Согласно исследованию, проведенному еще в 2013 году, каждый день взламывается около 30 000 веб-сайтов . Само собой разумеется, что вам нужно принять меры для защиты вашего сайта от хакеров.
Защита ваших собственных данных важна, но еще более важно, чтобы ваши посетители знали, что их данные в безопасности. Защищенный сайт — это надежный сайт.
Есть несколько методов, которые вы можете использовать, чтобы снизить вероятность взлома вашего сайта WordPress. Ограничение доступа к заранее определенному набору пользователей является одним из них. В этой статье мы расскажем о пошаговой процедуре установки ограничений IP для страницы входа в WordPress.
Прежде чем мы перейдем к учебнику, давайте быстро рассмотрим некоторые угрозы безопасности WordPress, с которыми сталкивается ваш сайт.
Угрозы безопасности WordPress
Попытки входа в систему грубой силы — когда хакер пытается получить доступ к вашему сайту, пытаясь войти в систему, используя обширный список комбинаций имени пользователя и пароля.
Подтверждение информации о входе в систему — WordPress информирует пользователя о том, какую часть учетных данных для входа они ввели неправильно. Например, если ваше имя пользователя правильное, но пароль не совпадает, WordPress сообщит пользователю об этом. Это делает атаки грубой силы намного, намного легче.
Версия WordPress — если хакер узнает версию WordPress, которую вы используете, он может использовать уязвимости, зависящие от версии, чтобы получить доступ к вашему сайту.
Глобальная регистрация WordPress — по умолчанию WordPress не позволяет пользователям со всего мира регистрироваться на вашем сайте. Эта опция должна оставаться отключенной в качестве превентивной меры.
Доступ к темам и плагинам. Владельцы сайтов WordPress предоставляют доступ к функциям редактирования файлов, которые могут оказаться проблемой безопасности, если ваш сайт взломан, поэтому обычно не рекомендуется.
Давайте рассмотрим некоторые предварительные шаги, которые необходимо предпринять перед изменением файлов вашего сайта.
Несколько мер безопасности
В этом уроке мы будем добавлять код PHP в файл конфигурации .htaccess
В качестве меры предосторожности первым шагом является резервное копирование файла конфигурации.
Некоторые из вас могут также захотеть сделать резервную копию всего сайта, прежде чем начать. Регулярное резервное копирование вашего сайта — это хорошая привычка, и его обязательно нужно делать, прежде чем вносить в него какие-либо масштабные изменения. VaultPress — отличный плагин, который выполнит свою работу.
Статический IP в сравнении с динамическим IP
В этом руководстве мы покажем вам, как вы можете ограничить доступ к панели инструментов вашего сайта WordPress как на статических, так и на динамических IP-адресах.
Учебник по статическому IP-адресу следует соблюдать, если вы редактируете свой сайт со своего рабочего стола или из нескольких других мест. В этом случае ваш IP-адрес не меняется, то есть он остается статическим.
Учебник по динамическому IP-адресу следует соблюдать, если ваш сайт редактируется из нескольких мест. Ваш IP-адрес часто меняется, если:
- Другие члены команды заходят на сайт из разных мест, чтобы редактировать его
- Вы используете мобильное устройство для редактирования своего сайта
- Вы регулярно путешествуете и нуждаетесь в доступе к своему сайту из разных мест
Теперь, когда основы с пути, давайте начнем.
Начиная
Первый шаг к установке IP-ограничений на вашу страницу входа в WordPress — это узнать ваш IP-адрес. Если вы еще не знаете, вы можете проверить это на таких сайтах, как whatismyipaddress.com .
Как мы упоминали выше, мы будем вносить изменения в файл конфигурации .htaccess
Второй шаг — найти файл конфигурации .htaccess
Файл конфигурации .htaccess
Однако, если у вас по какой-то причине нет файла конфигурации .htaccess
Войдите с помощью cPanel или FTP-клиента и найдите свой файл.
Как только вы нашли его, шаг третий — найти подходящий текстовый редактор, чтобы вы могли добавить код в файл конфигурации. Мы рекомендуем использовать встроенный текстовый редактор cPanel или специальный текстовый редактор для настольного компьютера (например, Блокнот) для редактирования файла конфигурации .htaccess
Примечание. Весь код будет добавлен в самый верх конфигурационного файла .htaccess
Установка ограничений IP с использованием статического IP-адреса
Если ваш IP-адрес меняется не часто или вы заходите на сайт с нескольких известных IP-адресов, вы можете установить ограничения IP-адресов, используя подход статического IP-адреса. В этом руководстве вы сможете создать безопасный список IP-адресов для тех пользователей (IP-адресов), которые получают доступ к странице входа на ваш сайт WordPress.
Как установить ограничения IP с использованием статического IP-адреса
- Откройте файл конфигурации
.htaccess
-
Добавьте следующий код в начало файла конфигурации
.htaccess
также доступен Gist ).RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^12\.345\.678\.90 RewriteCond %{REMOTE_ADDR} !^IP Address InsertTwo$ RewriteCond %{REMOTE_ADDR} !^IP Address InsertThree$ RewriteRule ^(.*)$ - [R=403,L]
-
Сохраните файл конфигурации
.htaccess
Редактирование кода
Все, что вам нужно сделать сейчас, это отредактировать строку 4 и строку 5 (строка 9 и строка 10 в Gist ) и добавить IP-адреса, которым разрешен доступ к странице входа в WordPress. Для этого замените IP Address InsertTwo$
IP Address InsertThree$
RewriteCond %{REMOTE_ADDR} !^IP Address Insert$
IP Address Insert$
IP-адрес, который вы даете, должен быть в формате, указанном в строке 3 (строка 8 в Gist ).
Добавление или удаление авторизованных пользователей
Если вы хотите предоставить логин доступ к большему количеству IP-адресов, вы можете просто скопировать и вставить RewriteCond %{REMOTE_ADDR}
wp-admin
Точно так же, если вы хотите предоставить доступ только одной или двум, удалите лишние строки 404 Error
Что происходит, когда неавторизованный пользователь посещает страницу?
Теперь, когда вы установили ограничения IP-адресов, когда неавторизованный пользователь заходит на страницу входа на ваш сайт или на страницу your-site's-path
.htaccess
Если вы будете следовать Gist , вы заметите, что код обслуживает цикл перенаправления в первых двух строках. Вам придется изменить путь вашего сайта в строке 1 и строке 2 на правильный путь вашего сайта.
Установка ограничений IP с использованием динамического IP-адреса
Некоторым из вас, возможно, придется предоставить доступ для входа в систему нескольким пользователям, будь то из-за того, что на вашем сайте много участников, или из-за того, что вы используете многосайтовую сеть. Фундаментальный факт заключается в том, что существует несколько динамически меняющихся IP-адресов, которые необходимо войти в панель управления вашего сайта.
Как установить ограничения IP с использованием динамического IP-адреса
- Откройте файл конфигурации
.htaccess
-
Добавьте следующий код в начало файла конфигурации
RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site's-name.com [NC]
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteRule ^(.*)$ - [F]
также доступен Gist )..htaccess
-
Сохраните файл конфигурации
your-site's-path
Редактирование кода
Чтобы сделать код применимым к вашему сайту, замените your-site’s-name.com в строке 3 (строка 7 в Gist ) URL-адресом вашего сайта WordPress.
Gist-версия этого кода также обслуживает цикл перенаправления в первых двух строках. Вам придется изменить путь вашего сайта в строке 1 и строке 2 на правильный путь вашего сайта. При этом страница 404 Error
Функциональность кода
Этот код ограничивает доступ хакерам, которые используют атаки методом «грубой силы» для получения доступа к вашему сайту WordPress через ботов. Хакеры пытаются получить доступ к вашему сайту извне. Добавление этого кода в файл конфигурации .htaccess
wp-admin
Завершение
Нет единого решения, которое гарантировало бы защиту вашего сайта от всех возможных угроз. Установка IP-ограничений на страницу входа в WordPress поможет защитить ваш сайт от атак методом перебора.
Если вам нужна дополнительная информация о безопасности WordPress, вы можете прочитать « Предотвращение атак грубой силы на сайты WordPress» от Narayan Prusty и 10 советов Тима Карра по защите WordPress .
Ваш сайт WordPress когда-либо сталкивался с угрозой безопасности? Какие меры вы принимаете, чтобы защитить свой сайт от угроз безопасности? Дайте нам знать в комментариях ниже.