Webbplatsägare behöver prioritera WordPress-säkerhet för att skydda sina känsliga data och upprätthålla användarnas förtroende. Ett mycket effektivt sätt vi gör detta på WPBeginner är genom att lösenordsskydda vår WordPress admin-katalog.
wp-admin-katalogen är kontrollcentret för din WordPress-webbplats. Det är där du hanterar allt från innehåll till inställningar, vilket gör den till ett primärt mål för hackare. Lösenordsskydd av dina adminfiler kommer att hålla dem säkra från attacker.
Den här artikeln ger en enkel guide för att enkelt lösenordsskydda din wp-admin-katalog och stärka din webbplats säkerhet.
Varför lösenordsskydda din WordPress admin-katalog?
Genom att lösenordsskydda din WordPress admin-katalog lägger du till ett extra säkerhetslager till den viktigaste åtkomstpunkten till din WordPress-webbplats.
Ditt WordPress admin-instrumentpanel är navet i din webbplats. Det är där du publicerar inlägg och sidor, anpassar ditt tema, installerar WordPress-plugins, och mer.
Ofta, när hackare försöker ta sig in på din webbplats, gör de det via wp-admin-skärmen med en brute force-attack.
Du kan hjälpa till att skydda din webbplats mot potentiella attacker genom att använda säkerhetsåtgärder som ett starkt lösenord och begränsa inloggningsförsök.
För att vara ännu säkrare kan du också lösenordsskydda wp-admin-katalogen. Sedan, när någon försöker komma åt ditt adminområde, måste de ange ett användarnamn och lösenord innan de ens når WordPress inloggningssida.
Med det sagt, låt oss titta på hur du kan lösenordsskydda din WordPress admin-katalog steg för steg.
Den första metoden rekommenderas för de flesta användare, och du kan använda snabblänkarna nedan för att hoppa direkt till den metod du vill använda:
- Lösenordsskydda wp-admin med katalogsekretess (rekommenderas)
- Lösenordsskydda wp-admin med kod
- Felsökning av lösenordsskydd för wp-admin
- Bonus: Bästa WordPress-guider för wp-admin-säkerhet
Videohandledning
Om du föredrar skriftliga instruktioner, fortsätt bara att läsa.
Metod 1: Lösenordsskydda wp-admin med katalogsekretess (rekommenderas)
Det enklaste sättet att lösenordsskydda din WordPress adminkatalog är att använda din WordPress-värdleverantörs app för katalogsekretess.
Först måste du logga in på ditt webbhotells instrumentpanel och klicka på alternativet ‘Directory Privacy’ i avsnittet Filer på din webbplats cPanel-instrumentpanel.
Notera: De flesta webbhotell som använder cPanel, som Bluehost, kommer att ha liknande steg. Din instrumentpanel kan dock skilja sig något från våra skärmdumpar, beroende på din hosting-leverantör.
Detta tar dig till en skärm som listar alla olika kataloger på din server. Du måste hitta mappen som innehåller dina webbplatsfiler.
För de flesta webbplatsägare hittas detta genom att klicka på mappen 'public_html'.
Detta visar alla webbplatsfiler som du har installerat på din server.
Därefter måste du klicka på mappen med din webbplats domännamn.
I den mappen ser du en wp-admin-mapp.
Istället för att klicka på mappnamnet måste du klicka på knappen 'Redigera' bredvid den mappen.
Detta tar dig till en skärm där du kan aktivera lösenordsskydd.
Markera helt enkelt rutan som säger 'Lösenordsskydda denna katalog'. Om du vill kan du också ge din katalog ett namn som 'Adminområde' för att hjälpa dig att komma ihåg.
När du har gjort det måste du klicka på 'Spara'-knappen.
Detta tar dig till en sida där bekräftelsemeddelandet visas.
Nu behöver du klicka på knappen 'Gå tillbaka', och du kommer till en skärm där du kan skapa en användare som kommer att kunna komma åt den här katalogen.
Du kommer att bli ombedd att ange ett användarnamn och lösenord och sedan bekräfta lösenordet. Se till att anteckna ditt användarnamn och lösenord på en säker plats, till exempel en lösenordshanteringsapp.
Se till att du klickar på knappen 'Spara' när du är klar.
Nu, när någon försöker komma åt din wp-admin-katalog, kommer de att uppmanas att ange användarnamn och lösenord som du skapade ovan.
Metod 2: Lösenordsskydda wp-admin med kod
Du kan också lösenordsskydda din WordPress adminkatalog manuellt. För att göra detta behöver du skapa två filer som heter .htpasswd och .htaccess.
Notera: Att lägga till kod på din WordPress-webbplats kan vara farligt. Även ett litet misstag kan orsaka stora fel på din webbplats. Vi rekommenderar endast denna metod för avancerade användare.
Skapa .htaccess-filen
Öppna först din föredragna textredigerare och namnge den nya filen .htaccess.
Därefter behöver du kopiera följande kodavsnitt och lägga till det i filen:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Se till att du ändrar sökvägen för 'AuthUserFile' till platsen där du kommer att ladda upp .htpasswd-filen och ändra 'dittanvändarnamn' till det användarnamn du vill använda för att logga in.
Glöm inte att spara filen när du är klar.
Skapa .htpasswd-filen
När du har gjort det måste du skapa en .htpasswd-fil.
För att göra detta, öppna en textredigerare och skapa en fil som heter .htpasswd. Den här filen kommer att lista ditt användarnamn tillsammans med ditt lösenord i krypterat format.
Det enklaste sättet att generera det krypterade lösenordet är med en htpasswd-generator.
Ange bara ditt användarnamn och lösenord, välj krypteringsformat och klicka på knappen ‘Skapa .htpasswd-fil’.
htpasswd-generatorn kommer att visa en textrad som du behöver klistra in i din .htpasswd-fil. Se till att spara filen när du är klar.
Ladda upp .htaccess och .htpasswd till wp-admin-katalogen
Det sista steget är att ladda upp båda filerna du skapade till din webbplats wp-admin-mapp.
Du behöver ansluta till ditt WordPress-värdkonto med en FTP-klient eller filhanteraren online som din värdleverantör tillhandahåller. För mer information, se vår nybörjarguide om hur man använder FTP för att ladda upp filer till WordPress.
För den här handledningen kommer vi att använda FileZilla eftersom den är gratis och fungerar på både Mac och Windows.
När du har anslutit till din webbplats ser du filerna på din dator i det vänstra fönstret och filerna på din webbplats till höger. Till vänster behöver du navigera till platsen där du sparade filerna .htaccess och .htpasswd.
Gå sedan till höger till katalogen wp-admin för webbplatsen du vill skydda. De flesta användare behöver dubbelklicka på mappen public_html, sedan mappen med sitt domännamn, sedan mappen wp-admin.
Nu kan du välja de två filerna till vänster och klicka på 'Ladda upp' i högerklicksmenyn eller helt enkelt dra filerna till vänster fönster.
Nu kommer din 'wp-admin'-katalog att vara lösenordsskyddad.
Felsökning av lösenordsskydd för wp-admin
Beroende på hur din server och webbplats är konfigurerade, finns det en chans att du kan stöta på WordPress-fel. Dessa fel kan åtgärdas genom att noggrant lägga till kod i din .htaccess-fil.
Notera: Detta är filen .htaccess som finns i din huvudsakliga webbplatsmapp, inte den du laddade upp till mappen ‘wp-admin’. Om du har problem med att hitta den, se vår guide om varför du inte kan hitta .htaccess och hur du hittar den.
Åtgärda felet att Ajax inte fungerar
Ett av de vanligaste felen är att Ajax-funktionalitet kan sluta fungera på framsidan av din webbplats. Om du har WordPress-plugins som kräver Ajax, som till exempel live Ajax-sökning eller Ajax-kontaktformulär, då kommer du att märka att dessa plugins inte fungerar längre.
För att åtgärda detta, lägg helt enkelt till följande kod i filen .htaccess som finns i din wp-admin-mapp:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Åtgärda 404-fel och fel med för många omdirigeringar
Två andra fel du kan stöta på är 404-felet och för många omdirigeringar-felet.
Det enklaste sättet att fixa dem är att öppna din huvudsakliga .htaccess-fil som finns i din webbplatskatalog och lägga till följande kodrad före WordPress-reglerna:
ErrorDocument 401 default
Bonus: Bästa WordPress-guider för wp-admin-säkerhet
Vi hoppas att den här artikeln hjälpte dig att lära dig hur du lösenordsskyddar din WordPress admin (wp-admin) katalog. Du kanske vill se ytterligare guider om hur du gör ditt adminområde säkrare:
- Hur man begränsar WordPress adminåtkomst efter IP-adress
- Viktiga tips för att skydda ditt WordPress adminområde (uppdaterad)
- Hur man lägger till en anpassad inloggnings-URL i WordPress (steg för steg)
- Hur och varför du bör begränsa inloggningsförsök i WordPress
- Hur man lägger till tvåfaktorsautentisering i WordPress (gratis metod)
- Hur man lägger till säkerhetsfrågor på WordPress inloggningsskärm
- Hur man tvingar användare att ändra lösenord i WordPress – Lösenordsutgång
- Hur man återställer lösenord för alla användare i WordPress
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Rauf
Herr när jag loggar in dyker popup-knappen upp igen och igen och ber mig ange användarnamn och lösenord
demonkoryu
Redigering: Jag ser att ditt problem inte handlar om Disqus-kommentarer (ansiktsklapp), men det kan ändå vara tillämpligt i ditt fall.
Det här hände mig också.
a) Rensa alla cookies (för Disqus och webbplatsen där du försöker använda den)
b) Prova en annan webbläsare än den du använder för närvarande
Thomas
Detta fungerar inte för mig i WordPress 3.9.1. Jag får ett 500 (internt serverfel) för alla administratörssidor, och wp-login.php-sidan laddas men visas inte korrekt.
Jag har lagt till koden för 404-felet i huvudfilen .htaccess, och har lagt till ajax-koden i filen wp-admin/.htaccess. Ingen förändring.
Vad kan orsaka detta? Är min server eller WordPress-installation felkonfigurerad på något sätt?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
David
Tack! –
fixade mitt omdirigeringsloop-problem med ErrorDocument 401 default
Gäst
Jag lade till admin-ajax-koden i min /wp-admin .htaccess-fil, men det löste inte problemet. All-In-One-Event-Calendar-pluginet kan fortfarande inte komma åt admin-ajax på frontend.
Vänligen ge råd.
Tack!
bamajr
Skulle inte tvåfaktorsautentisering till WordPress Admin, inloggningsprocessen, lösa detta? Säg, genom att använda Authy (och deras associerade plugin)!
WPBeginner Support
Ja, men ett ytterligare lager stärker säkerheten.
Admin
Chris Christoff
Hej alla,
Snabb notering, admin-ajax.php är inte det enda som plugins behöver åtkomst till. Du måste också tillåta icke lösenordsskyddad åtkomst till async-upload.php och media-upload.php
Dessa används av plugins för att tillåta filuppladdning på frontend (som att ladda upp en fil under en utcheckning).
-Chris
bikramjit singh
Hej... jag är ny på wordpress och en regelbunden besökare här. Jag har ett problem. När jag försöker logga in på mitt wordpress-panel, kommer panelen för att ange användarnamn och lösenord inte upp. Webbplatsen öppnas av sig själv. Min domän är http://www.tradethetechnicals.com.How kan lösa detta problem?
WPBeginner Support
Du kan besöka din inloggningssida här: http://tradethetechnicals.com/wp-admin
Admin
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
Kushal Jayswal
Hej, jag är förvirrad!
Om jag låser wp-admin-katalogen, kan registrerade författare komma åt "http://site.com/wp-admin" i webbläsaren? Eller behöver de också användarnamn och lösenord?
Se på min blogg, vem som helst kan logga in direkt med Facebook, så i ett sådant fall om lösenord och användarnamn är obligatoriskt för alla användare. Det blir lite komplicerat att hantera...
Någon kommentar?
WPBeginner Support
dina registrerade författare kommer att behöva lösenord för att komma åt WP Admin-området.
Admin
Phil Alcock
Tack för ajax-fixen. Jag lade till de få raderna och det löste mitt problem med ett plugin. Mycket enklare än förslaget i Wordpress Codex.
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
hej,
jag använder den här lösenordsmetoden,
snälla hjälp, för att dessa popup-fönster inte öppnas i UCBrowser !!
så säg mig, kan jag skapa en sida, en html-sida eller någon annan typ av sida för inloggning?? Jag vill inte visa en popup, jag vill visa en inloggningssida, och andra funktioner som vanligt
WPBeginner Support
Du kan skapa en anpassad inloggningssida för WordPress.
Admin
Chathu
Om jag följer cpanel-metoden, finns det något sätt att ta bort lösenordet?
Tack!
Masood
Tack för att du delade, mycket hjälpsamt
Arthur
Wow! äntligen! "ErrorDocument 401 default" gjorde susen. Jag höll på att tappa tålamodet med omdirigeringsproblemet....
Tack så mycket för att du delar det.
James
Verkar fungera utmärkt förutom att den begär autentisering på vår startsida, inte bara när man går till wp-admin. Är detta möjligen ett annat plugin som anropar en fil som inte är admin-ajax.php?
Redaktionell personal
Ja, det är mycket möjligt att ett annat plugin anropar admin-ajax.php. Du bör använda fixen som nämns ovan.
Admin
Jeffro
Ville bara låta er veta att när jag skulle hantera mina prenumerationer här på webbplatsen via en e-postlänk, fick jag upp användarnamn och lösenord. Att klicka på Avbryt lät mig hantera mina prenumerationer. Efter att ha valt ett alternativ och klickat på Spara, fick jag upp prompten igen, vilket att klicka på Avbryt också tillät åtgärden att utföras. Ville bara låta er veta ifall ni inte ville att det skulle hända andra.
Muhammad Ahsan
Ska jag kopiera raden "ErrorDocument 401 default" i .htaccess-filen i /wp-admin/.htaccess-filen? eller någon annan .htaccess-fil?
Redaktionell personal
Du skulle klistra in detta i huvud .htaccess-filen.
Admin
pankaj
Hej, Som du sa gjorde jag det, men när jag öppnar wp-admin-katalogen får jag ett felmeddelande som "Sidan omdirigeras inte korrekt"
Firefox har upptäckt att servern omdirigerar begäran för den här adressen på ett sätt som aldrig kommer att slutföras.
Det här problemet kan ibland orsakas av att man inaktiverar eller vägrar att acceptera
cookies.
Även i Google Chrome ger den ingen popup. Kan du berätta hur jag löser detta problem.
Tack på förhand.
Redaktionell personal
Du måste läsa avsnittet i artikeln som säger: För många omdirigeringar-fel
Admin
Ed Emery
Hej,
Detta problem har pågått sedan dag ett förra veckan när jag först installerade WP. Jag följde precis steg-för-steg-guiden Hur man lösenordsskyddar din WordPress admin (wp-admin) katalog men samma problem! Här är en skärmdump av vad / vem / hackaren håller på med.
Först detta:
Servern sacramentofan.com på WPBeginner Admins Only kräver ett användarnamn och lösenord.
Varning: Den här servern begär att ditt användarnamn och lösenord skickas på ett osäkert sätt (grundläggande autentisering utan en säker anslutning).
Sedan detta efter att ha försökt logga in:
Servern sacramentofan.com vid WordPress attackskydd CAPTCHA. Ange användarnamn: e7en4d Lösenord: Resultatet av matematiken 16+4 kräver ett användarnamn och lösenord.
Varning: Den här servern begär att ditt användarnamn och lösenord skickas på ett osäkert sätt (grundläggande autentisering utan en säker anslutning).
Hur stoppar jag detta eftersom jag har försökt allt sedan förra torsdagen 2013-07-18
Tack,
Ed
Redaktionell personal
För komplext problem att förklara bara genom att höra om det. Skulle verkligen behöva se vad som händer. Det verkar som att något plugin orsakar detta problem.
Admin
David McMahon
Tack så mycket för detta hjälpsamma tips – jag hade undrat varför jag fortsatte att få det fruktade meddelandet "begäran kommer aldrig att slutföras" från Firefox, men nu gör jag det inte!
Akash Deep Satpathi
Hej! Jag följde din handledning med cPanel men efter det kunde jag inte se mitt Dashboard. Det stod "Den här webbsidan har en omdirigeringsloop" i Google Chrome. Så, vad missar jag?
Redaktionell personal
Läs avsnittet som förklarar 404-fel eller problemet med för många omdirigeringar.
Admin
Meher
Hej,
Tack så mycket för din artikel.
Jag försökte lägga till ett extra inloggningslager till wp-admin-mappen och omdirigerades till – För många omdirigeringar-fel –.
Jag sökte mycket på Google och stötte på din artikel. Detta hjälpte mig verkligen att lösa detta problem.
Tack än en gång.
Dan
Samma problem här.
arman
det fungerar bra
men det finns ett problem.
när vanliga användare loggar in och vill gå till instrumentpanelen och ändra viss information som profilbild måste de också svara på detta användarlösenord!!
finns det någon chans att ställa in den här skyddade mappen endast för administratören eller ignorera den för vanliga användares instrumentpanel?
Redaktionell personal
Nej. Du skulle behöva göra det för alla användare.
Admin
ARMAN
Så, om jag använder detta för alla användare, betyder det att alla användare måste ha mitt användarnamn och lösenord för den skyddade mappen!!
så vem som helst kan registrera sig och vem som helst måste ha detta användarnamn, lösenord då kan vilken hacker som helst registrera sig som användare på min webbplats och få detta användarnamn & lösenord !!
Så att skydda Wp-admin är bara användbart för webbplatser med en administratör eller med vissa specialanvändare att dela detta användarlösenord ...
Redaktionell personal
Du kan skapa flera användare i .htpswd. Du skulle behöva använda vad som kallas en grupp.
räv
ooohhh men tack för din hjälp :
ErrorDocument 401 default
fungerar perfekt !!!!!
Nishant
Tack för tipsen. Jag har implementerat lösenordsskydd för Wp-Admin-katalogen och har även lagt till dubbel autentisering med Google Authenticator. Det verkar fungera bra.
Jag migrerade nyligen till en ny värd (Bluehost) och satte upp min Wordpress-webbplats.
Jag har installerat Wordfence säkerhetsplugin. Konfigurationen av pluginet är sådan att varje gång någon loggar in (inklusive jag själv), får jag ett e-postmeddelande. Och även om någon försöker logga in med ett ogiltigt användarnamn, så låser det ute den IP-adressen i 10 minuter och skickar ett e-postmeddelande som meddelar mig att det har varit ett misslyckat inloggningsförsök.
Med tanke på att jag har lösenordsskyddat min Wp-admin-katalog, om inte någon känner till användarnamnet och lösenordet för den, kan de inte nå wp-admin eller wp-login för att försöka logga in på min wordpress.
Men igår kväll fick jag några e-postmeddelanden från Wordfence som citerade att några IP-adresser hade blivit utelåsta för att ha gjort misslyckade försök att logga in på Wordpress med ogiltiga användarnamn (som admin, Admin eller nishant). Är det möjligt att kringgå server-sidig lösenordsskydd av wp-admin-katalogen och försöka logga in på Wordpress?
Nishant
Nishant
Dessutom märkte jag just det...
När jag använder URL:en direkt till wp-login, visas fönstret för serverlösenord för wp-admin-katalogen. Men när jag klickar på avbryt i det lösenordsfönstret (2 till 3 gånger), visas wp-login-sidan!
Men när url:en är wp-admin, då när du klickar på avbryt visas "401 Authorization Required
Ogiltiga inloggningsuppgifter!"
Och loggfilerna visade att de ogiltiga inloggningsförsöken försökte komma åt wp-login.php direkt.
Redaktionell personal
Ja, wp-login.php är fortfarande tillgänglig. Men även om de får rätt lösenord, kommer de inte att kunna se det. Du kan också använda samma teknik och lösenordsskydda din wp-login.php-fil individuellt.
Admin
Jeffro
Vad exakt skulle den koden vara? Jag såg inget enkelt sätt att lösenordsskydda specifika filer i Cpanel.
Bart
Kära författare,
Jag är övertygad om att jag följde alla dina direktiv, men ändå får jag Firefox "ändlös loop"-meddelande. Detta är vad jag har gjort hittills:
– Jag skapade en .htpasswds-fil i /.htpasswds/public_html/wp-admin/passwd (CHMOD 664)
– Jag skapade en .htaccess-fil med en genererad hash / användarnamn och placerade den i /public_html/wp-admin
– Jag infogade raden ErrorDocument 401 default före all kod i min huvudsakliga .htaccess-fil i /public_html
Kan du guida mig till att lösa detta problem. Mina huvudfrågor är:
– du säger ”skapa en fil som heter ‘.htpasswds’ “. Är det här verkligen rätt filnamn? Jag menar, med s:et på slutet inkluderat?
– vilken exakt sökväg behöver jag ange i min .htaccess-fil i min /public_html/wp-admin-mapp? För närvarande står det ”AuthUserFile /.htpasswds/public_html/wp-admin/passwd” Jag är inte säker på att jag gör den här delen rätt…
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
Tack så mycket på förhand... om du behöver mer information är jag mer än villig att ge den. Med vänliga hälsningar,
Bart
Redaktionell personal
Vilken typ av hosting har du? Har du en cPanel-webbhotell? Kan du försöka använda cPanel-metoden för att generera htpswd-filen?
Det är verkligen svårt att säga vad som går fel eftersom vi skrev ner exakt samma sak som vi gjorde på vår webbplats.
Admin
zimbrul
Jag skulle vilja ställa en fråga till er: har det någonsin hänt er att admin-mappen är lösenordsskyddad och att ni ombeds autentisera er för VARJE inlägg ni läser på er blogg? Det händer med en av mina bloggar. Jag undrade om det inte är bättre att skydda admin-inloggningen med Google Authenticator eller något liknande istället...
Redaktionell personal
Om du ombeds att autentisera dig varje gång, då händer en av två saker:
1. Du klistrade in .htaccess-informationen i din huvudsakliga .htaccess-fil och inte i .htaccess-filen i mappen /wp-admin/.
2. admin-ajax.php-filen laddas på frontend. Du måste lägga till regeln för att förhindra att den blir lösenordsskyddad. Vi har nämnt lösningen för det.
Slutligen, ja, vi har 3 skyddslager för vår admin. IP-matchning (om det inte matchar, då .htaccess-lösenordet), och sedan finns Google Authenticator. Vi har också aktiverat begränsning av inloggningsförsök.
Sucuri gör också ett ganska bra jobb med att blockera andra attacker.
Admin
Anish K.S
jag försökte den här metoden, men får ett fel " Fel 310 (net::ERR_TOO_MANY_REDIRECTS): Det blev för många omdirigeringar."
Hur fixar jag detta ???
Redaktionell personal
Artikeln har en sektion om det. Löste inte det problemet?
Admin
Anish K.S
Ja, jag fixade det. Tack för handledningen.
Mathieu Slaedts
Hej.
Jag försöker implementera detta skydd. Jag provade de två lösningarna (manuellt och via adminpanelen på min värd). I båda fallen ligger .htacess i wp-admin-mappen, men popup-fönstret visas på varje sida.
Någon idé varifrån det kommer?
Tack
Redaktionell personal
Det är ett osannolikt beteende. Utan att titta på den specifika situationen kan vi inte säga varför den gör så. Vi vet att genom att följa den här handledningen som den är skriven, bör du kunna få den att fungera. Vi har den igång på WPBeginner.
Admin
Ollie
Jag hade precis samma problem med popupen som dök upp på nästan varje sida på min wordpress-webbplats.
Det visar sig att på sidorna där det visades, en wp-admin-resurs, i det här fallet något från ett plugin, drogs in och det verkar ha utlöst popupen. Jag har sedan dess inaktiverat pluginet och lösenordspopupen visas inte längre på dessa sidor.
Så, jag skulle öppna källkoden och söka efter wp-admin för att se vad som orsakar att popupen visas.
Redaktionell personal
Den vanligaste filen som laddas är admin-ajax.php, och den har vi redan gått igenom. Om ett plugin laddar en annan fil, då måste du ta hänsyn till det.
aditya
Jag följde upp som du sa.
Jag skyddade min wp-admin-katalog och det fungerar för inloggning men samma popup dyker alltid upp när jag navigerar på webbplatsen ????
Redaktionell personal
Detta innebär att du har koden i fel .htaccess-fil. Du måste skapa en helt ny .htaccess-fil i din /wp-admin/-mapp. Det låter som att du klistrade in koden i din huvudsakliga .htaccess-fil.
Admin
20Music
Hej,
Jag följde förslaget som hittades på din webbplats. Jag skapade ett lösenord från cpanel på wp-admin-mappen och det fungerade bra för admininloggningssidan men på varje länk som jag klickar på på webbplatsen, dyker en popup upp och ber om identifiering. Allt är okej när jag klickade på avbryt.
Vet du vad problemet är med det?
Jag använde också ErrorDocument 401 default på huvud .htaccees.
Tack
Redaktionell personal
Kan du vänligen verifiera att lösenordsskyddet finns i en separat .htaccess-fil i din wp-admin-mapp?
Admin
Brad LeBlanc
Jag provade det och jag fick inget fönster bara ett 404-fel (för många http-omdirigeringar).
Och jag blev utelåst från allt tills jag inaktiverade lösenordet. Vad är det som händer?
Redaktionell personal
Gjorde du .htaccess-tricket vi nämnde i artikeln som åtgärdar 404-felet.
Andrew
Tack för den utmärkta hjälpen på wpbeginner!
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
Redaktionell personal
Gå till dina Inställningar > Permalänkar. Klicka bara på spara och förhoppningsvis löser det problemet.
Admin
vic
permalänken uppdaterades fungerade! tack, du räddade mig från många huvudvärk..!
Tomy
Verkligen hjälpsam information tack, jag hade tydligen ett intrång, 3 filer vi lade till i min Wordpress-installation. 1 till wp-admin, 1 till wp-admin/images och 1 till wp-includes.
Alla var php-filer. En av dem hade bas 64-kodat skräp i sig.
Kommer att ställa in htaccess i wp-admin, och pluginet för att begränsa inloggningsförsök verkar ge bra information.
Åh, jag kunde märka filerna som lades till i min installation eftersom Wordpress filövervakningsplugin varnade mig.
Mao Shan
Hej,
Jag följde förslaget som hittades på internet om hur man säkrar wp-admin-mappen. Jag skapade en .htacess för att lösenordsskydda mappen. Men efter att ha implementerat det, på varje länk jag klickar på webbplatsen, kommer en popup att visas som ber om identifiering. Allt är okej när jag klickade på avbryt. Vet du vad problemet är? Jag vill säkra min wp-admin-mapp men jag vill inte ha popupen på alla sidor/länkar. Använder för närvarande endast Mayashop-tema och woocommerce-plugin.
Tack
Nedan är mitt exempel på .htacess
Order allow,deny
Tillåt från alla
Tillfredsställ alla
Order allow,deny
Tillåt från alla
Tillfredsställ alla
Order allow,deny
Tillåt från alla
Tillfredsställ alla
AuthType Basic
AuthName "Endast administratör"
AuthUserFile "(minurl)/.htpasswds/public_html/wp-admin/passwd"
require valid-user
Redaktionell personal
Om din .htaccess-fil finns i din /wp-admin/-katalog så borde detta inte hända. Om du inte laddar WordPress admin-tillgångar på din frontend.
Admin
Mao Shan
Tja, .htaccess-filen finns i wp-admin-mappen. Jag bytte tillbaka temat till twentyeleven och allt fungerar bra. Endast på det andra temat dyker auktoriseringskravet upp på alla sidor/länkar.
Jag lade till följande rad och allt verkar vara okej, men när jag går till url/wp-admin visas fel 310 (net::ERR_TOO_MANY_REDIRECTS): Det var för många omdirigeringar. Vad är anledningen?
Filer ~ "\.(php)$"
Ordning tillåt, neka
Tillåt från alla
Tillfredsställ alla
Filer
Redaktionell personal
Läste du delen av artikeln som specifikt handlar om det felet?
Mao Shan
Hej, jag lyckades lösa det efter en ren WordPress-installation. Problemet är att jag nu inte kan skapa ett kontaktformulär eftersom det omdirigerar mig till fel 404 och när jag aktiverar xcloner-pluginet omdirigerar det mig också till fel 404.
Någon hjälp?
Sudeep Acharya
Jag har lösenordsskyddat wp-admin. Men trots detta kan någon brute-force-attackera min blogg. Vad kan vara den möjliga orsaken till detta?
Redaktionell personal
Hur vet du att de brute-force-attackade och loggade in på din wp-admin? Det låter verkligen misstänkt. Ofta när detta händer har användaren en bakdörr på plats.
Admin
Sudeep Acharya
Jag hade fått för många omdirigeringsloopar och lade bara till den här koden
ErrorDocument 401 default
i .httaccess löste problemet.
Ahsan
Berätta var jag ska placera den här raden... snälla
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
Jag använder Cpanel och gick igenom hur det skulle sättas upp och gjorde det, även användaren och lösenordet.
Vad jag dock upptäckte efter timmar av frustration är att den huvudsakliga .htaccess-filen måste ha detta tillagt: ErrorDocument 401 default
Om du lägger till det endast i den huvudsakliga .htaccess-filen fungerar allt. högst upp före början av wordpress kommer din värld att vara mycket mer avslappnad. Det är efter att du har ställt in skyddad katalog i cpanel
Tack, använde din sida med lite justeringar och det fungerar utmärkt.
damian
Jag blir så modfälld. Min sajt blev hackad efter bara 2 dagar! Mängden steg som krävs för att skydda sajten är överväldigande, och ändå kan de fortfarande komma in...
Och varje "auktoritet" verkar ha en annan åsikt eller strategi eller favoritplugins... mitt huvud snurrar... kan du ge en grundläggande numrerad genomgång av steg att ta för att undvika att bli hackad... inklusive cpanel, backend wp, och allt annat du kan tycka är hjälpsamt... och förhoppningsvis steg som inte kräver ett A+ certifikat.... tack mannen!
Redaktionell personal
Vi ber verkligen om ursäkt för den upplevelse du har haft hittills. Från och med nu finns det inga kända säkerhetsproblem i WordPress kärna. Så om du använder den senaste versionen av WordPress, så är det bra. Ofta beror säkerhetsproblem på dåligt kodade plugins och teman. Innan du kan säkra din webbplats måste du städa upp den. Ibland räcker det inte att byta lösenord och lägga till alla dessa åtgärder. Eftersom hackare kan lämna kvar bakdörrsfiler som ger dem skalåtkomst till din server. Vi rekommenderar starkt att du börjar använda Sucuri och har regelbundna säkerhetskopior.
https://014.leahstevensyj.workers.dev/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
Se till att hålla dina plugins och kärnfiler uppdaterade hela tiden. Använd inte plugins/teman från opålitliga källor. WordPress har blivit vår tids Windows. Eftersom så många webbplatser använder det, har hackare motivationen att hitta sårbarheter i plugins, teman etc.
Vi kommer att arbeta med att skapa en omfattande handledning om säkerhet.
Admin
bob
Jag lösenordsskyddade min wp-admin på mina webbplatser men jag fick fortfarande meddelanden om utelåsning från lilmit login-plugin. Hur kunde det vara?
Jag märkte sedan att om jag skriver in /wp-login.php? istället och sedan avbryter kan jag komma till inloggningssidan. Uggggh. Får mig att undra vilka andra lösningar det finns som jag inte känner till.
Redaktionell personal
Du bör överväga att lägga till det här tricket också.
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
Admin
Peter
LÖSNINGEN FRÅN HOSTGATOR
Det verkar som att ett säkerhetsplugin hade lagt till en omskrivning till .htaccess-filen inom wp-admin/ för ditt konto. Detta orsakade att webbplatsen omdirigerades till sig själv, vilket orsakade en omdirigeringsloop.
Jag har korrigerat problemet med .htaccess-filen och din wp-admin-inloggningssida laddas korrekt för närvarande.
Om du har några andra frågor eller funderingar, vänligen meddela oss.
Med vänliga hälsningar,
Preston M.
Linux Systemadministratör
HostGator.com LLC
Peter
En HostGator-tekniker arbetade en halvtimme med 404-felsfrågan. Han kunde inte lösa den.
Han tog till och med bort alla omskrivningsregler i public_html/.htaccess
Peter
Får fortfarande felmeddelandet "För många omdirigeringar"
Sidan omdirigeras inte korrekt
Firefox har upptäckt att servern omdirigerar begäran för den här adressen på ett sätt som aldrig kommer att slutföras.
Det här problemet kan ibland orsakas av att cookies inaktiveras eller vägras att accepteras.
MEN JAG lade till:
"Omdirigering 301 /tag/tax/ http://snbchf.com/tag/taxes/
Omdirigering 301 /tag/interest-rate/ http://snbchf.com/tag/academical/"
Omdirigering 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Omdirigering 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
till min .htaccess i public_html-katalogen.
(försökte även placera “ErrorDocument 401 default” i början)
Ankur
Det är ett utmärkt sätt att skydda wp-admin-katalogen. Jag använde det under lång tid men när jag installerade commentluv var jag tvungen att avinstallera det eftersom det inte fungerade ordentligt.
Vet du möjligen någon lösning?
Redaktionell personal
Just updated the article. Try that
Admin
Ankur
Thanks, commentluv now works fine
mindctrl
FYI, jag har sett att detta kan orsaka problem för plugins som använder ajax på frontend genom att anropa wp-admin/admin-ajax.php.
Redaktionell personal
Ja, det stämmer. Vi använde ingen plugin som gjorde det anropet. Du kan dock lägga till ett undantag för den filen i .htaccess.
Admin
Martin
Jag är inte säker på vad cpanel gör, men att lägga till en enkel htpasswd ger dig samma resultat.
Redaktionell personal
Tja, du kan lägga till en htpasswd. Men du skulle också behöva skapa en .htaccess-regel i katalogen wp-admin för att ange att du låser katalogen. Ange sedan användaren eller användargruppen som är tillåten etc. Detta hjälper oss i grunden att förenkla processen.
Admin
zimbrul
Ovanstående handledning lägger faktiskt till säkerhet med .htpassword och .htaccess via ett användarvänligt gränssnitt i cPanel. Efter att du har gjort ovanstående kommer du att märka att en .httpassword-fil har genererats utanför din serverrot (av säkerhetsskäl) och inom filen hittar du den information du har angett enligt denna handledning.
Howard
På varje WP-sajt jag har, vid min allra första inloggning efter installation, skapar jag ett annat administratörskonto med ett namn som jag konstruerar med en formel – och ett mycket starkt, datorgenererat lösenord. Jag loggar sedan ut och loggar sedan in på det alternativa administratörskontot och reducerar standardadministratörsanvändarnamnet till "ingen roll för denna webbplats" och ställer in ett datorgenererat lösenord som är minst 35 tecken långt. Jag bryr mig inte om att spara det lösenordet någonstans. Det är nu bara en honeypot.
Sedan installerar jag pluginet "limit login attempts". Varje gång det utlöses lägger jag till den kränkande IP-adressen i min spärrlista i .htaccess för att säkerställa att den IP-adressen inte kan nå min webbplats.
Jag fångar 3 eller 4 försök att bryta sig in i admin varje vecka.
Redaktionell personal
Ja, vi hade det också. Det kommer en punkt när attacker studsar IP-adresser. Att blockera ett stort antal IP-adresser är inte ett tillräckligt alternativ. Vi hade också inloggning begränsad av IP, men det verkade inte heller fungera.
Admin
Howard
"Limit login attempts"-pluginet är ganska bra. Jag har ställt in det att stängas av i 100 timmar efter 4 misslyckade försök, med den 4:e spärren inställd på 4000 timmar. Så även om förövaren kan byta IP-adresser dynamiskt, måste han göra det var fjärde försök. Och med ett riktigt långt slumpmässigt lösenord, borde det ta ett par århundraden, och fler IP-adresser än han sannolikt kan komma åt.
I det högst osannolika fallet att de knäcker min "admin" kommer det ändå inte att göra dem någon nytta. Varje gång jag märker att den jäveln faktiskt har listat ut vad mitt riktiga administratörsnamn är (hände bara en gång hittills), skapar jag omedelbart en ny och ställer in den gamla på "ingen roll för den här webbplatsen" med ett riktigt långt slumpmässigt genererat lösenord. Det finns några andra detaljer (t.ex. först måste jag ändra e-postadressen innan den låter mig skapa det nya administratörskontot med min e-post), men det löste det problemet ganska bra.
Jag vet verkligen inte om detta är idiotsäkert, men jag hoppas att skurkarna beslutar att det är för mycket arbete och väljer en svagare sajt att trakassera.
zimbrul
” Varje gång jag märker att den jäveln faktiskt har listat ut vad mitt riktiga administratörsnamn är…” kan jag fråga dig hur du kom fram till det?
Howard
@zimbrul Visst.
Pluginet för att begränsa inloggningsförsök talar om för mig vilket användarnamn som är under attack. Vanligtvis är det "admin", men det fanns ett tillfälle då jag såg namnet på mitt riktiga administratörskonto. Så jag skapade ett nytt administratörskonto, och lämnade det gamla kvar, men tömt på all åtkomst, och med ett löjligt långt lösenord.
Jag är inte säker på hur förövaren hittade administratörskontot eftersom jag tilldelade det ett orelaterat "smeknamn" som visas i inlägg. Jag gissar att det finns någon fil på servern som kan läsas åtminstone delvis av en hacker, och jag behöver förmodligen undersöka det.
Redaktionell personal
Det är ganska lätt att hitta inloggningsnamnet. Allt personen behöver göra är att titta på din författar-URL för att veta ditt användarnamn. Till exempel detta:
https://014.leahstevensyj.workers.dev/author/wpbeginner/
Användarnamnet skulle vara "wpbeginner". För de flesta webbplatser är det så om de inte har ändrat användarnamnet som visas i den här tekniken:
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-change-your-wordpress-username/
Om du gör det på det sättet kommer ditt användarnamn att ändras, men din författar-URL skulle inte göra det.
zimbrul
Howard, det är en intressant poäng; jag ska försöka implementera det.
Jag hade också problem med 404-fel eller för många omdirigeringar och jag visste inte lösningen, tack för det!
Av någon anledning fungerar det inte att blockera IP-adressen i .htaccess i wp-admin-mappen för min webbplats zimbrul.co.uk! Jag försökte komma åt min webbplats från min mobiltelefon på 3G och jag kunde komma igenom även om den enda tillåtna IP-adressen var hemma-IP:n.
Redaktionell personal
Ja, det är därför det hjälper att ha dubbel autentisering som denna.
Admin