Chroń swój folder administratora w dowolnej witrynie WordPress

Folder administratora w WordPressie zawiera klucz dostępu do całej witryny. Hakerzy zawsze próbują dostać się do folderu Admin, aby zhakować witrynę. Zgłoszono wiele przypadków włamań na stronę internetową, w których stwierdzono, że hakerzy weszli w posiadanie folderu WP-Admin, a tym samym mieli dostęp do reszty witryny.

Dlatego niektórzy ludzie zastanawiają się dwa razy przed utworzeniem strony internetowej na WordPressie. Ale jeśli masz już witrynę WordPress, możesz chronić swój folder administratora w WordPress, ograniczając dostęp w .htaccess.

Istnieją różne sposoby ochrony folderu administratora w WordPress poprzez ograniczenie dostępu w .htaccess. Możesz to zrobić za pomocą wtyczek, ale zalecaną metodą jest ręczne skonfigurowanie pliku .htaccess.

Kiedy robisz to ręcznie, możesz zastosować różne środki bezpieczeństwa, aby zapobiec różnego rodzaju próbom włamania. Uwaga, .htaccess to bardzo potężny plik, który nie tylko pomaga w kwestiach bezpieczeństwa, ale także ma konfiguracje, które drastycznie poprawiają wydajność witryny.

Jak chronić swój folder administratora w WordPressie, ograniczając dostęp w .htaccess (za pomocą wtyczek)

WordPress jest popularny ze względu na swoje wtyczki i są wtyczki do dosłownie wszystkiego. WP Security Scan to wtyczka, której będziesz potrzebować, aby chronić swój folder administratora w WordPressie, ograniczając dostęp w pliku .htaccess.

Przejdź do opcji Wtyczki w lewym menu pulpitu nawigacyjnego i kliknij opcję Dodaj nowy. W polu wyszukiwania wpisz nazwę wtyczki, którą jest WP Security Scan.

Po znalezieniu i zainstalowaniu wtyczki przejdź do ustawień wtyczki. Plik .htaccess znajdziesz w raporcie skanowania plików i możesz ustawić ustawienia uprawnień do pliku i części podrzędnych, aby chronić swój folder administratora.

Mimo że wtyczka nie była aktualizowana od kilku lat, jest w pełni funkcjonalna i jedyna na rynku, która umożliwia zmianę ustawień w pliku .htaccess.

Zaleca działania naprawcze, które możesz podjąć, dzięki czemu nie musisz być ekspertem, aby wprowadzić zmiany. Ukrywa wersję WordPress, zapewnia bezpieczeństwo bazy danych i ochronę administratora WordPressa oraz środki bezpieczeństwa.

Oprócz tego możesz również zainstalować popularne wtyczki zabezpieczające, takie jak All In One WP Security & Firewall jako Wordfence Security.

Jak chronić swój folder administratora w WordPressie, ograniczając dostęp w .htaccess (ręcznie)

W przypadku wtyczek masz ograniczone ustawienia, a jeśli jedna z takich wtyczek zostanie zhakowana, Twoja witryna również stanie się podatna na ataki.

Dlatego zawsze zaleca się wzięcie wszystkiego we własne ręce i samodzielne skonfigurowanie pliku .htaccess. Ponadto istnieje wiele środków bezpieczeństwa, które można zastosować, wstawiając fragmenty kodu.

Uzyskiwanie dostępu do pliku .htaccess

Aby uzyskać dostęp do plików i folderów w witrynie, potrzebujesz oprogramowania FTP. FileZilla to najlepsze oprogramowanie FTP. Zainstaluj i otwórz, a następnie zaloguj się na swoje konto cPanel. Pamiętaj, że możesz zobaczyć inny plik .htaccess w różnych folderach lub w katalogu głównym. W ogóle ich nie edytuj.

Musisz edytować tylko plik .htaccess znajdujący się w folderze WP-Admin. Dlatego przejdź do folderu WP-Admin i znajdź plik .htaccess. Jeśli go nie masz, musisz go utworzyć pod nazwą .htaccess. Upewnij się, że wykonałeś kopię zapasową pliku przed jego edycją. Tak wygląda .htaccess.

1. Ograniczanie dostępu administratora

Pierwszą rzeczą, którą musisz zrobić, to ograniczyć dostęp do Twojej witryny innym komputerom lub urządzeniom jako administrator inny niż Twoje urządzenie lub komputer. Możesz to osiągnąć, zezwalając tylko na swój adres IP. Jeśli masz wiele urządzeń, możesz zezwolić na adres IP każdego z nich.

Z punktu widzenia bezpieczeństwa jest to najsurowszy krok, jaki możesz podjąć, ale ogranicza również dostęp do panelu administracyjnego z komputera innej osoby.

Dodaj następujący kod poniżej #END WordPress, który jest ostatnim wierszem w pliku .htaccess. Umieść swoje adresy IP odpowiadające oświadczeniu allow i możesz mieć tyle oświadczeń allow ile chcesz.

2. Chroń wp-config.php

Wp-config.php jest najważniejszym plikiem i zawiera ważne informacje o Twojej witrynie. Musisz upewnić się, że plik nie dotrze do hakerów w żaden sposób, w przeciwnym razie Twoja witryna na pewno zostanie zhakowana.

Możesz odmówić dostępu do swojego wp-config.php każdemu poza sobą. Wklej następujący fragment kodu w .htaccess na końcu wszystkich wierszy.

3. Zakazuj szkodliwym użytkownikom ich adresy IP

Jest kilku użytkowników, którzy są potencjalnymi hakerami i próbują użyć metod ataku brute force oraz innych sposobów hakowania. Musisz zablokować tych użytkowników według ich adresów IP.

Wystarczy zainstalować dowolną prostą, lekką wtyczkę bezpieczeństwa, a otrzymasz powiadomienia z adresem IP, gdy ktoś spróbuje zalogować się do Twojej witryny za pomocą systemu ataku brute force. Użyj poniższego fragmentu kodu, aby zrealizować ten cel.

4. Wyłącz wykonywanie PHP

Czasami niektóre motywy mają tylne drzwi, które hakerzy mogą włamać do Twojej witryny, jeśli użyjesz tych motywów. Większość plików backdoora jest przechowywana w różnych katalogach, takich jak wp-includes i uploads.

Nawet jeśli Twoja witryna zostanie zhakowana i odzyskasz po niej, hakerzy mogą sprytnie stworzyć backdoory, w których umieszczasz kody PHP w niektórych plikach lub zapisywać foldery, które są niewykrywalne. Możesz to zatrzymać, wyłączając wykonywanie PHP w niektórych folderach. Aby to osiągnąć, użyj poniższego fragmentu kodu.

5. Wyłącz przeglądanie katalogów

Coś, co hakerzy przeglądają różne katalogi Twojej witryny WordPress i wykonują złośliwe działania, takie jak umieszczanie fragmentów kodu w celu tworzenia tylnych drzwi, usuwanie ważnych plików i tym podobne. Możesz wyłączyć dostęp do dowolnego folderu za pomocą następującego fragmentu kodu.

6. Ograniczanie dostępu do zawartości WP

Najważniejszym folderem witryny WordPress jest WP-Content, w którym przechowywane są wszystkie obrazy, pliki motywów, pliki wtyczek. Jeśli ktoś uzyska dostęp do tego folderu i usunie wszystko, a jeśli nie masz kopii zapasowej, Twoja witryna zniknie. Ponadto hakerzy mogą umieszczać w tym folderze złośliwe oprogramowanie i wirusy, a Twoja witryna może się rozpaść.

Umieść następujący fragment kodu w pliku .htaccess i możesz odmówić wszystkim dostępu do folderu wp-content.

Poza tym możesz wyłączyć hotlinki do obrazów, aby uniemożliwić komuś linkowanie do twoich obrazów i spowolnienie witryny. Można również skonfigurować ogólne przekierowania i przekierowania 301 za pośrednictwem pliku .htaccess, aby poinformować odwiedzających, że przeniosłeś zawartość do nowej lokalizacji.