Защита админ панели при помощи файла .htaccess


 

Не так давно была попытка подбора паролей сразу к нескольким моим сайтам, я писал об этом вот здесь. Понятно, что я попал под раздачу случайно, вряд ли кому-либо могло понадобиться взламывать специально именно мои сайты.

В тот раз техподдержка хостинга быстро это присекла путём блокировки доступ к админкам сайтов кому бы то ни было, а я потом просто добавил свои  IP, с которых обычно захожу в административную панель сайтов. Сегодня мне понадобилось добавить ещё некоторые IP, чтобы я мог публиковать новые записи на сайт и редактировать его вне дома.

htaccess

Заодно решил поделиться и с вами тем как всё это делается и работает, может кому пригодиться.

Блокировка доступа в административную панель сайта возможна несколькими способами. Например возможна установка специального плагина, который просто маскирует страницу входа в админку путём создания уникального URL для входа в панель. Для сайтов на движке WordPress с такой задачей идеально справится плагин wSecure Lite. (можно скачать по этой ссылке https://wordpress.org/plugins/wsecure/)

Но сегодня я расскажу о другом простом и более распространённом способе:

о запрете доступа к административной панели при помощи файла .htaccess

Файл .htaccess располагается в корневой папке вашего сайта и его легко можно отредактировать при помощи программы FileZilla или любой другой утилиты для FTP доступа.

Для того, чтобы нам запретить доступ посторонним к админки сайта всего лишь необходимо вставить в этот файл следующие строки:

Order Allow,Deny
Allow from MY_IP

Для сайта на WordPress они будут выглядеть немного иначе:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from MY_IP
</Files>

Только вместо MY_IP нужно вставить ваш IP (его можно узнать вот на этом сайте http://myip.ru/)

То есть в файле .htaccess вашего сайта должны появиться  строчки такого вида:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.123.123.123
</Files>

Если вам необходимо разрешить доступ к админке с нескольких IP, то просто добавляете ещё строчки Allow from MY_IP cтолько, скольким IP вы хотите разрешить доступ к редактированию вашего сайта, например это может выглядеть так:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.123.123.123
Allow from 222.222.222.222
Allow from 000.123.000.321
</Files>

Бывает ситуация, когда вам необходимо закрыть доступ не всем, а только определенному IP. Тогда код будет выглядеть примерно так:

<Files wp-login.php>
Order Deny,Allow
Deny from 123.123.123.123 
</Files>

После внесения подобного изменения в файл .htaccess доступ с IP 123.123.123.123 будет заблокирован, тогда как со всех других будет открыт.

Такими же способами можно защитить от посторонних и другие файлы на вашем сайте. В этом случае нужно будет изменить первую строчку нашего встроенного кода. Например если мы хотим защитить файл wp-activate.php, то первая строка будет выглядеть так:

<Files wp-activate.php>

Остальные строчки составляются по схемам описанным выше, в зависимости от ваших потребностей.

После внесения необходимых изменений сохраните файл .htaccess и обновите кэш интернет-браузера (ctrl+F5).

Вот в общем-то и всё. Теперь попасть в админку вашего сайта можно только с ваших IP и никак иначе.

Если у вас что-либо не получилось или есть какие-либо вопросы по данной теме — пишите в комментах к этой статье, постараюсь помочь.

Утащить к себе:
прочитало: 1 531 чел.

Комментарии:

Комментариев: 4
  1. хороший мануал, а то мне все не удается найти нормальную информацию, как блокировать по ip, еще только в блоге есть https://shneider-host.ru/blog/blokirovka-dostupa-k-sai%CC%86tu-pri-pomoschi-htaccess.html и все, больше ничего нет, один мусор какой-то по инету… спасибо автору! очень помогло)

  2. Здравствуйте.
    У меня такая проблема. В одном из моих магазинов в котором через кошелёк пайер через Апи клиент производятся автовыплаты. На свой кошелёк я не заходил с 26 января по 16 февраля. А 16 фев. когда зашёл обнаружил , что все средства похищены 12 февраля . В службе поддержки Пайер мне посоветовали отключить Апи клиент(так как украли через апи узнав ключ к апи через дыры в скрипте), но тогда пропадут автовыплаты , а это плохо для моего сайта. Сейчас я поставил на папку tiny_mce поставил права 444. Хочу поставить ограничение входа через ID в Файл .htaccess . Но я заметил , что у меня изменился ID , а вдруг он опять поменяется , как я попаду в скрипт сайта? И может Вы ещё ,ч то-нибудь посоветуете ?
    Спасибо.

    • Добрый день!

      Не совсем понял, под ID вы подразумеваете IP наверное?

      Сам по себе IP не может измениться, если он у Вас конечно не динамичный.

      Но даже при смене IP вы всегда сможете добавить свой новый IP в файл .htaccess по примеру описанному в статье выше, если у Вас есть ftp доступ в корневой каталог сайта.
      Для ftp доступа IP не важен. Важно знать логин и пароль)

      Так что можете смело ограничивать вход при помощи файла .htaccess

      Если ещё есть вопросы — спрашивайте.

Комментировать