Forum The World na Goldenline.pl Twitter Facebook Kanał RSS

Bezpieczeństwo WordPressa w Twoim .htaccess

Jednym z podstawowych działań, jakie należy wykonać, aby zabezpieczyć swojego bloga przed włamaniem jest zmiana nazwy strony logowania – chodzi o plik wp-login.php (i/lub panelu admina – katalog wp-admin/).

Są rozwiązania ingerujące bardziej lub mniej w kod Worpressa. Skupię się jednak na takim, które w ogóle nie rusza plików WP. Cała istota będzie zawierać się w odpowiedniej konfiguracji pliku .htaccess . Zatem do dzieła!

Zacznijmy od wymyślenia, jaki ciąg znaków zastąpi nasze dotychczasowe wywołanie www.mojadomena.pl/wp-login.php ; na potrzeby tego artykułu będzie to mojadmin . Wpiszmy w takim razie poniższą regułę przed regułami WordPressa.

RewriteRule ^mojadmin$ wp-login\.php?mojadmin [L]

Po co dodałem query string? Zaraz się przekonasz. Teraz musimy napisać 2 warunki po spełnieniu, jakich reguła zostanie wykonana:

  • jeśli query string nie zawiera frazy mojadmin oraz
  • jeśli refererem nie jest nasza domena

Po spełnieniu obu warunków ma następować przekierowanie na wybraną stronę. Może to być strona błędu – 404 lub jakakolwiek inna. Kod powyższej reguły:

RewriteCond %{QUERY_STRING} !mojadmin
RewriteCond %{HTTP_REFERER} !^http://(www\.)?mojadomena.pl/.*$
RewriteRule ^wp-login\.php$ 404.php [R,L]

To samo wykonujemy dla katalogu wp-admin zastępując ostatnią linijkę następującą:

RewriteRule ^wp-admin/$ 404.php [R,L]

W ten sposób zabezpieczyliśmy dostęp do pliku wp-admin.php (oraz katalogu admina). Od tej pory wywołując go bezpośrednio z paska adresu zostaniemy przeniesieni.. w kosmos, czyli tam gdzie sobie zdefiniowaliśmy.

Pamiętaj. Jeżeli w pliku .htaccess znajdują się wpisy WordPressa powyższe reguły powinny znajdować się przed nimi – zaraz za RewriteEngine on i RewriteBase.


Facebook Twitter Delicious Digg Reddit

Podobne wpisy

Komentarze (1)
  1. Kamil Krzysztof Łapiński Odpowiedz

    Taką funkcjonalność widziałem we wtyczce Better WP Security, obok ukrywania wersji WP i innych zabezpieczeń. Delikwent po wpisaniu „złej” nazwy trafia na 404 skórki :-)

    Też jestem zwolennikiem „robienia ręcznie”, ale komuś może się przydać ;-)

    Pozdrawiam:
    Kamil

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Current month ye@r day *

CommentLuv badge