Proprietarii de site-uri web trebuie să prioritizeze securitatea WordPress pentru a-și proteja datele sensibile și a menține încrederea utilizatorilor lor. Un mod foarte eficient prin care facem acest lucru la WPBeginner este prin protejarea cu parolă a directorului nostru de administrare WordPress.
Directorul wp-admin este centrul de control al site-ului dvs. WordPress. Acolo gestionați totul, de la conținut la setări, ceea ce îl face o țintă principală pentru hackeri. Protejarea prin parolă a fișierelor dvs. de administrare le va menține în siguranță împotriva atacurilor.
Acest articol oferă un ghid simplu pentru a proteja prin parolă directorul wp-admin și pentru a consolida securitatea site-ului dvs.
De ce să vă protejați cu parolă directorul de administrare WordPress?
Prin protejarea cu parolă a directorului de administrare WordPress, adăugați un strat suplimentar de securitate la cel mai important punct de intrare al site-ului dvs. WordPress.
Panoul de administrare WordPress este centrul de comandă al site-ului dvs. Aici veți publica postări și pagini, veți personaliza tema, veți instala pluginuri WordPress și multe altele.
Adesea, atunci când hackerii încearcă să pătrundă pe site-ul dvs. web, o vor face prin ecranul wp-admin folosind un atac de forță brută.
Puteți ajuta la protejarea site-ului dvs. web împotriva potențialelor atacuri utilizând măsuri de securitate precum o parolă puternică și limitarea încercărilor de conectare.
Pentru a fi și mai sigur, puteți proteja cu parolă și directorul wp-admin. Apoi, când cineva încearcă să acceseze zona de administrare, va trebui să introducă un nume de utilizator și o parolă înainte de a ajunge la pagina de autentificare WordPress.
Acestea fiind spuse, să vedem cum poți proteja cu parolă directorul de administrare WordPress pas cu pas.
Prima metodă este recomandată pentru majoritatea utilizatorilor și puteți utiliza linkurile rapide de mai jos pentru a sări direct la metoda pe care doriți să o utilizați:
- Protejați cu parolă wp-admin folosind confidențialitatea directorului (recomandat)
- Protejarea cu parolă a wp-admin folosind codul
- Depanarea protecției prin parolă wp-admin
- Bonus: Cele mai bune ghiduri WordPress pentru securitatea wp-admin
Tutorial video
Dacă preferați instrucțiuni scrise, continuați să citiți.
Metoda 1: Protejați prin parolă wp-admin folosind confidențialitatea directorului (Recomandat)
Cel mai simplu mod de a proteja prin parolă directorul de administrare WordPress este să utilizați aplicația de confidențialitate a directorului a furnizorului dvs. de găzduire WordPress.
Mai întâi, trebuie să vă conectați la tabloul de bord al contului dvs. de găzduire și să faceți clic pe opțiunea „Protecția directorului” din secțiunea Fișiere a tabloului de bord cPanel al site-ului dvs. web.
Notă: Majoritatea gazdelor web care folosesc cPanel, cum ar fi Bluehost, vor avea pași similari. Cu toate acestea, tabloul tău de bord ar putea fi ușor diferit de capturile noastre de ecran, în funcție de furnizorul tău de găzduire.
Acest lucru vă aduce la un ecran care listează toate directoarele diferite de pe serverul dvs. Trebuie să găsiți folderul care conține fișierele site-ului dvs. web.
Pentru majoritatea proprietarilor de site-uri web, aceasta poate fi găsită făcând clic pe folderul „public_html”.
Aceasta va afișa toate fișierele site-ului web pe care le-ați instalat pe serverul dvs.
Apoi, va trebui să faceți clic pe folderul cu numele de domeniu al site-ului dvs. web.
În acel folder, veți vedea un folder wp-admin.
În loc să faceți clic pe numele folderului, va trebui să faceți clic pe butonul „Editare” de lângă acel folder.
Acest lucru vă aduce la un ecran unde puteți activa protecția prin parolă.
Pur și simplu bifați căsuța pe care scrie „Protejați cu parolă acest director”. Dacă doriți, puteți, de asemenea, să dați directorului dvs. un nume precum „Zonă de administrare” pentru a vă ajuta să vă amintiți.
După ce ați făcut acest lucru, va trebui să faceți clic pe butonul „Salvare”.
Acest lucru vă va duce la o pagină unde va apărea mesajul de confirmare.
Acum, va trebui să faceți clic pe butonul „Înapoi”, și veți fi direcționat către un ecran unde puteți crea un utilizator care va putea accesa acest director.
Vi se va cere să introduceți un nume de utilizator și o parolă, apoi să confirmați parola. Asigurați-vă că notați numele de utilizator și parola într-un loc sigur, cum ar fi o aplicație de gestionare a parolelor.
Asigurați-vă că faceți clic pe butonul „Salvare” după ce ați terminat.
Acum, când cineva încearcă să acceseze directorul dvs. wp-admin, i se va solicita să introducă numele de utilizator și parola pe care le-ați creat mai sus.
Metoda 2: Protejarea prin parolă a wp-admin folosind cod
Puteți, de asemenea, să vă protejați prin parolă directorul de administrare WordPress manual. Pentru a face acest lucru, va trebui să creați două fișiere numite .htpasswd și .htaccess.
Notă: Adăugarea oricărui cod pe site-ul dvs. WordPress poate fi periculoasă. Chiar și o mică greșeală poate cauza erori majore pe site-ul dvs. web. Recomandăm această metodă doar utilizatorilor avansați.
Crearea fișierului .htaccess
Mai întâi, deschideți editorul de text preferat și denumiți noul fișier .htaccess.
După aceea, trebuie să copiați următorul fragment de cod și să îl adăugați în fișier:
AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername
Asigurați-vă că schimbați calea „AuthUserFile” la locația unde veți încărca fișierul .htpasswd și schimbați „yourusername” cu numele de utilizator pe care doriți să îl folosiți pentru a vă conecta.
Nu uitați să salvați fișierul când ați terminat.
Crearea fișierului .htpasswd
Odată ce ați terminat, trebuie să creați un fișier .htpasswd.
Pentru a face acest lucru, deschideți un editor de text și creați un fișier numit .htpasswd. Acest fișier va lista numele dvs. de utilizator împreună cu parola dvs. într-un format criptat.
Cel mai simplu mod de a genera parola criptată este cu un generator htpasswd.
Pur și simplu introduceți numele de utilizator și parola, selectați formatul de criptare și faceți clic pe butonul „Creare fișier .htpasswd”.
Generatorul htpasswd va afișa o linie de text pe care trebuie să o copiați în fișierul dvs. .htpasswd. Asigurați-vă că salvați fișierul odată ce ați terminat.
Încărcarea fișierelor .htaccess și .htpasswd în directorul wp-admin
Ultimul pas este să încărcați ambele fișiere pe care le-ați creat în folderul wp-admin al site-ului dvs.
Va trebui să vă conectați la contul dvs. de găzduire WordPress folosind un client FTP sau instrumentul de gestionare a fișierelor online furnizat de furnizorul dvs. de găzduire. Pentru mai multe detalii, consultați ghidul nostru pentru începători despre cum să utilizați FTP pentru a încărca fișiere pe WordPress.
Pentru acest tutorial, vom folosi FileZilla deoarece este gratuit și funcționează atât pe Mac, cât și pe Windows.
Odată ce v-ați conectat la site-ul dvs. web, veți vedea fișierele de pe computer în fereastra din stânga și fișierele de pe site-ul dvs. web în dreapta. În stânga, trebuie să navigați la locația unde ați salvat fișierele .htaccess și .htpasswd.
Apoi, în dreapta, trebuie să accesați directorul wp-admin pentru site-ul web pe care doriți să-l protejați. Majoritatea utilizatorilor vor trebui să facă dublu clic pe folderul public_html, apoi pe folderul cu numele domeniului lor, apoi pe folderul wp-admin.
Acum, puteți selecta cele două fișiere din stânga și faceți clic pe „Upload” din meniul contextual sau pur și simplu trageți fișierele în fereastra din stânga.
Acum, directorul dvs. „wp-admin” va fi protejat prin parolă.
Depanarea protecției prin parolă wp-admin
În funcție de modul în care sunt configurate serverul și site-ul dvs. web, există posibilitatea să întâmpinați erori WordPress. Aceste erori pot fi remediate prin adăugarea atentă a codului în fișierul dvs. .htaccess.
Notă: Acesta este fișierul .htaccess situat în folderul principal al site-ului dvs. web, nu cel pe care l-ați încărcat în folderul „wp-admin”. Dacă aveți probleme în a-l găsi, consultați ghidul nostru despre de ce nu puteți găsi .htaccess și cum să-l localizați.
Remedierea erorii Ajax nu funcționează
Una dintre cele mai frecvente erori este că funcționalitatea Ajax ar putea înceta să funcționeze pe partea frontală a site-ului dvs. Dacă aveți pluginuri WordPress care necesită Ajax, cum ar fi căutarea Ajax live sau formularuri de contact Ajax, atunci veți observa că aceste pluginuri nu vor mai funcționa.
Pentru a remedia acest lucru, pur și simplu adăugați următorul cod în fișierul .htaccess care se află în folderul dvs. wp-admin:
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Remedierea erorii 404 și a erorii prea multe redirecționări
Alte două erori cu care v-ați putea confrunta sunt eroarea 404 și eroarea prea multe redirecționări.
Cel mai simplu mod de a le remedia este să deschideți fișierul principal .htaccess situat în directorul site-ului dvs. și să adăugați următoarea linie de cod înainte de regulile WordPress:
ErrorDocument 401 default
Bonus: Cele mai bune ghiduri WordPress pentru securitatea wp-admin
Sperăm că acest articol v-a ajutat să învățați cum să vă protejați prin parolă directorul de administrare WordPress (wp-admin). S-ar putea să doriți să consultați ghiduri suplimentare despre cum să vă securizați zona de administrare:
- Cum să restricționați accesul la administratorul WordPress pe baza adresei IP
- Sfaturi vitale pentru a vă proteja zona de administrare WordPress (Actualizat)
- Cum să adaugi o adresă URL personalizată de autentificare în WordPress (Pas cu Pas)
- Cum și de ce ar trebui să limitați încercările de autentificare în WordPress
- Cum să adăugați autentificare în doi pași în WordPress (Metodă gratuită)
- Cum să adăugați întrebări de securitate pe ecranul de autentificare WordPress
- Cum să forțezi utilizatorii să schimbe parolele în WordPress – Expirarea parolei
- Cum să resetați parolele pentru toți utilizatorii în WordPress
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
Rauf
Domnule, când mă loghez, butonul pop-up apare din nou și din nou, cerând să introduc numele de utilizator și parola
demonkoryu
Editare: Văd că problema ta nu este cu comentariile Disqus (facepalm), dar ar putea fi aplicabilă în cazul tău oricum.
Și mie mi s-a întâmplat asta.
a) Ștergeți toate cookie-urile (pentru Disqus și site-ul unde încercați să-l folosiți)
b) Încercați un alt browser decât cel pe care îl folosiți în prezent
Thomas
Acest lucru nu funcționează pentru mine în WordPress 3.9.1. Obțin o eroare 500 (server intern) pentru orice pagină de administrator, iar pagina wp-login.php se încarcă, dar nu se afișează corect.
Am adăugat codul pentru eroarea 404 în fișierul principal .htaccess și am adăugat codul ajax în fișierul wp-admin/.htaccess. Nicio schimbare.
Ce ar putea cauza acest lucru? Este serverul meu sau instalarea WordPress neconfigurată greșit cumva?
Abinash Mohanty
Hi Syed, Thanks for the tips! I tried with Cpanel method and then added the following .htaccess scripts. The modal pop up window was not working previously and I realized that there was another usename, which was assigned for the same purpose in the past. So what I did was removed all previously assigned usernames and added a new one followed by the new password. The modal popup started working like a charm
Thanks a lot.
David
Mulțumesc! –
a rezolvat problema mea de buclă de redirecționare cu ErrorDocument 401 default
Invitat
Am adăugat codul admin-ajax în fișierul meu /wp-admin .htaccess, dar asta nu a rezolvat problema. Pluginul All-In-One-Event-Calendar încă nu poate accesa admin-ajax pe frontend.
Vă rugăm să ne sfătuiți.
Mulțumesc!
bamajr
Nu ar rezolva acest lucru adăugarea autentificării în 2 pași la procesul de conectare la administratorul WordPress? De exemplu, folosind Authy (și pluginul lor asociat)!
Suport WPBeginner
Da, dar un strat suplimentar întărește securitatea.
Admin
Chris Christoff
Salutare,
Notă rapidă, admin-ajax.php nu este singurul lucru la care pluginurile au nevoie de acces. De asemenea, trebuie să permiteți accesul neprotejat prin parolă la async-upload.php și media-upload.php
Acestea sunt utilizate de pluginuri pentru a permite încărcarea fișierelor pe frontend (cum ar fi încărcarea unui fișier în timpul unui proces de checkout).
-Chris
bikramjit singh
Salut... sunt nou pe wordpress și vizitator frecvent aici. Întâmpin o problemă. Când încerc să mă autentific în panoul meu wordpress, panoul pentru introducerea numelui de utilizator și a parolei nu apare. Site-ul se deschide singur. Domeniul meu este http://www.tradethetechnicals.com.How pot rezolva această problemă?
Suport WPBeginner
Puteți vizita pagina de conectare aici: http://tradethetechnicals.com/wp-admin
Admin
Abinash Mohanty
Hi Syed Balkhi,
You made my day! I was getting regular attempts to hack by unknown sources. Thanks for the process, I have fixed mine. It’s better and way easier than wordpress codex
Kushal Jayswal
Salut, sunt confuz!
Dacă blochez directorul wp-admin, autorii înregistrați pot accesa „http://site.com/wp-admin” în browser? Sau au nevoie și ei de nume de utilizator și parolă?
Vezi pe blogul meu oricine se poate conecta direct cu Facebook, deci într-un astfel de caz, dacă parola și numele de utilizator sunt obligatorii pentru toți utilizatorii. Va fi puțin complex de gestionat…
Aveți vreun comentariu?
Suport WPBeginner
autorii tăi înregistrați vor avea nevoie de parolă pentru a accesa zona WP Admin.
Admin
Phil Alcock
Mulțumesc pentru soluția ajax. Am adăugat acele câteva rânduri și a rezolvat problema mea cu un plugin. Mult mai ușor decât sugestia din Codex-ul WordPress.
Inayu Mustikayu
i follow the manual tutorial and and with 500 error, after trial and error get this work with :
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
changed to just
AuthUserFile /home/yourdirectory/.htpasswds
in my small tiny ubuntu apache vps
aryan
salut,
folosesc această metodă de parolă,
vă rog ajutați-mă, deoarece aceste ferestre pop-up nu se deschid în UCBrowser !!
deci spuneți-mi, pot crea o pagină, o pagină html sau orice fel de pagină pentru autentificare?? nu vreau să apară un popup, vreau să apară o pagină de autentificare și celelalte funcții la fel
Suport WPBeginner
Poți crea o pagină de autentificare personalizată pentru WordPress.
Admin
Chathu
Dacă urmez metoda cpanel, există vreo modalitate de a elimina parola?
Mulțumesc!
Masood
Mulțumesc pentru distribuire, foarte util
Arthur
Uau! în sfârșit! „ErrorDocument 401 default” a rezolvat problema. Îmi pierdeam răbdarea cu problema redirecționării....
Mulțumesc mult pentru că ai distribuit asta.
James
Pare să funcționeze excelent, cu excepția faptului că solicită autentificare pe pagina noastră de pornire, nu doar la accesarea wp-admin. Este posibil ca un alt plugin să apeleze un fișier diferit de admin-ajax.php?
Personal editorial
Da, este foarte posibil ca un alt plugin să apeleze admin-ajax.php. Ar trebui să folosiți soluția menționată mai sus.
Admin
Jeffro
Doar voiam să vă anunț că atunci când am accesat gestionarea abonamentelor mele aici pe site printr-un link prin e-mail, am primit promptul pentru nume de utilizator și parolă. Apăsând Anulare mi-a permis să-mi gestionez abonamentele. După selectarea unei opțiuni și apăsarea butonului Salvare, am primit din nou promptul, la care apăsarea Anulare a permis, de asemenea, efectuarea acțiunii. Doar vă anunț în cazul în care nu doreați ca acest lucru să se întâmple altor persoane.
Muhammad Ahsan
ar trebui să copiez linia „ErrorDocument 401 default” în fișierul .htaccess din fișierul /wp-admin/.htaccess? sau în orice alt fișier .htaccess?
Personal editorial
Ați lipi acest lucru în fișierul principal .htaccess.
Admin
pankaj
Salut,
Așa cum ai spus, am făcut-o, dar când deschid directorul wp-admin, primesc o eroare de genul „Pagina nu se redirecționează corect”.
Firefox a detectat că serverul redirecționează cererea pentru această adresă într-un mod care nu se va finaliza niciodată.
Această problemă poate fi uneori cauzată de dezactivarea sau refuzul de a accepta
cookies.
Nici măcar în Google Chrome nu apare popup-ul. Îmi puteți spune cum să rezolv această problemă.
Mulțumesc anticipat.
Personal editorial
Trebuie să citiți secțiunea articolului care spune: Eroare prea multe redirecționări
Admin
Ed Emery
Salut,
Această problemă persistă de la prima zi, săptămâna trecută, când am instalat WP. Tocmai am urmat pașii din tutorialul Cum să protejezi cu parolă directorul de administrare WordPress (wp-admin), dar aceeași problemă! Iată o captură de ecran cu ce/cine/hacker se întâmplă.
Mai întâi asta:
Serverul sacramentofan.com la WPBeginner Admins Only necesită un nume de utilizator și o parolă.
Avertisment: Acest server solicită ca numele dvs. de utilizator și parola să fie trimise într-un mod nesecurizat (autentificare de bază fără o conexiune securizată).
Apoi, aceasta, după ce am încercat să mă autentific:
Serverul sacramentofan.com la protecția împotriva atacurilor WordPress CAPTCHA. Introduceți numele de utilizator: e7en4d Parola: Rezultatul calculului 16+4 necesită un nume de utilizator și o parolă.
Avertisment: Acest server solicită ca numele dvs. de utilizator și parola să fie trimise într-un mod nesecurizat (autentificare de bază fără o conexiune securizată).
Deci, cum opresc asta, deoarece am încercat totul de joia trecută 18-07-2013
Mulțumesc,
Ed
Personal editorial
O problemă prea complexă pentru a fi explicată doar auzind despre ea. Ar trebui să vedem cu adevărat ce se întâmplă. Se pare că un plugin cauzează această problemă.
Admin
David McMahon
Mulțumesc mult pentru acest indiciu util – mă întrebam de ce continuam să primesc mesajul temut „cererea nu se va finaliza niciodată” de la Firefox, dar acum nu mai primesc!
Akash Deep Satpathi
Salut! Am urmat tutorialul tău cu cPanel, dar după aceea nu am mai putut vedea tabloul de bord. Spunea „Această pagină web are o buclă de redirecționare” pe Google Chrome. Deci, ce îmi lipsește?
Personal editorial
Citiți secțiunea care explică eroarea 404 sau problema prea multor redirecționări.
Admin
Meher
Salut,
Mulțumesc foarte mult pentru articolul tău.
Încercam să adaug un strat suplimentar de autentificare la folderul wp-admin și am fost redirecționat către – Eroare prea multe redirecționări –.
Am căutat mult pe Google și am ajuns la articolul dvs. Acest lucru m-a ajutat cu adevărat să rezolv această problemă.
Vă mulțumesc încă o dată.
Dan
Aceeași problemă aici.
arman
funcționează bine
dar există o problemă.
Când utilizatorii normali se autentifică și doresc să acceseze tabloul de bord și să schimbe informații precum fotografia de profil, trebuie să introducă și parola utilizatorului!!
există vreo șansă să setezi acest folder protejat doar pentru administrator sau să îl ignori pentru tabloul de bord al utilizatorilor normali?
Personal editorial
Nu. Ar trebui să o faci pentru toți utilizatorii.
Admin
ARMAN
Deci, dacă folosesc asta pentru Toți utilizatorii, înseamnă că toți utilizatorii trebuie să aibă numele meu de utilizator și parola pentru Folderul Protejat!!
Deci oricine se poate înregistra și Oricine trebuie să aibă acest utilizator, parolă, apoi orice hacker se poate înregistra ca Utilizator pe site-ul meu și poate obține acest utilizator & parolă!!
Deci protejarea Wp-admin este utilă doar pentru site-urile cu un singur administrator sau cu anumiți utilizatori speciali cărora li se poate partaja parola de utilizator…
Personal editorial
Poți crea mai mulți utilizatori în .htpswd. Ar trebui să folosești ceea ce se numește un grup.
vulpe
ooohhh bărbați mulțumesc pentru ajutorul tău :
ErrorDocument 401 default
funcționează perfect !!!!!
Nishant
Mulțumesc pentru sfaturi. Am implementat protecția prin parolă a directorului Wp-Admin și am adăugat și autentificare dublă folosind Google Authenticator. Pare să funcționeze bine.
Recent am migrat la un nou gazdă (Bluehost) și mi-am configurat site-ul WordPress.
Am instalat pluginul de securitate Wordfence. Configurația pluginului este astfel încât de fiecare dată când cineva se autentifică (inclusiv eu), primesc o alertă prin e-mail. De asemenea, dacă cineva încearcă o autentificare cu un nume de utilizator invalid, atunci blochează acel IP pentru 10 minute și trimite un e-mail prin care mă notifică că a existat o încercare eșuată de autentificare.
Având în vedere că mi-am protejat cu parolă directorul Wp-admin, dacă cineva nu cunoaște utilizatorul și parola pentru acesta, nu poate accesa wp-admin sau wp-login pentru a încerca o autentificare pe WordPress.
Dar aseară am primit câteva e-mailuri de la Wordfence, care citează că au existat blocări ale câtorva adrese IP pentru că au făcut încercări eșuate de conectare la Wordpress folosind nume de utilizator invalide (cum ar fi admin, Admin sau nishant). Este posibil să se ocolească protecția parolei pe partea de server a directorului wp-admin și să se încerce conectarea la Wordpress?
Nishant
Nishant
De asemenea, tocmai am observat că...
Când folosesc direct URL-ul către wp-login, mi se afișează fereastra cu parola de pe partea serverului pentru directorul wp-admin. Dar când apăs anulare în acea fereastră de parolă (de 2-3 ori), afișează pagina wp-login!
Dar când URL-ul este wp-admin, atunci când faceți clic pe anulare, afișează „401 Autorizare necesară
Credențiale de conectare invalide!”
Iar fișierele jurnal au arătat încercările invalide de conectare care încercau să acceseze direct wp-login.php.
Personal editorial
Da, wp-login.php este încă accesibil. Dar chiar dacă obțin parola corectă, nu o vor putea vedea. Puteți folosi aceeași tehnică și proteja cu parolă fișierul dvs. wp-login.php individual.
Admin
Jeffro
Exact ce cod ar fi acela? Nu am văzut o modalitate ușoară de a proteja prin parolă fișiere specifice în Cpanel.
Bart
Stimate autor,
Sunt convins că am urmat toate directivele dumneavoastră, totuși primesc notificarea Firefox „buclă infinită”. Iată ce am făcut până acum:
– Am creat un fișier .htpasswds în /.htpasswds/public_html/wp-admin/passwd (CHMOD 664)
– Am creat un fișier .htaccess cu un hash generat / nume de utilizator și l-am plasat în /public_html/wp-admin
– Am inserat linia ErrorDocument 401 default înainte de tot codul în fișierul meu principal .htaccess din /public_html
M-ați putea ghida, vă rog, în rezolvarea acestei probleme. Principalele mele întrebări sunt:
– spui „creează un fișier numit „.htpasswds” “. Este acesta, de fapt, numele corect al fișierului? Adică, cu „s” la sfârșit inclus?
– ce cale exactă trebuie să specific în fișierul meu .htaccess din folderul meu /public_html/wp-admin? În prezent spune „AuthUserFile /.htpasswds/public_html/wp-admin/passwd” Nu sunt sigur că fac partea asta corect…
I’m looking forward to some clarification here…I have been wrestling with this a couple of hours now and I figure it shouldn’t be THAT hard?
Vă mulțumesc foarte mult în avans… dacă aveți nevoie de mai multe informații, sunt mai mult decât fericit să le ofer. Cu stimă,
Bart
Personal editorial
Ce tip de hosting aveți? Aveți un web host cPanel? Puteți încerca să folosiți metoda cPanel pentru a genera fișierul htpswd?
Este foarte greu de spus ce anume nu funcționează, deoarece am notat exact același lucru pe care l-am făcut pe site-ul nostru.
Admin
zimbrul
Aș dori să vă pun o întrebare: vi s-a întâmplat vreodată să aveți folderul admin protejat prin parolă și să vi se ceară autentificare pentru FIECARE postare pe care o citiți pe blogul vostru? Mi se întâmplă cu unul dintre blogurile mele. Mă întrebam dacă nu ar fi mai bine să protejați autentificarea admin cu Google Authenticator sau ceva similar în schimb...
Personal editorial
Dacă vi se cere să vă autentificați de fiecare dată, atunci se întâmplă una dintre următoarele situații:
1. Ați lipit informațiile .htaccess în fișierul principal .htaccess și nu în fișierul .htaccess din folderul /wp-admin/.
2. Fișierul admin-ajax.php este încărcat pe front-end. Trebuie să adăugați regula pentru a preveni protejarea prin parolă. Am menționat soluția pentru asta.
În cele din urmă, da, avem 3 niveluri de protecție pentru administratorul nostru. Potrivire IP (dacă aceasta nu se potrivește, atunci parola .htaccess), și apoi există Google Authenticator. De asemenea, avem activate și limite pentru încercările de conectare.
Sucuri face, de asemenea, o treabă destul de bună la blocarea altor atacuri.
Admin
Anish K.S
am încercat această metodă, dar primesc o eroare „Eroare 310 (net::ERR_TOO_MANY_REDIRECTS): Au fost prea multe redirecționări.”
Cum să rezolv asta ???
Personal editorial
Articolul are o secțiune despre asta. Nu a rezolvat această problemă?
Admin
Anish K.S
Da, am rezolvat. Mulțumesc pentru tutorial.
Mathieu Slaedts
Salut.
Încerc să implementez această protecție. Am încercat cele două soluții (manual și din panoul de administrare al gazdei mele). În ambele cazuri, .htacess este în folderul wp-admin, dar fereastra pop-up apare pe fiecare pagină.
Aveți idee de unde provine asta?
Mulțumesc
Personal editorial
Acesta este un comportament improbabil. Fără a analiza situația specifică, nu vă putem spune de ce face asta. Știm că urmând acest tutorial așa cum este scris, ar trebui să puteți face să funcționeze. Îl avem rulând pe WPBeginner.
Admin
Ollie
Am avut exact aceeași problemă cu fereastra pop-up care apărea pe aproape fiecare pagină a site-ului meu WordPress.
Se pare că pe paginile unde apărea, o resursă wp-admin, în acest caz ceva dintr-un plugin, era preluată și asta pare să fi declanșat pop-up-ul. Am dezactivat de atunci pluginul și pop-up-ul de parolă nu mai apare pe acele pagini.
Deci, aș deschide sursa și aș căuta wp-admin pentru a vedea ce cauzează apariția pop-up-ului.
Personal editorial
Cel mai frecvent fișier care este încărcat este admin-ajax.php, și am acoperit deja asta. Dacă un plugin încarcă un alt fișier, atunci da, trebuie să țineți cont de asta.
aditya
Am făcut urmărirea așa cum ați spus.
Mi-am protejat directorul wp-admin și funcționează pentru autentificare, dar același pop-up apare mereu în timp ce navighez pe site ????
Personal editorial
Aceasta înseamnă că aveți codul în fișierul .htaccess greșit. Trebuie să creați un fișier .htaccess nou-nouț în folderul dvs. /wp-admin/. Se pare că ați lipit codul în fișierul .htaccess principal.
Admin
20Music
Salut,
Am urmat sugestia găsită pe site-ul dvs. Am creat o parolă din cpanel pe folderul wp-admin și a funcționat corect pentru pagina de conectare a administratorului, dar pe fiecare link pe care îl accesez pe site, apare o fereastră pop-up care cere identificarea. Totul este în regulă când am apăsat anulează.
Știți care este problema cu asta?
Am folosit ErrorDocument 401 default și pe .htaccees principal.
Mulțumesc
Personal editorial
Poți, te rog, să verifici dacă protecția prin parolă este într-un fișier .htaccess separat în folderul tău wp-admin?
Admin
Brad LeBlanc
Am încercat și nu am primit nicio fereastră, doar o eroare 404 (prea multe redirecționări http).
Și am fost blocat din tot până când am dezactivat parola. Ce se întâmplă?
Personal editorial
Ați făcut trucul .htaccess pe care l-am menționat în articol, care rezolvă eroarea 404.
Andrew
Mulțumesc pentru ajutorul excelent pe wpbeginner!
Ariel
I edited my .htaccess root file (to put the errordocument rule), and the pop-up worked well, but all my post links gives me a 404 error. I think that is a rewrite rule problem
Thanks
Personal editorial
Accesați Setări > Permalinks. Doar faceți clic pe salvare și sperăm că acest lucru va rezolva problema.
Admin
vic
reîmprospătarea permalink-urilor a funcționat! mulțumesc, m-ai salvat de multe bătăi de cap..!
Tomy
Informații foarte utile, mulțumesc, aparent am avut o breșă, 3 fișiere au fost adăugate la instalarea mea de Wordpress. 1 în wp-admin, 1 în wp-admin/images și 1 în wp-includes.
Toate erau fișiere php. Unul dintre ele conținea mizerie codificată în base 64.
Configurarea htaccess în wp-admin și pluginul pentru limitarea încercărilor de login par să ofere informații utile.
Oh, am reușit să observ fișierele care au fost adăugate instalării mele, deoarece pluginul de monitorizare a fișierelor Wordpress m-a alertat.
Mao Shan
Salut,
Am urmat sugestia găsită pe internet despre cum să securizez folderul wp-admin. Am creat un fișier .htacess pentru a proteja folderul cu parolă. Cu toate acestea, după implementare, pe fiecare link pe care dau clic pe site, apare o fereastră pop-up care cere identificarea. Totul este în regulă când dau clic pe anulare. Știți care este problema? Vreau să securizez folderul meu wp-admin, dar nu vreau pop-up-ul pe toate paginile/linkurile. Folosesc în prezent doar tema Mayashop și pluginul woocommerce.
Mulțumesc
Mai jos este eșantionul meu de .htacess
Permite comandă, refuză
Permite de la toți
Satisface orice
Permite comandă, refuză
Permite de la toți
Satisface orice
Permite comandă, refuză
Permite de la toți
Satisface orice
AuthType Basic
AuthName „Doar administrator”
AuthUserFile „(myurl)/.htpasswds/public_html/wp-admin/passwd”
require valid-user
Personal editorial
Dacă fișierul tău .htaccess se află în directorul tău /wp-admin/, atunci acest lucru nu ar trebui să se întâmple. Cu excepția cazului în care încarci resurse de administrare WordPress pe interfața ta publică.
Admin
Mao Shan
Ei bine, fișierul .htaccess este în folderul wp-admin. Am schimbat tema înapoi la twentyeleven și totul funcționează bine. Doar pe cealaltă temă, solicitarea de autorizare apare pe toate paginile/link-urile.
Am adăugat linia de mai jos și totul pare în regulă, dar când ajung la url/wp-admin, apare Eroare 310 (net::ERR_TOO_MANY_REDIRECTS): Au fost prea multe redirecționări. Care este motivul?
Fișiere ~ "\\\.(php)$"
Ordine allow,deny
Allow from all
Satisfy any
Fișiere
Personal editorial
Ai citit partea din articol care vorbește specific despre acea eroare?
Mao Shan
Salut, am reușit să rezolv problema după o instalare curată de WordPress. Problema este că acum nu pot crea un formular de contact, deoarece mă va redirecționa către eroarea 404 și când activez pluginul xcloner, mă redirecționează, de asemenea, către eroarea 404.
Vreun ajutor?
Sudeep Acharya
Am protejat wp-admin cu parolă. Dar, în ciuda acestui fapt, cineva reușește să facă bruteforce pe blogul meu. Care ar putea fi motivul posibil pentru asta?
Personal editorial
Cum știi că au făcut brute-force și s-au autentificat pe wp-admin? Acest lucru sună foarte suspect. Adesea, când se întâmplă acest lucru, utilizatorul are o ușă din spate instalată.
Admin
Sudeep Acharya
Am primit prea multe bucle de redirecționare și tocmai am adăugat acest cod
ErrorDocument 401 default
în .httaccess a rezolvat problema.
Ahsan
Spune-mi unde să pun această linie… te rog
ahmedsheeraz
ErrorDocument 401 default saved my life
John RIker
Folosesc Cpanel și am parcurs pașii pentru configurare și am făcut asta, de asemenea și utilizatorul și parola.
Cu toate acestea, ceea ce am descoperit după ore de frustrare este că fișierul .htaccess principal trebuie să aibă adăugat: ErrorDocument 401 default
Dacă adăugați asta doar în fișierul principal .htaccess, totul funcționează. în partea de sus, înainte de a începe wordpress, lumea dvs. va fi mult mai relaxată. Asta după ce setați protecția directorului în cpanel
Mulțumesc, am folosit pagina ta cu puțină ajustare și funcționează excelent.
damian
Sunt atât de descurajată. Site-ul meu a fost spart după doar 2 zile de la lansare! Numărul de pași necesari pentru a proteja site-ul este copleșitor, și totuși reușesc să intre...
Și fiecare „autoritate” pare să aibă o opinie sau o abordare sau pluginuri preferate diferite… capul mi se învârte… puteți să-mi oferiți un rezumat de bază, numerotat, al pașilor de urmat pentru a nu fi spart… inclusiv cpanel, backend wp și orice alte lucruri pe care le considerați utile… și sperăm pași care nu necesită un certificat A+…. mulțumesc, omule!
Personal editorial
Ne cerem scuze pentru experiența pe care ați avut-o până acum. Vorbind din acest moment, nu există probleme de securitate cunoscute în nucleul WordPress. Deci, dacă folosiți cea mai recentă versiune de WordPress, atunci este bine. Adesea, problemele de securitate sunt cauzate de pluginuri și teme prost codificate. Înainte de a vă putea securiza site-ul, trebuie să îl curățați. Uneori, schimbarea parolelor și adăugarea tuturor acestor măsuri nu sunt suficiente. Deoarece hackerii pot lăsa fișiere de acces backdoor care le oferă acces la serverul dumneavoastră. Vă recomandăm cu tărie să începeți să folosiți Sucuri și să aveți backup-uri regulate.
https://www.wpbeginner.com/opinion/reasons-why-we-use-sucuri-to-improve-wordpress-security/
Asigurați-vă că vă mențineți pluginurile și fișierele de bază actualizate în permanență. Nu folosiți pluginuri/teme din surse nesigure. WordPress a devenit Windows-ul vremurilor noastre. Deoarece sunt atât de multe site-uri care îl folosesc, hackerii au motivația de a găsi exploatările în pluginuri, teme etc.
Vom lucra la crearea unui tutorial cuprinzător despre securitate.
Admin
bob
Mi-am protejat cu parolă wp-admin pe site-urile mele, dar tot primeam notificări de blocare de la plugin-ul lilmit login. Cum ar putea fi asta?
Apoi am observat că dacă tastez /wp-login.php? în loc de asta și apoi anulez, pot ajunge la pagina de autentificare. Uggggh. Mă face să mă întreb ce alte soluții alternative există pe care nu le știu.
Personal editorial
Ar trebui să luați în considerare adăugarea și a acestui truc.
https://www.wpbeginner.com/wp-tutorials/how-to-limit-access-by-ip-to-your-wp-login-php-file-in-wordpress/
Admin
Peter
SOLUȚIA DE LA HOSTGATOR
Se pare că un plugin de securitate a adăugat o rescriere în fișierul .htaccess din wp-admin/ pentru contul dumneavoastră. Acest lucru a cauzat redirecționarea site-ului către el însuși, provocând o buclă de redirecționare.
Am corectat problema cu fișierul .htaccess și pagina dvs. de login wp-admin se încarcă corect în acest moment.
Dacă aveți alte întrebări sau nelămuriri, vă rugăm să ne anunțați.
Cu stimă,
Preston M.
Administrator Sisteme Linux
HostGator.com LLC
Peter
Am avut un tehnician HostGator lucrând o jumătate de oră la problema erorii 404. Nu a putut să o rezolve.
Chiar a eliminat toate regulile de rescriere din public_html/.htaccess
Peter
Încă primesc eroarea „Prea multe redirecționări”
Pagina nu se redirecționează corect
Firefox a detectat că serverul redirecționează cererea pentru această adresă într-un mod care nu se va finaliza niciodată.
Această problemă poate fi uneori cauzată de dezactivarea sau refuzul de a accepta
cookie-uri.
DAR am adăugat:
"Redirect 301 /tag/tax/ http://snbchf.com/tag/taxes/
Redirect 301 /tag/interest-rate/ http://snbchf.com/tag/academical/"
Redirecționare 301 /tag/chf-flows-floor-ubs/ http://snbchf.com
Redirecționare 301 /tag/boom/ http://snbchf.com
RewriteEngine on
ErrorDocument 401 default”
la fișierul meu .htaccess din directorul public_html.
(am încercat și să pun „ErrorDocument 401 default” la început)
Ankur
Este o modalitate excelentă de a proteja directorul wp-admin. L-am folosit mult timp, dar când am instalat commentluv, a trebuit să-l dezinstalez, deoarece nu a putut funcționa corect.
Știi cumva o soluție alternativă?
Personal editorial
Just updated the article. Try that
Admin
Ankur
Thanks, commentluv now works fine
mindctrl
FYI, am văzut că acest lucru a stricat plugin-urile care folosesc ajax pe partea frontală, apelând wp-admin/admin-ajax.php.
Personal editorial
Da, este adevărat. Nu foloseam niciun plugin care să facă acea solicitare. Cu toate acestea, puteți adăuga o excepție pentru acel fișier în .htaccess.
Admin
Martin
Nu sunt sigur ce face cpanel, dar adăugarea unui simplu htpasswd va oferi același rezultat.
Personal editorial
Ei bine, poți adăuga un htpasswd. Dar ar trebui să creezi și o regulă .htaccess în directorul wp-admin pentru a specifica faptul că blochezi directorul. Apoi specifici utilizatorul sau grupul de utilizatori permis etc. Acest lucru ne ajută, în esență, să simplificăm procesul.
Admin
zimbrul
Tutorialul de mai sus adaugă, de fapt, securitate cu .htpassword și .htaccess printr-o interfață ușor de utilizat în cPanel. După ce ați făcut cele de mai sus, veți observa că un fișier .httpassword a fost generat în afara directorului rădăcină al serverului dvs. (din motive de securitate) și în interiorul fișierului veți găsi informațiile pe care le-ați introdus conform acestui tutorial.
Howard
Pe fiecare site WP pe care îl am, la prima mea autentificare după configurare, creez un alt cont de administrator cu un nume pentru care folosesc o formulă pentru a-l construi — și o parolă foarte puternică, generată de computer. Apoi mă deconectez și apoi mă autentific în contul de administrator alternativ și reduc numele de utilizator standard de administrator la „fără rol pentru acest site” și setez o parolă generată de computer care are cel puțin 35 de caractere. Nu mă deranjez să salvez acea parolă nicăieri. Acum este doar un honeypot.
Apoi am instalat pluginul „limit login attempts”. De fiecare dată când este declanșat, adaug adresa IP ofensatoare în lista mea de interdicții din .htaccess pentru a mă asigura că acea adresă IP nu poate ajunge pe site-ul meu.
Prind 3 sau 4 tentative de a intra în admin în fiecare săptămână.
Personal editorial
Da, am avut și noi asta. Vine un moment în care atacurile sar peste IP-uri. Blocarea unei game largi de IP-uri nu este o opțiune suficientă. Am avut și autentificarea restricționată pe IP, dar nici asta nu a părut să funcționeze.
Admin
Howard
Pluginul „limit login attempts” este destul de bun. L-am setat să se închidă pentru 100 de ore după 4 încercări eșuate, cu a 4-a blocare setată pentru 4000 de ore. Deci, chiar dacă infractorul poate schimba dinamic IP-urile, trebuie să o facă la fiecare patru încercări. Și cu o parolă aleatorie foarte lungă, asta ar trebui să dureze câteva secole și mai multe adrese IP decât este probabil să poată accesa.
În cazul extrem de improbabil în care îmi sparg „admin-ul”, oricum nu le va fi de niciun folos. De fiecare dată când observ că ticălosul a descoperit care este numele meu real de administrator (s-a întâmplat o singură dată până acum), creez imediat unul nou și setez cel vechi la „fără rol pentru acest site” cu o parolă foarte lungă generată aleatoriu. Există câteva alte detalii (de exemplu, mai întâi, trebuie să schimb adresa de e-mail înainte de a mă lăsa să creez noul cont de administrator cu e-mailul meu), dar asta a rezolvat problema în mare parte.
Chiar nu știu dacă este infailibil, dar sper că nenorociții decid că este prea mult de muncă și se vor duce să enerveze un site mai slab.
zimbrul
” De fiecare dată când observ că ticălosul a descoperit care este numele meu real de administrator…” pot să te întreb cum ai descoperit asta?
Howard
@zimbrul Sigur.
Pluginul limit login attempts îmi spune ce nume de utilizator este atacat. De obicei, este „admin”, dar a existat o ocazie în care am văzut numele contului meu real de administrator. Așa că am creat un nou cont de administrator și am lăsat-o pe cea veche, dar fără niciun fel de acces și cu o parolă ridicol de lungă.
Nu sunt sigur cum a găsit infractorul contul de administrator, deoarece i-am atribuit un „poreclă” nerelevantă care apare pe postări. Presupun că există un fișier pe server care poate fi cel puțin parțial citit de un hacker și probabil că trebuie să cercetez asta.
Personal editorial
Este destul de ușor să găsești numele de utilizator. Tot ce trebuie să facă persoana este să se uite la URL-ul autorului tău pentru a-ți cunoaște numele de utilizator. De exemplu, acesta:
https://www.wpbeginner.com/author/wpbeginner/
Numele de utilizator va fi „wpbeginner”. Pentru majoritatea site-urilor așa este, cu excepția cazului în care au schimbat numele de utilizator, așa cum se arată în această tehnică:
https://www.wpbeginner.com/wp-tutorials/how-to-change-your-wordpress-username/
Dacă faci asta, atunci numele tău de utilizator se va schimba, dar URL-ul tău de autor nu.
zimbrul
Howard, acesta este un punct interesant; voi încerca să-l implementez.
De asemenea, am avut probleme cu erori 404 sau prea multe redirecționări și nu știam soluția, mulțumesc pentru asta!
Din anumite motive, blocarea adresei IP în .htaccess în folderul wp-admin nu funcționează pentru site-ul meu zimbrul.co.uk! Am încercat să accesez site-ul meu de pe telefonul mobil pe 3G și am reușit să trec chiar dacă singura adresă IP permisă era cea de acasă.
Personal editorial
Da, de aceea ajută să ai autentificare dublă ca aceasta.
Admin