Jump to content
ТУК НЕ СЕ ПРЕДЛАГАТ ХАКЕРСКИ УСЛУГИ ! ×

Password Protect wp-login.php


LinuxMaster
 Share

Recommended Posts

Паролата, която защитава вашия wp-login.php файл (и папката wp-admin) може да добави допълнителен слой към вашия сървър. Тъй като защитата с парола wp-admin може да счупи всеки плъгин, който използва ajax на предния край, обикновено е достатъчно просто да защитите wp-login.

За да направите това, ще трябва да създадете файл .htpasswds. Много хостове имат инструменти за това, но ако трябва да го направите ръчно, можете да използвате този htpasswd генератор. Подобно на вашия .htaccess файл (който е файл, който е само разширение), .htpasswd няма да има префикс.

Можете да поставите този файл извън публичната си уеб папка (т.е. не в / public_html / или /domain.com/, в зависимост от вашия хост) или да го поставите в същата папка, но ще трябва да направите някои допълнителни работи по сигурността във вашия .htaccess файл, ако го направите.

Говорейки за това, след като качите файла .htpasswd, трябва да кажете на .htaccess къде е. Ако приемем, че сте поставили .htpasswd в домашната ви директория на потребителя и вашето потребителско име за htpasswd е myusername, трябва да го добавите във вашия .htaccess:

# Stop Apache from serving .ht* files
<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>

# Protect wp-login
<Files wp-login.php>
AuthUserFile ~/.htpasswd
AuthName "Private access"
AuthType Basic
require user myusername
</Files>

 

Действителното местоположение на AuthUserFile зависи от вашия сървър, а "изискващият потребител" ще се промени във основа на това кое потребителско име изберете.

Ако използвате Nginx, можете да защитите с парола файла wp-login.php чрез HttpAuthBasicModule. Този блок трябва да е във вашия сървър блок.

location /wp-login.php {
    auth_basic "Administrator Login";
    auth_basic_user_file .htpasswd;
}

 

Пътят на файла е относим към директорията на nginx конфигурационния файл nginx.conf Файлът трябва да бъде в следния формат:

user:pass
user2:pass2
user3:pass3

Паролите трябва да бъдат кодирани от функцията crypt (3). Можете да използвате онлайн генератор htpasswd, за да шифровате паролата си.

 

  • Like 1
Link to comment
Share on other sites

Следният код  поставен в .htaccess файла е напълно достатъчен за да се забрани достъпа до директорията и нейното разлистване. 

Deny from all
Options -Indexes

Урока е хубав, но комбинацията за защита се ползва рядко, тъй като колкото и да защитаваш директорията, ако php кода не ти е написан според стандартите за сигурност, то много зависи къде точно е допусната грешката, а от там и достъпа до сървъра. 

Link to comment
Share on other sites

преди 8 минути, LinuxMaster написа:

То никога неможеш да защитаваш едно нещо на 100 % но колкото повече можеш толкова по добре :д

Така е, но ми дай една причина да си оставям достъпност с парола към дадена папка? Или ще искам да е забранен достъпа до нея и да не бъде достъпена през браузъра от когото и да било, или просто ще я оставя публична, ако файловете, които съдържа не са проблемни. Впрочем поради тази причина се използват работни рамки с указване на пътищата (като ресурси) до определените файлове. Смисъл такъв, че руут дървото трябва да е строго регламентирано.  Ако на някого му се налага в цяла папка да защитава отделен файл с парола, то трябва да седне и да помисли къде логиката му куца. В примера ти не стига, че трябва да се създава допълнителен файл, ами трябва и да защитаваш файл с парола за достъп, при положение, че от него би трябвало да се логваш в системата си (тоест два пъти се идентифицираш), нещо напълно излишно. Както и да е, въпроса е че това не е правилно като идея да се ползва за второстепенна или третостепенна защита. Простите неща не създават допълнителни главоблъсканици. Достатъчно е да се зададът правата на папката, достъпността, дали да се разлиства и това е. 
http://www.elated.com/articles/password-protecting-your-pages-with-htaccess/ 

Link to comment
Share on other sites

Ако ще я караме така, винаги може да забраните след шестият опит да не се логва потребителя за рандом период между 5 и 15 минутки примерно и бота се обезсмисля. OCR също не е решение, ако се използват определени фракции в изображенията.  

Link to comment
Share on other sites

4 minutes ago, freeman987 said:

Ако ще я караме така, винаги може да забраните след шестият опит да не се логва потребителя за рандом период между 5 и 15 минутки примерно и бота се обезсмисля. OCR също не е решение, ако се използват определени фракции в изображенията.  

Аз това не го виждам като каране, извинявай мислиш така. Както каза, принципно папката или е публична или е лична - повечето пъти няма нужда от парола, обаче мога да ти дам пример кога ще е полезно да има парола. Приятел си държи дев версията на сайта на събдомейн dev. Не иска другите да го ползват, но иска и аз да имам достъп. Най - удачния вариант е да се защити по IP, но иска и да може от други мрежи да го ползва, затова просто ползва пароли. А ако просто ползваш username, който не е "admin" или нещо подобно (в повечето wordlist-ове) и добра парола, няма да има проблеми.

  • Like 1
Link to comment
Share on other sites

Под каране имах предвид да продължаваме да постваме без обяснения :D
Иначе: https://www.hackthis.co.uk/forum/hacking-security/tutorials-articles/1159-bypassing-htaccesshtpasswd-based-authentication
Няма да има проблеми наистина, но много зависи какво точно си описал в .htaccess понеже много хора просто копират без да разбират каква уязвимост сами могат да си създадат. Аз лично не бих си качил девелопър версия на сайта, която може изобщо да бъде достъпвана от някого защитена само от .htaccess парола, но това е друга тема. Да в този случай е една бързо и лесно поставена защитна преграда, но отново бих използвал допълнителни защити по темата, защото сама по себе си защитава важни файлове. 
 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.