Янв
16
0

Простая защита админки от взлома

htaccessОписанная защита подойдет для любого сайта, любой CMS. Она проста, и именно в простоте ее надежность. А если просто, то зачем искать что-то более сложное?

Возможно, в прошлом 2013 году, в августе, вашего сайта коснулись атаки с попытками подбора пароля админки, и вы, возможно, даже скачали и установили какой-нибудь плагин защиты для своей CMS. И даже, возможно, кое-какие плагины делают то же самое, что я вам опишу. Но зачем загружать плагином движок, напрягать лишний раз сервер, если дело всего в трех строчках файла .htaccess?

А теория метода такова. Любой движок имеет папку админки, куда администратор заходит при залогинивании. Папка может называться ADMIN, WP-ADMIN либо еще как-то, это неважно. Главное, что в эту папку имеет доступ только администратор. И чего проще, чем запретить доступ в эту папку всем IP, кроме админского?

Переходим к технической части. Нужно сделать такие действия:
1. Создайте в любом редакторе (хоть в Блокноте) файл .htaccess
2. Вставьте в этот файл три строки (125.125.125.125 замените на ваш IP):

 Order Deny,Allow
Deny from all
Allow from 125.125.125.125

3. Теперь сохраните данный файл и скопируйте его в папку на вашем хостинге — ту, где располагается ваша админка.

Вот и вся защита! Из-за чего весь сыр-бор? Защита проста и надежна, как железный лом. Если вами заказана услуга аренда сервера для своих сайтов, то о их безопасности нужно заботиться самому время от времени (модифицируя htaccess и другими способами) либо попросить помощи у тех.поддержки.

Вполне возможно, на сайте не один, а несколько администраторов. Ради Бога — добавьте после третьей еще по одной строке на каждый нужный IP — каждому администратору — «Allow from еще_один_IP»

Конечно, сразу понятно, что способ подходит только для постоянного админского IP. Не будете же вы при динамическом каждый раз заходить по ФТП (или еще как) менять строку с IP, чтобы зайти в админку. Но работая с сайтами, все же основная масса администраторов, полагаю, работает через скоростное соединение интернет, т.е. не 3G или что-то подобное.

Если вдруг кто-то не знает, как узнать свой IP, то достаточно набрать в Яндексе или Гугле «узнать свой IP» — вам тут же подскажут. А вообще, вот вам РНР код:

 <?php
  echo $_SERVER['REMOTE_ADDR']; 
  ?>

Кстати, можно добавить еще полезную штуку. Если вы не используете страницу сообщения о запрете доступа (error 403), то можно добавить в корневой .htaccess такую строку:

ErrorDocument 403 http://длинный_набор_букв.com/

В результате взломщика будет сразу перенаправлять за пределы сервера — на несуществующую страницу.

рейтинг Оцените статью:
Ужасная статьяНичего интересногоТак себеНормальноХорошоКлассный постВ закладки!
(Пока без рейтинга, оцените первым!)  
Загрузка...

категория Категории: Новости CMS и Интернета;
теги Теги: , .
Оставить комментарий


Блог Wordpress Inside поможет вам научиться работать в вордпресс, закрепить и расширить имеющиеся знания. Плагины и шаблоны, разные хаки и функции wp, оптимизация и безопасность системы – все это и намного больше вы сможете найти на страницах нашего проекта!

Если хотите быстро и оперативно получать последние новости и статьи, то рекомендуем подписаться на обновления блога:

Последние посты
Лучшие заметки
Облако тегов