Не так давно была попытка подбора паролей сразу к нескольким моим сайтам, я писал об этом вот здесь. Понятно, что я попал под раздачу случайно, вряд ли кому-либо могло понадобиться взламывать специально именно мои сайты.
В тот раз техподдержка хостинга быстро это присекла путём блокировки доступ к админкам сайтов кому бы то ни было, а я потом просто добавил свои IP, с которых обычно захожу в административную панель сайтов. Сегодня мне понадобилось добавить ещё некоторые IP, чтобы я мог публиковать новые записи на сайт и редактировать его вне дома.
Заодно решил поделиться и с вами тем как всё это делается и работает, может кому пригодиться.
Блокировка доступа в административную панель сайта возможна несколькими способами. Например возможна установка специального плагина, который просто маскирует страницу входа в админку путём создания уникального URL для входа в панель. Для сайтов на движке WordPress с такой задачей идеально справится плагин wSecure Lite. (можно скачать по этой ссылке https://wordpress.org/plugins/wsecure/)
Но сегодня я расскажу о другом простом и более распространённом способе:
о запрете доступа к административной панели при помощи файла .htaccess
Файл .htaccess располагается в корневой папке вашего сайта и его легко можно отредактировать при помощи программы FileZilla или любой другой утилиты для FTP доступа.
Для того, чтобы нам запретить доступ посторонним к админки сайта всего лишь необходимо вставить в этот файл следующие строки:
Order Allow,Deny Allow from MY_IP
Для сайта на WordPress они будут выглядеть немного иначе:
<Files wp-login.php> Order Deny,Allow Deny from all Allow from MY_IP </Files>
Только вместо MY_IP нужно вставить ваш IP (его можно узнать вот на этом сайте http://myip.ru/)
То есть в файле .htaccess вашего сайта должны появиться строчки такого вида:
<Files wp-login.php> Order Deny,Allow Deny from all Allow from 123.123.123.123 </Files>
Если вам необходимо разрешить доступ к админке с нескольких IP, то просто добавляете ещё строчки Allow from MY_IP cтолько, скольким IP вы хотите разрешить доступ к редактированию вашего сайта, например это может выглядеть так:
<Files wp-login.php> Order Deny,Allow Deny from all Allow from 123.123.123.123 Allow from 222.222.222.222 Allow from 000.123.000.321 </Files>
Бывает ситуация, когда вам необходимо закрыть доступ не всем, а только определенному IP. Тогда код будет выглядеть примерно так:
<Files wp-login.php> Order Deny,Allow Deny from 123.123.123.123 </Files>
После внесения подобного изменения в файл .htaccess доступ с IP 123.123.123.123 будет заблокирован, тогда как со всех других будет открыт.
Такими же способами можно защитить от посторонних и другие файлы на вашем сайте. В этом случае нужно будет изменить первую строчку нашего встроенного кода. Например если мы хотим защитить файл wp-activate.php, то первая строка будет выглядеть так:
<Files wp-activate.php>
Остальные строчки составляются по схемам описанным выше, в зависимости от ваших потребностей.
После внесения необходимых изменений сохраните файл .htaccess и обновите кэш интернет-браузера (ctrl+F5).
Вот в общем-то и всё. Теперь попасть в админку вашего сайта можно только с ваших IP и никак иначе.
Если у вас что-либо не получилось или есть какие-либо вопросы по данной теме — пишите в комментах к этой статье, постараюсь помочь.
хороший мануал, а то мне все не удается найти нормальную информацию, как блокировать по ip, еще только в блоге есть https://shneider-host.ru/blog/blokirovka-dostupa-k-sai%CC%86tu-pri-pomoschi-htaccess.html и все, больше ничего нет, один мусор какой-то по инету… спасибо автору! очень помогло)
на здоровье)
Здравствуйте.
У меня такая проблема. В одном из моих магазинов в котором через кошелёк пайер через Апи клиент производятся автовыплаты. На свой кошелёк я не заходил с 26 января по 16 февраля. А 16 фев. когда зашёл обнаружил , что все средства похищены 12 февраля . В службе поддержки Пайер мне посоветовали отключить Апи клиент(так как украли через апи узнав ключ к апи через дыры в скрипте), но тогда пропадут автовыплаты , а это плохо для моего сайта. Сейчас я поставил на папку tiny_mce поставил права 444. Хочу поставить ограничение входа через ID в Файл .htaccess . Но я заметил , что у меня изменился ID , а вдруг он опять поменяется , как я попаду в скрипт сайта? И может Вы ещё ,ч то-нибудь посоветуете ?
Спасибо.
Добрый день!
Не совсем понял, под ID вы подразумеваете IP наверное?
Сам по себе IP не может измениться, если он у Вас конечно не динамичный.
Но даже при смене IP вы всегда сможете добавить свой новый IP в файл .htaccess по примеру описанному в статье выше, если у Вас есть ftp доступ в корневой каталог сайта.
Для ftp доступа IP не важен. Важно знать логин и пароль)
Так что можете смело ограничивать вход при помощи файла .htaccess
Если ещё есть вопросы — спрашивайте.