Шаг 2: Создайте зашифрованный пароль

  1. Зайдите на http://www.htaccesstools.com/htpasswd-generator/
  2. Введите там желаемый логин и пароль, и нажмите кнопку «Create .htpasswd file».
  3. Полученную строку вставьте в созданный вами файл .wpadmin

Если у вас есть доступ по SSH, то можно сразу сгенерировать и записать пароль с помощью команды:

Замените yourlogin на желаемый логин. После ввода команды будет запрошен пароль, и затем он будет записан в файл .wpadmin.

Шаг 3: Измените .htaccess

Добавьте в файл .htaccess (он находится в корне вашего сайта) следующие строки:

Если вы все сделали правильно, то при входе в админку вы должны увидеть примерно следующее:

После успешного входа вы можете войти в админку как обычно.

Таким образом, вы создали дополнительную авторизацию через web-сервер. Пусть это несколько неудобно, но безопасность ваших сайтов того стоит, правда?

  • А если кто-то гениально забудет пароль — что делать тогда? Уже ничего? 🙂

    • Главное не забыть пароль к FTP)

  • Да не на много .htaccess усложнит взлом, имея хороший брут и базу.

  • Спасибо.