Меню

Запрещаем доступ в админку всем ip кроме своего

запрет доступаНедавно мне задали вопрос, как запретить доступ к админке всем ip, кроме своего. Хотя такая информация есть в сети, объясню своим читателям, как это делается. Тем более что действия очень простые. Но более надежной защиты от взлома WordPress я не знаю.

Поиск решения начался с серьезных хакерских атак на мой сайт. Мой плагин Better WP Security отсылал сообщения на ящик 4-6 раз за минуту о попытках авторизации. Злоумышленник пользовался прокси-серверами, занести в .htaccess все ip было просто невозможно. Поэтому стала искать, как запретить доступ всем адресам, кроме моего.

Запрет доступа к админке всем ip кроме своего

Чтобы злоумышленников лишить возможности добраться к страницам авторизации вашего сайта, необходимо внести изменить файл .htaccess, который лежит в корневом каталоге. Помните, что его нужно сохранять в кодировке Utf-8 без BOM. Для этого воспользуйтесь программой AkelPad. Сохраняя файл, выберите тип файла "текстовые", кодировку Utf-8 и в чекбоксе BOM снимите галочку:

как запретить доступ к админке

Теперь о том, какие изменения следует внести. Отмечу, что описываемый метод подойдет только обладателям статического ip. Динамические постоянно меняются, поэтому проверьте заранее, постоянный ли у вас адрес. Узнать свой ip можно через разные сервисы. Например, этот.

Теперь самое основное: пропишем запрет доступа к админке всем, кроме себя. Покажу место вставки:

запретить доступ к файлам авторизации
Теперь сам код:

<Files wp-login.php>
order deny,allow
deny from all 
allow from 95.675.
allow from 195.48.206. 
</Files>

Можете разрешать (allow) сколько угодно адресов или подсетей. Например, если у вас несколько компьютеров одной подсети, а ip меняется в пределах этой подсети, можно прописать разрешение для нее. Для этого в своем ip сотрите последние цифры. Например:
193.43.276.635 — адрес
193.43.276. — подсеть.

После проделанных действий у хакеров отпадет всякое желание взламывать сайт. Когда я отразила серьезные нападения, радости моей не было предела! Желаю вам успехов, друзья!

Оставить комментарий
  1. Здравствуйте, Надежда! Я смотрю Вы без боя не можете? :) То, бизнес новый налаживаете, то от хакеров отбиваетесь. Нет, Вам определенно нужна загородная вилла, внутри охрана, а по всему периметру видеокамеры слежения. Шучу конечно. Интересный способ, спасибо. Но у меня к сожалению, мало того что файл .htasses иногда приходится удалять, так еще и айпи плавающий. Так что, если на меня нападут, то бежать под защиту, буду к Вам. Надеюсь что приютите бедного родственника по блогингу. :)

    • Здравствуйте, Андрей! Тут приходит в голову мысль "что такое не везет и как с этим бороться". А ведь рано или поздно и Вам придется задуматься, как защитить свой блог от взлома. Плавающий ip усложняет задачу, однозначно.

  2. Это точно. Что такое не везет, знают все, а вот как с этим бороться не знает никто. Ну, если придут хакеры, то вызовем охрану. Опыт, слава богу есть, полученный в 90-х :)

  3. А друзья на что, Вы же не откажете в помощи? Да, я там отчет накрапал за прошлый год, заходите почитайте.

  4. Надежда, у меня вот сразу про IP вопрос. Я на рекомендуемом сервисе просмотрела, но мне непонятно ...сервис пишет ваш IP вот такой...,
    а внизу Ваш локальный IP адрес: ...
    Так, у меня динамический или постоянный=)

    • Локальный — тот, что в локальной сети. У Вас значит в локальной сети несколько компьютеров (домашняя сеть). А крупными цифрами показан адрес тот, под которым выход в интернет. А вот динамический он или нет, это узнайте у своего провайдера или проследите, меняется ли он при перезагрузке роутера.

  5. А файл-таки называется .htaccess

    И еще одно неудобство: если я, например, выставлю свой домашний IP, то никак не смогу войти в админку, например, с работы или интернет-кафе (последнее даже хорошо, ибо фиг знает, что там, в этих кафе на компах понаставлено).

    • Андрей, разрешить можно доступ хоть 10 ip, главное чтобы это было безопасно. И спасибо за поправочку!

  6. Вход только по своему IP - это, конечно, здорово. Только у меня их 4 штуки!

  7. Так Better WP Security настраивается на блокировку адресов, с которых производились неоднократные попытки подбора паролей. Что Вас в этом напрягло?

    • Александр, Better WP Security действительно блокирует такие адреса. Но проблема в том, что ко мне заходили по 4-6 раз в минуту с разных ip, представляете сколько это в день, неделю? И как это грузит сайт?

  8. У меня стоит плагин Login LockDown, пока справляется с атаками, хотя через админку меня пытались взломать всего два раза. Обычно это происходило, через мой сервер, но все попытки были обезврежены моим хостингом, а позже они создали функцию блокировки всех IP, кроме моего. Теперь все норм.

    Если мой плагин не справиться, то обязательно приду на твою статью и добавлю изменения в .htaccess.

    • Нет нужды, если твой хостинг обеспечил аналогичную защиту. Мои хостеры сказали, что это моя проблема. Пришлось искать решение самостоятельно.

  9. Боюсь я в файлы залазить, как наредактирую чего-нибудь, потом восстанавливать приходится файлы, или весь блог. То сайдбар пропадает, то вообще один раз весь блог пропал. У меня стоит BPS Security вроде всё нормально.
    И потом не попадёшь на блог по другому адресу. Вдруг компьютер сломается (не дай Бог, конечно!).

  10. Надежда меня опередила хотя если сравнивать частоту обновлений наших сайтов ничего удивительного. Сейчас как раз пишу пост про защиту от взлома.
    webonlife.ru в этом году впервые взломали но к счастью я вовремя отреагировал. После этого началась моя большая и крепкая дружба с регулярными бэкапами, SSH и как ни странно это прозвучит системой контроля версии
    офтоп только сейчас заметил что у тебя нет ссылок с комментов что так. Ссылки основа интернета и мы как вебмастера - строители интернета должны укреплять его всеми доступными способами, но без фанатизма :)

    • Взлом всегда мобилизирует силы и резвость мышления. Знакомо: начинаешь делать то, что раньше казалось не важным. По поводу ссылок: это все мои эксперименты. Проверяю влияние, если результат не устроит, верну все обратно.

  11. Вот у меня никак в голове не укладывается - кому нужно взламывать наши "начинающие" блоги? Недавно у еще одной моей знакомой из блогосферы взломали сайт. Там немного о готовке, немного о растениях, немного о действии эфирных масел. Но если бы на сайт заходило каждый день по тысяче народу, он бы был в реальных конкурентах кому-то... а так-то зачем взламывать? Может, чисто спортивный интерес, или личная неприязнь (вдруг кого-то когда-то обидел в комментарии невзначай). Так что все твои советы по безопасности, Надежда, сейчас пытаюсь внедрять на практике!

    • Чаще всего взламывают, чтобы продавать с сайта ссылки. Хозяин и знать не будет, что его сайт стал донором для сотен ресурсов...

    • Ааааа... Вот оно почему!) Ну, теперь все ясно!

  12. Строго говоря, сохранять .htaccess в UTF-8 не нужно.
    Первые 128 символов этой кодировки являются однобайтными и целиком повторяют ASCII, поэтому его можно хоть в Windows-1251, код в KOI8-R.
    Но, что может быть важным — использовать UNIX-разделитель строки (обозначается \n или LF). Как правило, конвертирование происходит автоматически, когда файл заливается по FTP, ведь во многих клиентах установлено автоопределение типа передачи по форматам файла. Если же эту настройку установить в двоичный режим, сервер может выдавать 500 ошибку. Такое же поведение может быть и при ошибках в синтаксисе файла (это к тому, что можно изрыть маны в поисках ошибки, задавать этот вопрос на форумах, а окажется, что дело не в синтаксисе вовсе).

  13. Надя, спасибо большое за очередной урок.
    Хотя я и боюсь что либо менять в файлах, но попробую.
    Правда иногда на работе тоже залезаю....подумаю. Спасибо.

    • Алла, я сама такой же паникер, как все. Если бы не хакеры, то наверное не дошла бы до таких глубин. На деле все оказалось очень просто. Лучше заранее приготовиться к худшему, чем в панике с дрожащими руками быстро все делать.

  14. Вот, Надежда я всё откладывала защиту описанную у вас в статье. А сегодня ночью на женский сайт за 30 минут более 200 атак с разных ip. Я быстренько прописала код в .htaccess. Надеюсь взломщики успокоятся. Сейчас 2. 30 ночи. Утром посмотрю взломают или нет. Хорошо плагин стоял, так блокировал ip.. видимо пароль подбирали.
    Днём отпишусь, были ли ещё атаки после внесения кода в .htaccess.

  15. Надежда, всё отлично. Больше попыток взлома не было. Спасибо, спасли=) Установила защиту на все три сайта.
    Как вы думаете, стоит заменить логин и пароль ещё раз и ещё какие-то методы защиты предпринять. У меня плагин стоит "Лимит ограничений попыток входа в админку ip". Его, наверное, можно удалить...

    • Ольга, я свой плагин не отключала. Пусть работает, так спокойнее. Хотя и без него защита железная )) В принципе, злоумышленники не смогут зайти в админку, даже зная логин и пароль. Но можно и поменять )

  16. кто бы ты не был , ты и твоя статья супер - залупер ! спасибо ! столько хлама в интернете из 20 статей на разных сайтах только твоя понятна и работает !

  17. А я в свое время использовала эту подсказку и она реально работает! Спасибо!

Здесь вы можете оставить отзыв

* Текст комментария
* Обязательные для заполнения поля

Внимание: все отзывы проходят модерацию.