Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Если вы установите пароль на доступ к странице wp-login.php, вы добавите еще один уровень защиты для своего сайта.
Вы можете добавить защиту паролем на всю папку wp-admin, но это может нарушить работу некоторых плагинов, которые используют ajax во фронт-энде.
Обычно достаточно установить пароль только на wp-login.php.
В этой статье вы узнаете, как установить пароль на доступ к странице wp-login.php или к папке wp-admin вручную или при помощи плагина, и как разрешить использовать ajax, если вы установили пароль на папку wp-admin.
Содержание:
На многих хостингах есть инструменты, чтобы установить пароль на папку или файл. На хостинге с CPanel это можно настроить в интерфейсе администратора.
Если ваш сервер позволяет настроить пароль на нужный файл или папку, то это можно сделать вручную. Для этого нужно:
Читайте далее подробное описание каждого шага.
В файле паролей находятся комбинации логина и пароля пользователей:
Создайте файл в генераторе .htpasswd. Добавляйте каждого пользователя с новой строки.
Вы можете назвать файл любым именем, например, users.txt, но лучше назвать файл начинающимся на .ht*, потому что обычно сервер сконфигурирован так, что доступ к файлам, начинающимся с «.ht», запрещен.
Если вы назовете файл users.txt, посетитель может получить к нему доступ и узнать логины пользователей. Пароли пользователей зашифрованы MD5, поэтому посетитель не сможет их использовать напрямую, но сможет использовать логины пользователей для брут-форс атак.
Вы можете поместить файл в любое место на хостинге, кроме корневой папки Вордпресс. Все папки снаружи корневой папки недоступны из интернета.
Хорошее место для этого файла — на один уровень выше корневой папки (обычно public_html или www).
Добавьте в файл .htaccess, который находится в папке с файлом wp-login.php (по умолчанию корневая папка сайта), этот код:
В строке 2 укажите путь к файлу с паролями. В строке 5 укажите через пробел столько пользователей, сколько нужно.
Чтобы избежать ошибок 404 и 401, добавьте этот код в самом начале .htaccess:
Реклама
Простой способ выгодно купить полис
Если вы используете ajax во фронт-энде, запрет доступа к папке wp-admin может его отключить, потому что его скрипт находится в этой папке. Чтобы разрешить использовать ajax, добавьте этот код в файл .htaccess, который находится в папке /wp-admin/ (не главный .htaccess, который вы редактировали до этого):
Сохраните файл, загрузите на сервер в папку /wp-admin/.
Если вы не хотите добавлять код, используйте плагин AskApache Password Protect. Плагин был закрыт 27 января 2020 года из-за проблем с безопасностью. Возможно, разработчик перестал его поддерживать.
В зависимости от настроек вашего сервера, эти способы могут не работать.
Если не работает, попробуйте плагин Password Protected, он добавляет дополнительный пароль на весь сайт, или попросите техподдержку настроить эту защиту для вас.
Еще один способ укрепить защиту wp-login.php — перенести авторизацию на другую страницу, например, сайт.ru/loginpage
.
Надеюсь, статья была полезна. Оставляйте комментарии.
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.