Υποστήριξη
Web Development

Πως μπορώ να προφυλάξω το αρχείο wp-login.php του WordPress site μου από επιθέσεις brute force?

Μπορείτε να κλειδώσετε τη φόρμα login του Wordpress μέσα από το αρχείο .htaccess προκειμένου να αποτρέψετε τις προσπάθειες login μη εξουσιοδοτημένων χρηστών και εφαρμογών (Brute Force Attacks).

Γιατί είναι αυτό σημαντικό?

Η προστασία της φόρμας login του Wordpress είναι σημαντική για δύο λόγους:

  1. Ο προφανής λόγος είναι ότι μπορεί μετά από πολλές δοκιμές κάποιος να βρει τελικά το password που χρησιμοποιείτε για να συνδεθείτε με το Wordpress και να κάνει με αυτό τον τρόπο login στην ιστοσελίδα σας με τα δικά σας στοιχεία διαχειριστή.
  2. Ο δεύτερος λόγος που δεν είναι ίσως τόσο προφανής στον τελικό χρήστη είναι η καταπόνηση του server. Υπάρχει σοβαρό ενδεχόμενο κάποιο κακόβουλο script ή bot να εκτελεί πολλές δοκιμές κωδικών στην ιστοσελίδα σας, μέσα σε μικρό χρονικό διάστημα.

    Αν οι αποστολές αυτές είναι αρκετές τα λογισμικά εποπτείας που τρέχουν οι servers μας θα απομονώσουν τον κακόβουλο αυτό χρήστη για να μην στρεσάρεται ο server. Σε κάθε περίπτωση όμως αν υπάρχει πρόνοια από την ίδια την εφαρμογή ακόμη και αυτή η μικρή επιβάρυνση που μπορεί να έχει ο server εποπτεύοντας τις κακόβουλες απόπειρες, μπορεί να αποφευχθεί, οπότε παραμείνουν περισσότεροι πόροι στο λογαριασμό σας για ωφέλιμη χρήση της ιστοσελίδας σας και όχι για τις όποιες κακόβουλες ενέργειες.


Περιορισμός των προσπαθειών

Υπάρχουν δύο διαφορετικές προτάσεις αναφορικά με τον τρόπο περιορισμού των posts στο wp-login.php. Η διαφορά τους έγκειται στο αν έχετε στατική ή δυναμική IP. Και στις 2 περιπτώσεις οι παρεμβάσεις γίνονται στο αρχείο .htaccess του λογαριασμού hosting σας.


Εντοπισμός του αρχείου .htaccess στον λογαριασμό hosting σας.

Το αρχείο .htaccess είναι ένας ιδιότυπος τύπος αρχείου και ανήκει στην κατηγορία των dot files όπως αλλιώς αποκαλούνται. Τα αρχεία αυτά είναι συνήθως κρυφά στους servers, παρέχεται όμως πάντοτε η δυνατότητα επεξεργασίας / προβολής τους μέσα από το cPanel. Δείτε προσεκτικά τα παρακάτω βήματα:

  1. Κάντε login στο cPanel
  2. Στην ενότητα Files, κάντε κλικ στην επιλογή File Manager.

    cPanel - Ενότητα Files - File Manager

  3. Επιλέξτε Document Root για το domain σας.
  4. Κάντε κλικ στην επιλογή Show Hidden Files (dotfiles)

    cPanel - Εμφάνιση κρυφών αρχείων - Fotfiles

  5. Κάντε κλικ στο κουμπί Go.
  6. Κάντε δεξί κλικ στο αρχείο .htaccess και επιλέξτε Code Edit ή απλό Edit.

    cPanel - Επεξεργασία αρχείου .htaccess

  7. Στο popup παράθυρο που θα εμφανιστεί κάντε κλικ στο κουμπί Edit.

Ο editor που ανοίγει είναι ο χώρος στον οποίο θα εισάγετε τις εντολές που επιθυμείτε προκειμένου να προστατεύσετε τον λογαριασμό μας. Αφήστε ανοιχτό το αρχείο .htaccess και μελετήστε τις ακόλουθες οδηγίες προκειμένου να καταλήξετε στο σετ εντολών που θα γράψετε στο αρχείο.


Δυναμική ή στατική IP

Ανάλογα με τη χρήση ή μη στατικής IP μπορείτε να επιλέξετε και διαφορετικό σετ εντολών για το .htaccess αρχείο σας.

  • Στατική IP

    Μπορείτε να εκμεταλλευτείτε την ύπαρξη στατικής ή στατικών IP διευθύνσεων, εφόσον έχετε μία ή περισσότερες στην κατοχή σας, περιορίζοντας κάθετα την πρόσβαση στο διαχειριστικό περιβάλλον του Worpdress σας αποκλειστικά από αυτές τις IP.

    Για να επιτύχετε αυτόν τον κάθετο περιορισμό δείτε το υπόδειγμα κώδικα που μπορείτε να εισάγετε στο .htaccess αρχείο μετά από μικρή παραμετροποίηση που θα χρειαστεί να κάνετε.


    RewriteEngine on
    RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
    RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
    RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
    RewriteCond %{REMOTE_ADDR} !^111\.111\.111\.111$
    RewriteRule ^(.*)$ - [R=403,L]

    Στα σημεία όπου γράφει 111 βάζετε τη δική σας IP διεύθυνση και γράφετε τόσες γραμμές με IP διευθύνσεις όσες είναι και οι στατικές IP διευθύνσεις που έχετε στην κατοχή σας και θέλετε να μπορούν να κάνουν login στο Wordpress site σας.

  • Δυναμική IP

    Η συντριπτική πλειοψηφία χρηστών του διαδικτύου κάνουν χρήση δυναμικών IP διευθύνσεων. Ο περιορισμός που μπορεί να εφαρμοστεί σε αυτήν την περίπτωση είναι ως προς τον referar της σελίδας login.

    Συγκεκριμένα ορίζουμε ότι επιτρέπονται posts στη φόρμα login μόνο από το ίδιο το domain ως εξής:


    RewriteEngine on
    RewriteCond %{REQUEST_METHOD} POST
    RewriteCond %{HTTP_REFERER} !^http://(.*)?example\.com [NC]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
    RewriteRule ^(.*)$ - [F]

    Στη θέση του λεκτικού example\.com εισάγετε το δικό σας domain name.

    Με αυτόν τον τρόπο θα πρέπει κάποιος να βρίσκεται ήδη στη σελίδα σας προκειμένου να μπορέσει να κάνει POST στη σελίδα login του Wordpress σας. Κατά συνέπεια αποκλείονται όλα αυτά τα scripts και bots που κάνουν τυφλά POSTS (Brute Force Attacks) στη σελίδα login.

    Mε αυτόν τον κομψό τρόπο και κάνοντας αυτές τις μινιμαλιστικές παρεμβάσεις στο αρχείο .htaccess του λογαριασμού hosting σας, μπορείτε να απαλλαγείτε από πολλές κακόβουλες απόπειρες σύνδεσης στην ιστοσελίδα σας και να εξοικονομήσετε πόρους στο λογαριασμό σας για ωφέλιμη και πραγματική χρήση.

IPGLOBAL IKE   |  IP.GR   Web Hosting and Domain Name registration services in Greece
Προτιμήσεις Cookies
 Λειτουργικά  Στατιστικά  Marketing


Μπορείτε να δείτε αναλυτικές πληροφορίες για τη χρήση των cookies στη σελίδα: Όροι χρήσης