Właściciele witryn muszą priorytetowo traktować bezpieczeństwo WordPress, aby chronić swoje wrażliwe dane i utrzymać zaufanie użytkowników. Jednym z bardzo skutecznych sposobów, jaki stosujemy w WPBeginner, jest zabezpieczanie hasłem naszego katalogu administracyjnego WordPress.
Katalog wp-admin to centrum dowodzenia Twojej witryny WordPress. To tutaj zarządzasz wszystkim, od treści po ustawienia, co czyni go głównym celem dla hakerów. Zabezpieczenie plików administracyjnych hasłem ochroni je przed atakami.
Ten artykuł stanowi prosty przewodnik, jak łatwo zabezpieczyć hasłem katalog wp-admin i wzmocnić bezpieczeństwo Twojej strony internetowej.
Dlaczego chronić hasłem katalog administracyjny WordPress?
Zabezpieczając hasłem katalog administracyjny WordPress, dodajesz dodatkową warstwę bezpieczeństwa do najważniejszego punktu wejścia do Twojej witryny WordPress.
Panel administracyjny WordPress jest centralnym centrum Twojej witryny. To tutaj będziesz publikować wpisy i strony, dostosowywać motyw, instalować wtyczki WordPress i wiele więcej.
Często, gdy hakerzy próbują włamać się na Twoją witrynę, robią to za pośrednictwem ekranu wp-admin, używając ataku siłowego.
Możesz pomóc chronić swoją witrynę przed potencjalnymi atakami, stosując środki bezpieczeństwa, takie jak silne hasło i ograniczanie prób logowania.
Aby zapewnić jeszcze większe bezpieczeństwo, możesz również zabezpieczyć hasłem katalog wp-admin. Następnie, gdy ktoś spróbuje uzyskać dostęp do Twojego obszaru administracyjnego, będzie musiał podać nazwę użytkownika i hasło, zanim dotrze do strony logowania WordPress.
Mając to na uwadze, przyjrzyjmy się krok po kroku, jak zabezpieczyć hasłem katalog administracyjny WordPress.
Pierwsza metoda jest zalecana dla większości użytkowników i możesz użyć poniższych szybkich linków, aby przejść bezpośrednio do metody, której chcesz użyć:
- Zabezpiecz hasłem wp-admin za pomocą prywatności katalogu (zalecane)
- Zabezpiecz hasłem wp-admin za pomocą kodu
- Rozwiązywanie problemów z ochroną hasłem wp-admin
- Bonus: Najlepsze poradniki WordPress dotyczące bezpieczeństwa wp-admin
Samouczek wideo
Jeśli wolisz pisemne instrukcje, po prostu czytaj dalej.
Metoda 1: Zabezpiecz wp-admin hasłem za pomocą prywatności katalogu (zalecane)
Najprostszym sposobem na zabezpieczenie hasłem katalogu administracyjnego WordPress jest użycie aplikacji Prywatność katalogu od Twojego dostawcy hostingu WordPress.
Najpierw musisz zalogować się do panelu swojego hostingu i kliknąć opcję „Ochrona katalogów” w sekcji Pliki panelu cPanel Twojej witryny.
Uwaga: Większość hostów internetowych korzystających z cPanel, takich jak Bluehost, będzie miała podobne kroki. Jednak Twój panel administracyjny może nieznacznie różnić się od naszych zrzutów ekranu, w zależności od dostawcy hostingu.
Spowoduje to przejście do ekranu, na którym wyświetlane są wszystkie różne katalogi na Twoim serwerze. Musisz znaleźć folder, który zawiera pliki Twojej witryny.
Dla większości właścicieli witryn można to znaleźć, klikając folder „public_html”.
Spowoduje to wyświetlenie wszystkich plików witryny, które zainstalowałeś na swoim serwerze.
Następnie musisz kliknąć folder z nazwą domeny Twojej witryny.
W tym folderze zobaczysz folder wp-admin.
Zamiast klikać nazwę folderu, musisz kliknąć przycisk „Edytuj” obok tego folderu.
Spowoduje to przejście do ekranu, na którym można włączyć ochronę hasłem.
Po prostu zaznacz pole wyboru „Zabezpiecz hasłem ten katalog”. Jeśli chcesz, możesz również nadać katalogowi nazwę, na przykład „Obszar administracyjny”, aby łatwiej go zapamiętać.
Po wykonaniu tej czynności musisz kliknąć przycisk „Zapisz”.
Spowoduje to przejście do strony, na której pojawi się komunikat potwierdzający.
Teraz musisz kliknąć przycisk „Powrót” i zostaniesz przeniesiony do ekranu, na którym możesz utworzyć użytkownika, który będzie miał dostęp do tego katalogu.
Zostaniesz poproszony o podanie nazwy użytkownika i hasła, a następnie potwierdzenie hasła. Pamiętaj, aby zapisać swoją nazwę użytkownika i hasło w bezpiecznym miejscu, takim jak aplikacja do zarządzania hasłami.
Upewnij się, że klikniesz przycisk „Zapisz”, gdy to zrobisz.
Teraz, gdy ktoś spróbuje uzyskać dostęp do Twojego katalogu wp-admin, zostanie poproszony o podanie nazwy użytkownika i hasła, które utworzyłeś powyżej.
Metoda 2: Zabezpiecz wp-admin hasłem za pomocą kodu
Możesz również zabezpieczyć hasłem katalog administracyjny WordPress ręcznie. Aby to zrobić, musisz utworzyć dwa pliki o nazwach .htpasswd i .htaccess.
Uwaga: Dodawanie jakiegokolwiek kodu do witryny WordPress może być niebezpieczne. Nawet drobny błąd może spowodować poważne problemy na Twojej stronie internetowej. Zalecamy tę metodę tylko zaawansowanym użytkownikom.
Tworzenie pliku .htaccess
Najpierw otwórz swój ulubiony edytor tekstu i nazwij nowy plik .htaccess.
Następnie musisz skopiować poniższy fragment kodu i dodać go do pliku:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Upewnij się, że zmienisz ścieżkę „AuthUserFile” na lokalizację, w której przesłasz plik .htpasswd, i zmień „yourusername” na nazwę użytkownika, której chcesz użyć do zalogowania.
Nie zapomnij zapisać pliku po zakończeniu.
Tworzenie pliku .htpasswd
Po wykonaniu tej czynności musisz utworzyć plik .htpasswd.
Aby to zrobić, otwórz edytor tekstu i utwórz plik o nazwie .htpasswd. Ten plik będzie zawierał Twoją nazwę użytkownika wraz z zaszyfrowanym hasłem.
Najprostszym sposobem na wygenerowanie zaszyfrowanego hasła jest użycie generatora htpasswd.
Po prostu wprowadź swoją nazwę użytkownika i hasło, wybierz format szyfrowania i kliknij przycisk „Utwórz plik .htpasswd”.
Generator htpasswd wyświetli linię tekstu, którą musisz wkleić do swojego pliku .htpasswd. Upewnij się, że zapisałeś plik po wykonaniu tej czynności.
Przesyłanie plików .htaccess i .htpasswd do katalogu wp-admin
Ostatnim krokiem jest przesłanie obu utworzonych plików do folderu wp-admin Twojej witryny.
Aby połączyć się z kontem hostingowym WordPress, będziesz potrzebować klienta FTP lub narzędzia do zarządzania plikami online udostępnianego przez Twojego dostawcę hostingu. Więcej szczegółów znajdziesz w naszym przewodniku dla początkujących na temat jak używać FTP do przesyłania plików do WordPress.
W tym samouczku użyjemy FileZilla, ponieważ jest darmowy i działa zarówno na Macu, jak i na Windowsie.
Po połączeniu z Twoją stroną internetową zobaczysz pliki na swoim komputerze w lewym oknie i pliki na Twojej stronie internetowej po prawej stronie. Po lewej stronie musisz przejść do lokalizacji, w której zapisałeś pliki .htaccess i .htpasswd.
Następnie po prawej stronie musisz przejść do katalogu wp-admin witryny, którą chcesz chronić. Większość użytkowników będzie musiała dwukrotnie kliknąć folder public_html, następnie folder z nazwą swojej domeny, a następnie folder wp-admin.
Teraz możesz wybrać dwa pliki po lewej stronie i kliknąć „Prześlij” w menu prawego przycisku myszy lub po prostu przeciągnąć pliki do lewego okna.
Teraz Twój katalog „wp-admin” będzie chroniony hasłem.
Rozwiązywanie problemów z ochroną hasłem wp-admin
W zależności od konfiguracji serwera i strony internetowej, istnieje szansa, że napotkasz błędy WordPress. Błędy te można naprawić, ostrożnie dodając kod do pliku .htaccess.
Uwaga: Jest to plik .htaccess znajdujący się w głównym folderze Twojej witryny, a nie ten, który przesłałeś do folderu „wp-admin”. Jeśli masz problem ze znalezieniem go, zapoznaj się z naszym przewodnikiem dlaczego nie możesz znaleźć .htaccess i jak go zlokalizować.
Naprawianie błędu braku działania Ajax
Jednym z najczęstszych błędów jest to, że funkcjonalność Ajax może przestać działać na froncie Twojej strony. Jeśli masz wtyczki WordPress, które wymagają Ajax, takie jak wyszukiwanie Ajax na żywo lub formularze kontaktowe Ajax, zauważysz, że te wtyczki przestaną działać.
Aby to naprawić, po prostu dodaj następujący kod do pliku .htaccess znajdującego się w folderze wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Naprawianie błędu 404 i błędu zbyt wielu przekierowań
Dwa inne błędy, na które możesz natrafić, to błąd 404 i błąd zbyt wielu przekierowań.
Najprostszym sposobem na ich naprawienie jest otwarcie głównego pliku .htaccess znajdującego się w katalogu Twojej witryny i dodanie następującej linii kodu przed regułami WordPress:
ErrorDocument 401 default
Bonus: Najlepsze poradniki WordPress dotyczące bezpieczeństwa wp-admin
Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się, jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin). Możesz zapoznać się z dalszymi poradnikami dotyczącymi zwiększenia bezpieczeństwa obszaru administracyjnego:
- Jak ograniczyć dostęp do panelu administracyjnego WordPress według adresu IP
- Kluczowe wskazówki dotyczące ochrony obszaru administratora WordPress (zaktualizowane)
- Jak dodać niestandardowy adres URL logowania w WordPress (krok po kroku)
- Jak i dlaczego powinieneś ograniczyć próby logowania w WordPressie
- Jak dodać uwierzytelnianie dwuskładnikowe w WordPress (metoda darmowa)
- Jak dodać pytania zabezpieczające do ekranu logowania WordPress
- Jak wymusić na użytkownikach zmianę haseł w WordPress – wygaśnięcie hasła
- Jak zresetować hasła wszystkich użytkowników w WordPress
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Rauf
Panie, kiedy się loguję, przycisk wyskakującego okienka pojawia się w kółko, prosząc o podanie nazwy użytkownika i hasła.
demonkoryu
Edycja: Widzę, że Twój problem nie dotyczy komentarzy Disqus (facepalm), ale może być w Twoim przypadku nadal aktualny.
To mi się też zdarzyło.
a) Wyczyść wszystkie pliki cookie (dla Disqus i strony, na której próbujesz jej użyć)
b) Spróbuj użyć innej przeglądarki niż ta, której aktualnie używasz
Thomas
To nie działa u mnie w WordPress 3.9.1. Otrzymuję błąd 500 (internal server) dla wszystkich stron administracyjnych, a strona wp-login.php ładuje się, ale nie wyświetla się poprawnie.
Dodałem kod błędu 404 do głównego pliku .htaccess i dodałem kod ajax do pliku wp-admin/.htaccess. Bez zmian.
Co może być tego przyczyną? Czy mój serwer lub instalacja WordPressa jest w jakiś sposób źle skonfigurowana?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
David
Dziękuję! –
rozwiązało mój problem z pętlą przekierowania dzięki ErrorDocument 401 default
Gość
Dodałem kod admin-ajax do mojego pliku .htaccess /wp-admin, ale to nie rozwiązało problemu. Wtyczka All-In-One-Event-Calendar nadal nie może uzyskać dostępu do admin-ajax na froncie.
Proszę o poradę.
Dziękuję!
bamajr
Czy dodanie uwierzytelniania dwuetapowego do procesu logowania WordPress Admin nie rozwiązałoby tego problemu? Na przykład, używając Authy (i ich powiązanej wtyczki)!
Wsparcie WPBeginner
Tak, ale dodatkowa warstwa dodatkowo wzmacnia bezpieczeństwo.
Admin
Chris Christoff
Cześć wszystkim,
Krótka uwaga, admin-ajax.php to nie jedyna rzecz, do której wtyczki potrzebują dostępu. Musisz również zezwolić na dostęp bez ochrony hasłem do async-upload.php i media-upload.php
Są one używane przez wtyczki do umożliwienia przesyłania plików na froncie (np. przesyłanie pliku podczas realizacji zakupu).
-Chris
bikramjit singh
Cześć... jestem nowy w wordpress i regularnym odwiedzającym. Mam problem. Kiedy próbuję zalogować się do mojego panelu wordpress, panel do wprowadzania nazwy użytkownika i hasła się nie pojawia. Strona otwiera się sama. Mój adres domenowy to http://www.tradethetechnicals.com.How można rozwiązać ten problem?
Wsparcie WPBeginner
Swoją stronę logowania możesz odwiedzić tutaj: http://tradethetechnicals.com/wp-admin
Admin
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
Kushal Jayswal
Cześć, jestem zdezorientowany!
Jeśli zablokuję katalog wp-admin, czy zarejestrowani autorzy będą mogli uzyskać dostęp do „http://site.com/wp-admin” w przeglądarce? Czy też potrzebują nazwy użytkownika i hasła?
Zobacz na moim blogu, każdy może zalogować się bezpośrednio przez Facebooka, więc w takim przypadku, jeśli hasło i nazwa użytkownika są obowiązkowe dla wszystkich użytkowników. Będzie to trochę skomplikowane do obsłużenia...
Jakieś komentarze?
Wsparcie WPBeginner
Twoi zarejestrowani autorzy będą potrzebować hasła, aby uzyskać dostęp do obszaru administracyjnego WP.
Admin
Phil Alcock
Dzięki za poprawkę ajax. Dodałem te kilka linii i naprawiło to mój problem z wtyczką. Znacznie łatwiejsze niż sugestia w Codexie WordPressa.
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
cześć,
Używam tej metody hasła,
proszę o pomoc, ponieważ to okno podręczne nie otwiera się w UCBrowser !!
więc powiedz mi, czy mogę stworzyć stronę, stronę html lub jakikolwiek inny rodzaj strony do logowania?? nie chcę pokazywać wyskakującego okienka, chcę pokazać stronę logowania, a inne funkcje tak samo
Wsparcie WPBeginner
Możesz utworzyć niestandardową stronę logowania dla WordPress.
Admin
Chathu
Jeśli zastosuję metodę cpanel, czy jest jakiś sposób, aby usunąć hasło?
Dzięki!
Masood
Dziękuję za udostępnienie, bardzo pomocne
Arthur
Wow! wreszcie! „ErrorDocument 401 default” zadziałało. Traciłem cierpliwość z problemem przekierowania....
Dziękuję bardzo za udostępnienie tego.
James
Działa świetnie, z wyjątkiem tego, że prosi o uwierzytelnienie na naszej stronie głównej, a nie tylko podczas uzyskiwania dostępu do wp-admin. Czy to możliwe, że inny wtyczka wywołuje plik inny niż admin-ajax.php?
Personel redakcyjny
Tak, jest bardzo możliwe, że inna wtyczka wywołuje admin-ajax.php. Powinieneś użyć poprawki wspomnianej powyżej.
Admin
Jeffro
Chciałem tylko dać wam znać, że kiedy zarządzałem moimi subskrypcjami na stronie za pomocą linku e-mail, otrzymałem monit o podanie nazwy użytkownika i hasła. Kliknięcie Anuluj pozwoliło mi zarządzać subskrypcjami. Po wybraniu opcji i kliknięciu Zapisz, ponownie pojawił się monit, a kliknięcie Anuluj również pozwoliło na wykonanie akcji. Po prostu informuję was na wypadek, gdybyście nie chcieli, aby to przydarzyło się innym ludziom.
Muhammad Ahsan
Czy powinienem skopiować linię „ErrorDocument 401 default” do pliku .htaccess w pliku /wp-admin/.htaccess? czy do jakiegokolwiek innego pliku .htaccess?
Personel redakcyjny
Wkleiłbyś to w głównym pliku .htaccess.
Admin
pankaj
Cześć,
Zrobiłem tak, jak mówiłeś, ale kiedy otwieram katalog wp-admin, pojawia się błąd typu „Strona nie przekierowuje poprawnie”.
Przeglądarka Firefox wykryła, że serwer przekierowuje żądanie tego adresu w sposób, który nigdy się nie zakończy.
Ten problem może czasami być spowodowany wyłączeniem lub odmową akceptacji
plików cookie.
Nawet w Google Chrome nie pojawia się okienko. Czy możesz mi powiedzieć, jak rozwiązać ten problem.
Z góry dziękuję.
Personel redakcyjny
Musisz przeczytać sekcję artykułu, która mówi: Błąd zbyt wielu przekierowań
Admin
Ed Emery
Cześć,
Ten problem występuje od pierwszego dnia w zeszłym tygodniu, kiedy po raz pierwszy zainstalowałem WP. Właśnie wykonałem instrukcję krok po kroku Jak zabezpieczyć hasłem katalog administracyjny WordPress (wp-admin), ale ten sam problem! Oto zrzut ekranu pokazujący, co / kto / haker się dzieje.
Najpierw to:
Serwer sacramentofan.com w sekcji WPBeginner Admins Only wymaga nazwy użytkownika i hasła.
Ostrzeżenie: Ten serwer żąda wysłania nazwy użytkownika i hasła w sposób niezabezpieczony (uwierzytelnianie podstawowe bez bezpiecznego połączenia).
Następnie to, po próbie zalogowania:
Serwer sacramentofan.com w WordPress ochrona przed atakami CAPTCHA. Wprowadź nazwę użytkownika: e7en4d Hasło: Wynik działania 16+4 wymaga nazwy użytkownika i hasła.
Ostrzeżenie: Ten serwer żąda wysłania nazwy użytkownika i hasła w sposób niezabezpieczony (uwierzytelnianie podstawowe bez bezpiecznego połączenia).
Jak więc mogę to zatrzymać, skoro próbowałem wszystkiego od zeszłego czwartku 18.07.2013
Dzięki,
Ed
Personel redakcyjny
Zbyt złożony problem, aby wyjaśnić go tylko na podstawie opisu. Naprawdę trzeba by zobaczyć, co się dzieje. Wygląda na to, że jakiś plugin powoduje ten problem.
Admin
David McMahon
Wielkie dzięki za tę pomocną wskazówkę – zastanawiałem się, dlaczego ciągle otrzymywałem przerażający komunikat „żądanie nigdy się nie zakończy” z Firefoksa, ale teraz już nie!
Akash Deep Satpathi
Cześć! Postępowałem zgodnie z Twoim tutorialem z cPanel, ale po nim nie mogłem wyświetlić mojego panelu. W Google Chrome wyświetlało się „Ta strona internetowa ma pętlę przekierowań”. Więc, czego mi brakuje?
Personel redakcyjny
Przeczytaj sekcję wyjaśniającą błąd 404 lub problem zbyt wielu przekierowań.
Admin
Meher
Cześć,
Bardzo dziękuję za Twój artykuł.
Próbowałem dodać dodatkową warstwę logowania do folderu wp-admin i przekierowywało mnie do błędu – za dużo przekierowań –.
Dużo szukałem w Google i trafiłem na Twój artykuł. To naprawdę pomogło mi rozwiązać ten problem.
Jeszcze raz dziękuję.
Dan
Ten sam problem tutaj.
arman
działa dobrze
ale jest jeden problem.
kiedy zwykli użytkownicy logują się i chcą przejść do panelu administracyjnego i zmienić jakieś informacje, takie jak zdjęcie profilowe, muszą również podać to hasło użytkownika!!
czy jest jakaś możliwość ustawienia tego chronionego folderu tylko dla administratora lub zignorowania go dla normalnych użytkowników panelu?
Personel redakcyjny
Nie. Musiałbyś to zrobić dla wszystkich użytkowników.
Admin
ARMAN
Czyli, jeśli użyję tego dla wszystkich użytkowników, oznacza to, że wszyscy użytkownicy muszą mieć moje dane użytkownika i hasło do chronionego folderu!!
Czyli każdy może się zarejestrować i każdy musi mieć tego użytkownika, hasło, wtedy każdy haker może zarejestrować się jako użytkownik na mojej stronie i uzyskać tego użytkownika i hasło!!
Ochrona Wp-admin jest więc przydatna tylko dla stron z jednym administratorem lub z kilkoma specjalnymi użytkownikami, którym można udostępnić hasło użytkownika…
Personel redakcyjny
Możesz utworzyć wielu użytkowników w .htpswd. Musiałbyś użyć czegoś, co nazywa się grupą.
lis
ooohhh men dzięki za pomoc :
ErrorDocument 401 default
działa idealnie !!!!!
Nishant
Dzięki za wskazówki. Zaimplementowałem ochronę hasłem katalogu Wp-Admin i dodałem podwójną autentykację za pomocą Google Authenticator. Wydaje się, że działa poprawnie.
Niedawno przeniosłem się do nowego hostingu (Bluehost) i skonfigurowałem moją stronę WordPress.
Zainstalowałem wtyczkę bezpieczeństwa Wordfence. Konfiguracja wtyczki jest taka, że za każdym razem, gdy ktoś się loguje (w tym ja), otrzymuję alert e-mail. Ponadto, jeśli ktoś próbuje zalogować się z nieprawidłową nazwą użytkownika, blokuje ten adres IP na 10 minut i wysyła mi e-mail z powiadomieniem o nieudanej próbie logowania.
Biorąc pod uwagę, że zabezpieczyłem katalog Wp-admin hasłem, chyba że ktoś zna dla niego nazwę użytkownika i hasło, nie będzie mógł uzyskać dostępu do wp-admin lub wp-login, aby spróbować zalogować się do mojego WordPressa.
Ale wczoraj wieczorem otrzymałem kilka e-maili od Wordfence, w których informowano o zablokowaniu kilku adresów IP z powodu nieudanych prób logowania do WordPressa przy użyciu nieprawidłowych nazw użytkowników (takich jak admin, Admin lub nishant). Czy można ominąć serwerowe zabezpieczenie hasłem katalogu wp-admin i podjąć próbę zalogowania się do WordPressa?
Nishant
Nishant
Również właśnie zauważyłem, że...
Kiedy używam adresu URL bezpośrednio do wp-login, wyświetla mi się okno hasła po stronie serwera dla katalogu wp-admin. Ale kiedy klikam anuluj w tym oknie hasła (2 do 3 razy), wyświetla się strona wp-login!
Ale kiedy adres URL to wp-admin, po kliknięciu anuluj wyświetla się komunikat „401 Autoryzacja wymagana
Nieprawidłowe dane logowania!”
A pliki logów pokazały nieprawidłowe próby logowania próbujące uzyskać bezpośredni dostęp do wp-login.php.
Personel redakcyjny
Tak, wp-login.php jest nadal dostępny. Ale nawet jeśli zdobędą poprawne hasło, nie będą mogli go zobaczyć. Możesz również użyć tej samej techniki i zabezpieczyć hasłem swój plik wp-login.php indywidualnie.
Admin
Jeffro
Jaki dokładnie byłby ten kod? Nie widziałem łatwego sposobu na zabezpieczenie hasłem konkretnych plików w Cpanelu.
Bart
Drogi autorze,
Jestem przekonany, że postępowałem zgodnie ze wszystkimi Państwa dyrektywami, a mimo to nadal otrzymuję powiadomienie Firefox „nieskończona pętla”. Oto co zrobiłem do tej pory:
– Utworzyłem plik .htpasswds w /.htpasswds/public_html/wp-admin/passwd (CHMOD 664)
– Utworzyłem plik .htaccess z wygenerowanym hashem / nazwą użytkownika i umieściłem go w /public_html/wp-admin
– Wstawiłem linię ErrorDocument 401 default przed całym kodem do mojego głównego pliku .htaccess w /public_html
Czy możesz mi pomóc rozwiązać ten problem. Moje główne pytania to:
– mówisz „utwórz plik o nazwie ‘.htpasswds’ “. Czy to jest faktycznie poprawna nazwa pliku? Mam na myśli, z uwzględnieniem litery „s” na końcu?
– jaką dokładnie ścieżkę muszę podać w moim pliku .htaccess w folderze /public_html/wp-admin? Obecnie jest tam napisane „AuthUserFile /.htpasswds/public_html/wp-admin/passwd”. Nie jestem pewien, czy dobrze robię tę część…
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
Z góry dziękuję… jeśli potrzebujesz więcej informacji, chętnie je dostarczę. Z poważaniem,
Bart
Personel redakcyjny
Z jakiego typu hostingu korzystasz? Czy masz hosting z cPanel? Czy możesz spróbować użyć metody cPanel do wygenerowania pliku htpswd?
Naprawdę trudno powiedzieć, co idzie nie tak, ponieważ zapisaliśmy dokładnie to samo, co zrobiliśmy na naszej stronie.
Admin
zimbrul
Chciałbym zadać wam pytanie: czy kiedykolwiek zdarzyło się wam, że folder administratora był chroniony hasłem i trzeba było podawać uwierzytelnienie dla KAŻDEGO posta, który czytacie na swoim blogu? Tak się dzieje z jednym z moich blogów. Zastanawiałem się, czy nie lepiej zabezpieczyć logowania administratora za pomocą Google Authenticator lub czegoś podobnego...
Personel redakcyjny
Jeśli jesteś proszony o uwierzytelnienie za każdym razem, to dzieje się jedno z dwóch:
1. Wkleiłeś informacje z pliku .htaccess do swojego głównego pliku .htaccess, a nie do pliku .htaccess w folderze /wp-admin/.
2. Plik admin-ajax.php jest ładowany na froncie. Musisz dodać regułę, aby zapobiec jego ochronie hasłem. Wzmiankowaliśmy poprawkę dla tego.
Na koniec, tak, mamy 3 warstwy ochrony naszego panelu administracyjnego. Dopasowanie IP (jeśli nie pasuje, to hasło .htaccess), a następnie Google Authenticator. Mamy również aktywowany limit prób logowania.
Sucuri również całkiem dobrze radzi sobie z blokowaniem innych ataków.
Admin
Anish K.S
Próbowałem tej metody, ale pojawia się błąd „Error 310 (net::ERR_TOO_MANY_REDIRECTS): Zbyt wiele przekierowań”.
Jak to naprawić ???
Personel redakcyjny
Artykuł ma sekcję na ten temat. Czy to nie rozwiązało tego problemu?
Admin
Anish K.S
Tak, naprawiłem to. Dzięki za poradnik.
Mathieu Slaedts
Witam.
Próbuję wdrożyć tę ochronę. Próbowałem obu rozwiązań (ręcznie i z panelu administracyjnego mojego hosta). W obu przypadkach plik .htaccess znajduje się w folderze wp-admin, ale wyskakujące okienko pojawia się na każdej stronie.
Czy masz pomysł, skąd to się bierze?
Dzięki
Personel redakcyjny
To jest mało prawdopodobne zachowanie. Bez analizy konkretnej sytuacji nie możemy powiedzieć, dlaczego tak się dzieje. Wiemy, że postępując zgodnie z tym samouczkiem, powinieneś być w stanie sprawić, by działało. U nas działa na WPBeginner.
Admin
Ollie
Miałem właśnie ten sam problem z pojawiającym się popupem na prawie każdej stronie mojej strony WordPress.
Okazuje się, że na stronach, gdzie się pojawiało, zasób wp-admin, w tym przypadku coś z wtyczki, był pobierany i to wydaje się wywołać wyskakujące okienko. Od tego czasu wyłączyłem wtyczkę i okienko z hasłem już się nie pojawia na tych stronach.
Więc otworzyłbym źródło i wyszukał wp-admin, aby zobaczyć, co powoduje pojawienie się okna.
Personel redakcyjny
Najczęściej ładowanym plikiem jest admin-ajax.php, a my już to omówiliśmy. Jeśli wtyczka ładuje inny plik, to tak, musisz to uwzględnić.
aditya
Zrobiłem tak, jak powiedziałeś.
Zabezpieczyłem mój katalog wp-admin i działa przy logowaniu, ale ten sam komunikat wyskakuje podczas nawigacji po stronie ????
Personel redakcyjny
Oznacza to, że masz kod w nieprawidłowym pliku .htaccess. Musisz utworzyć zupełnie nowy plik .htaccess w folderze /wp-admin/. Wygląda na to, że wkleiłeś kod do głównego pliku .htaccess.
Admin
20Music
Cześć,
Zastosowałem się do sugestii znalezionej na Twojej stronie. Utworzyłem hasło z cPanelu dla folderu wp-admin i zadziałało poprawnie dla strony logowania administratora, ale po kliknięciu w każdy link na stronie pojawia się okienko z prośbą o identyfikację. Wszystko jest w porządku, gdy klikam anuluj.
Czy wiesz, na czym polega problem?
Użyłem również ErrorDocument 401 default w głównym .htaccees.
Dzięki
Personel redakcyjny
Czy możesz proszę potwierdzić, że opcja ochrony hasłem znajduje się w osobnym pliku .htaccess w twoim folderze wp-admin?
Admin
Brad LeBlanc
Próbowałem i nie dostałem żadnego okna, tylko błąd 404 (zbyt wiele przekierowań http).
I zostałem zablokowany ze wszystkiego, dopóki nie wyłączyłem hasła. Co się dzieje?
Personel redakcyjny
Czy zrobiłeś sztuczkę z .htaccess, o której wspomnieliśmy w artykule, która naprawia błąd 404.
Andrew
Dzięki za doskonałą pomoc na wpbeginner!
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
Personel redakcyjny
Przejdź do Ustawienia > Linki stałe. Po prostu kliknij zapisz i miejmy nadzieję, że to rozwiąże problem.
Admin
vic
odświeżenie permalinka zadziałało! dzięki, uratowałeś mnie przed wieloma kłopotami..!
Tomy
Naprawdę pomocne informacje, dzięki, najwyraźniej miałem włamanie, 3 pliki zostały dodane do mojej instalacji WordPress. 1 do wp-admin, 1 do wp-admin/images i 1 do wp-includes.
Wszystkie były plikami php. Jeden z nich zawierał zakodowane śmieci w base64.
Skonfiguruję htaccess w wp-admin, a wtyczka limitująca próby logowania wydaje się dostarczać dobrych informacji.
Och, udało mi się zauważyć pliki, które zostały dodane do mojej instalacji, ponieważ powiadomiła mnie o tym wtyczka monitorująca pliki WordPress.
Mao Shan
Cześć,
Postępowałem zgodnie z sugestią znalezioną w Internecie na temat zabezpieczania folderu wp-admin. Utworzyłem plik .htacess, aby zabezpieczyć folder hasłem. Jednak po jego wdrożeniu, na każdym linku, który klikam na stronie, pojawia się wyskakujące okienko z prośbą o identyfikację. Wszystko jest w porządku, gdy klikam anuluj. Czy wiesz, na czym polega problem? Chcę zabezpieczyć mój folder wp-admin, ale nie chcę wyskakującego okienka na wszystkich stronach/linkach. Obecnie używam tylko motywu Mayashop i wtyczki woocommerce.
Dzięki
Poniżej znajduje się mój przykład .htacess
Zamówienie zezwól, odmów
Zezwól wszystkim
Zatwierdź dowolne
Zamówienie zezwól, odmów
Zezwól wszystkim
Zatwierdź dowolne
Zamówienie zezwól, odmów
Zezwól wszystkim
Zatwierdź dowolne
AuthType Basic
AuthName „Tylko administrator”
AuthUserFile „(mójurl)/.htpasswds/public_html/wp-admin/passwd”
require valid-user
Personel redakcyjny
Jeśli plik .htaccess znajduje się w katalogu /wp-admin/, to nie powinno się to zdarzyć. Chyba że ładujesz zasoby administracyjne WordPressa na swoim froncie.
Admin
Mao Shan
Cóż, plik .htaccess jest w folderze wp-admin. Zmieniłem motyw z powrotem na twentyeleven i wszystko działa dobrze. Tylko na innym motywie pojawia się wymagane uwierzytelnianie na wszystkich stronach/linkach.
Dodałem poniższą linię i wszystko wydaje się w porządku, ale kiedy przechodzę do url/wp-admin, pojawia się błąd 310 (net::ERR_TOO_MANY_REDIRECTS): Za dużo przekierowań. Jaki jest powód?
Pliki ~ "\.(php)$"
Kolejność allow,deny
Allow from all
Satisfy any
Pliki
Personel redakcyjny
Czytałeś część artykułu, która mówi konkretnie o tym błędzie?
Mao Shan
Cześć, udało mi się to rozwiązać po czystej instalacji WordPressa. Problem polega na tym, że teraz nie mogę utworzyć formularza kontaktowego, ponieważ przekieruje mnie do błędu 404, a po aktywacji wtyczki xcloner również przekierowuje mnie do błędu 404.
Jakaś pomoc?
Sudeep Acharya
Zabezpieczyłem hasłem wp-admin. Ale mimo to ktoś jest w stanie przeprowadzić atak brute-force na moim blogu. Jaki może być tego możliwy powód?
Personel redakcyjny
Skąd wiesz, że próbowali złamać hasło i zalogować się do twojego wp-admin? To brzmi naprawdę podejrzanie. Często, gdy tak się dzieje, użytkownik ma zainstalowany backdoor.
Admin
Sudeep Acharya
Miałem za dużo pętli przekierowań i po prostu dodałem ten kod
ErrorDocument 401 default
w .httaccess naprawiło problem.
Ahsan
Powiedz mi, gdzie mam umieścić tę linię… proszę
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
Używam Cpanel i postępowałem zgodnie z instrukcjami konfiguracji, zrobiłem to, a także ustawiłem użytkownika i hasło.
Jednak po godzinach frustracji odkryłem, że do głównego pliku .htaccess należy dodać: ErrorDocument 401 default
Jeśli dodasz to tylko do głównego pliku .htaccess, wszystko działa. na górze, przed rozpoczęciem WordPress, Twój świat będzie znacznie spokojniejszy. To po tym, jak ustawisz ochronę katalogu w cpanelu.
Dzięki, użyłem Twojej strony z niewielkimi poprawkami i działa świetnie.
damian
Jestem tak zniechęcony. Mój serwis został zhakowany po zaledwie 2 dniach od uruchomienia! Liczba kroków potrzebnych do zabezpieczenia serwisu jest przytłaczająca, a mimo to nadal mogą się do niego dostać...
I każdy „autorytet” wydaje się mieć inną opinię, podejście lub ulubione wtyczki… kręci mi się w głowie… czy możesz podać podstawowy, ponumerowany opis kroków, które należy podjąć, aby uniknąć zhakowania… w tym cpanel, backend wp i wszystko inne, co uważasz za pomocne… i mam nadzieję, że kroki, które nie wymagają certyfikatu A+…. dzięki człowieku!
Personel redakcyjny
Bardzo przepraszamy za dotychczasowe doświadczenia. Mówiąc od tej chwili, nie ma znanych problemów z bezpieczeństwem w rdzeniu WordPress. Więc jeśli używasz najnowszej wersji WordPress, to jest dobrze. Często problemy z bezpieczeństwem dotyczą słabo zakodowanych wtyczek i motywów. Zanim zabezpieczysz swoją witrynę, musisz ją oczyścić. Czasami zmiana haseł i dodanie wszystkich tych środków nie wystarczą. Ponieważ hakerzy mogą pozostawić pliki z ukrytym dostępem, które dają im dostęp powłoki do twojego serwera. Zdecydowanie zalecamy rozpoczęcie korzystania z Sucuri i regularne tworzenie kopii zapasowych.
https://014.leahstevensyj.workers.dev/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
Upewnij się, że Twoje wtyczki i pliki rdzenia są zawsze aktualne. Nie używaj wtyczek/motywów z niepewnych źródeł. WordPress stał się współczesnym Windowsem. Ponieważ jest używany przez tak wiele stron, hakerzy mają motywację do znajdowania luk w wtyczkach, motywach itp.
Będziemy pracować nad stworzeniem obszernego poradnika na temat bezpieczeństwa.
Admin
bob
Zabezpieczyłem hasłem mój wp-admin na moich stronach, ale nadal otrzymywałem powiadomienia o blokadzie od wtyczki limit login. Jak to możliwe?
Zauważyłem wtedy, że jeśli wpiszę /wp-login.php? zamiast tego, a następnie anuluję, mogę przejść do strony logowania. Ughhh. Zastanawiam się, jakie inne obejścia istnieją, o których nie wiem.
Personel redakcyjny
Powinieneś rozważyć dodanie tej sztuczki również.
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
Admin
Peter
ROZWIĄZANIE OD HOSTGATORA
Wygląda na to, że wtyczka bezpieczeństwa dodała regułę przepisywania do pliku .htaccess w katalogu wp-admin/ dla Państwa konta. Powodowało to przekierowanie strony do samej siebie, co skutkowało pętlą przekierowań.
Poprawiłem problem z plikiem .htaccess i Twoja strona logowania do wp-admin ładuje się poprawnie w tej chwili.
Jeśli masz inne pytania lub wątpliwości, daj nam znać.
Z poważaniem,
Preston M.
Administrator Systemów Linux
HostGator.com LLC
Peter
Technik HostGator pracował przez pół godziny nad problemem błędu 404. Nie mógł go rozwiązać.
Nawet usunął wszystkie reguły przepisywania w pliku public_html/.htaccess
Peter
Nadal występuje błąd „Zbyt wiele przekierowań”
Strona nie przekierowuje prawidłowo
Przeglądarka Firefox wykryła, że serwer przekierowuje żądanie tego adresu w sposób, który nigdy się nie zakończy.
Ten problem może być czasami spowodowany wyłączeniem lub odmową akceptacji
plików cookie.
ALE dodałem:
Przekierowanie 301 /tag/tax/ http://snbchf.com/tag/taxes/
Przekierowanie 301 /tag/interest-rate/ http://snbchf.com/tag/academical/
Przekierowanie 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Przekierowanie 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
do mojego .htaccess w katalogu public_html.
(próbowałem też umieścić „ErrorDocument 401 default” na początku)
Ankur
To świetny sposób na ochronę katalogu wp-admin. Używałem tego przez długi czas, ale kiedy zainstalowałem commentluv, musiałem to odinstalować, ponieważ nie działało poprawnie.
Czy wiesz może o jakimś obejściu?
Personel redakcyjny
Just updated the article. Try that
Admin
Ankur
Thanks, commentluv now works fine
mindctrl
FYI, widziałem, że to psuje wtyczki, które używają ajaxa na froncie, wywołując wp-admin/admin-ajax.php.
Personel redakcyjny
Tak, to prawda. Nie używaliśmy żadnej wtyczki, która wykonywała to wywołanie. Możesz jednak dodać wyjątek dla tego pliku w .htaccess.
Admin
Martin
Nie jestem pewien, co robi cpanel, ale dodanie prostego htpasswd da ci ten sam rezultat.
Personel redakcyjny
Cóż, możesz dodać htpasswd. Ale musiałbyś również utworzyć regułę .htaccess w katalogu wp-admin, aby określić, że blokujesz katalog. Następnie określ użytkownika lub grupę użytkowników, którym zezwolono itp. To zasadniczo pomaga nam uprościć proces.
Admin
zimbrul
Powyższy samouczek w rzeczywistości dodaje zabezpieczenia za pomocą .htpassword i .htaccess za pośrednictwem przyjaznego interfejsu użytkownika w cPanel. Po wykonaniu powyższych czynności zauważysz, że plik .httpassword został wygenerowany poza katalogiem głównym serwera (ze względów bezpieczeństwa), a wewnątrz pliku znajdziesz informacje, które podałeś zgodnie z tym samouczkiem.
Howard
Na każdej stronie WP, którą posiadam, podczas mojego pierwszego logowania po konfiguracji tworzę kolejne konto administratora o nazwie, którą tworzę za pomocą formuły – i bardzo silnym, wygenerowanym komputerowo haśle. Następnie wylogowuję się i loguję do alternatywnego konta administratora, a standardową nazwę użytkownika administratora redukuję do „brak roli dla tej strony” i ustawiam wygenerowane komputerowo hasło o długości co najmniej 35 znaków. Nie zawracam sobie głowy zapisywaniem tego hasła nigdzie. Teraz to tylko przynęta.
Następnie instaluję wtyczkę „limit login attempts”. Za każdym razem, gdy zostanie ona uruchomiona, dodaję podejrzany adres IP do mojej listy blokowanych w .htaccess, aby upewnić się, że ten adres IP nie może uzyskać dostępu do mojej witryny.
Co tydzień łapię 3 lub 4 próby włamania się do panelu administratora.
Personel redakcyjny
Tak, też to mieliśmy. Jest taki moment, gdy ataki odbijają się od IP. Blokowanie ogromnego zakresu IP nie jest wystarczającą opcją. Mieliśmy również ograniczone logowanie według IP, ale to też nie wydawało się działać.
Admin
Howard
Wtyczka „limit login attempts” jest całkiem dobra. Mam ją ustawioną tak, aby blokowała na 100 godzin po 4 nieudanych próbach, z 4. blokadą ustawioną na 4000 godzin. Więc nawet jeśli sprawca może dynamicznie zmieniać adresy IP, musi to robić co cztery próby. A z naprawdę długim losowym hasłem, powinno to zająć kilka stuleci i więcej adresów IP, niż prawdopodobnie będzie w stanie uzyskać.
W mało prawdopodobnym przypadku, gdy złamią mojego „admina”, i tak nic im to nie da. Za każdym razem, gdy zauważę, że ten łajdak faktycznie odkrył moje prawdziwe imię administratora (zdarzyło się to tylko raz do tej pory), natychmiast tworzę nowe i ustawiam stare na „brak roli dla tej witryny” z bardzo długim, losowo wygenerowanym hasłem. Jest kilka innych szczegółów (np. najpierw muszę zmienić adres e-mail, zanim pozwoli mi to utworzyć nowe konto administratora z moim e-mailem), ale to w zasadzie załatwiło sprawę.
Naprawdę nie wiem, czy to jest kuloodporne, ale mam nadzieję, że łajdaki zdecydują, że to za dużo pracy i pójdą nękać słabszą stronę.
zimbrul
” Za każdym razem, gdy zauważę, że ten łajdak faktycznie odkrył moje prawdziwe imię administratora…” czy mogę zapytać, jak to odkryłeś?
Howard
@zimbrul Pewnie.
Wtyczka limitu prób logowania informuje mnie, który login jest atakowany. Zazwyczaj jest to „admin”, ale zdarzyła się jedna okazja, kiedy zobaczyłem nazwę mojego prawdziwego konta administratora. Więc utworzyłem nowe konto administratora, pozostawiłem stare, ale pozbawione jakichkolwiek uprawnień i z absurdalnie długim hasłem.
Nie jestem pewien, jak sprawca znalazł konto administratora, ponieważ przypisałem mu niepowiązany „pseudonim”, który pojawia się w postach. Zgaduję, że na serwerze znajduje się jakiś plik, który może być przynajmniej częściowo odczytany przez hakera, i prawdopodobnie muszę to zbadać.
Personel redakcyjny
Nazwę użytkownika jest dość łatwo znaleźć. Osoba musi jedynie spojrzeć na Twój adres URL autora, aby poznać Twoją nazwę użytkownika. Na przykład:
https://014.leahstevensyj.workers.dev/author/wpbeginner/
Nazwa użytkownika to „wpbeginner”. Dla większości stron tak jest, chyba że oczywiście zmienili nazwę użytkownika, jak pokazano w tej technice:
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-change-your-wordpress-username/
Jeśli zrobisz to w ten sposób, Twoja nazwa użytkownika się zmieni, ale Twój adres URL autora nie.
zimbrul
Howard, to ciekawy punkt; spróbuję to zaimplementować.
Miałem też problemy z błędami 404 lub zbyt wieloma przekierowaniami i nie znałem rozwiązania, dzięki za to!
Z jakiegoś powodu blokowanie adresu IP w .htaccess w folderze wp-admin nie działa na mojej stronie zimbrul.co.uk! Próbowałem uzyskać dostęp do mojej strony z telefonu komórkowego przez 3G i udało mi się przejść, mimo że jedynym dozwolonym adresem IP był adres domowy.
Personel redakcyjny
Tak, dlatego pomocne jest posiadanie podwójnego uwierzytelniania, takiego jak to.
Admin