Dodatkowe zabezpieczenie logowania

Pomoc w instalacji i konfiguracji, aktualne wersje i spolszczenia, porady Wordpress.
no avatar
tokek25
 
Posty: 1
Reputacja: 0 pkt
Od: 10 mar 2018, o 00:57

Dodatkowe zabezpieczenie logowania

przez tokek25 » 10 mar 2018, o 01:07

Witam,

Przenoszę stronę na wordpress'a. Na razie zakupiony szablon do serwisu informacyjnego "Newspaper 8.7" jest w fazie testu zanim przeniosę na wordpressa stronę. Muszę przyznać, że wszystko śmiga jak należy. Jest tylko jeden mały problem.

Dużo czytałem o zabezpieczeniu wordpressa i wiele z tych rozwiązań zastosowałem. M.in. wtyczka która zmienia ścieżkę do logowania i za pomocą pliku htaccess ustawiłem logowanie gdy ktoś chce wejść do katalogu wp-admin. I działało super. Chcąć się zalogować do panelu admina muszę dwa razy się logować. Najpierw "to moje" logowanie, a potem to standardowe do panelu wp.

Jednak przez przypadek zauważyłem, że po ustawieniu nowego logowanie plikiem htacces przestała działać wyszukiwarka na stronie. Jest ona oparta w tym motywie na ajaxie. W momencie gdy ktoś zaczyna wpisywać szukaną frazę pojawiają się poniżej od razu najtrafniejsze wyniki wyszukiwania. Jednak gdy ustawiłem dodatkowe logowanie, to te wyniki wyszukiwania się nie pojawiają, za to pojawia się okienko do logowania - zupełnie tak jakbym chciał się dostać do panelu.

Niby można powiedzieć, że bezpieczeństwo ważniejsze od wyszukiwarki, ale jednak trochę wstyd, żeby nie było wyszukiwarki w serwisie informacyjnym, albo żeby była tylko nie działała :/

Długo z tym walczyłem, czytałem. Podobno istnieje sposób, żeby za pomocą htacces i htpaswd ustawić dodatkowe logowanie tylko na jeden plik. I teraz się okazuje, że za logowanie do panelu odpowiada wp-login, który się znajduje w głównym katalogu a nie w wp-admin. I zgłupiałem całkowicie, czy ja powinienem chronić dodatkowym hasłem katalog wp-admin czy tylko plik wp-login?

Jak to ogarnąć, pomóżcie

Pozdrawiam
Tomek

no avatar
admin
Administrator
 
Posty: 629
Reputacja: 38 pkt
Od: 30 sty 2013, o 17:39
Lokalizacja: Kraj nad Wisłą

Re: Dodatkowe zabezpieczenie logowania

przez admin » 10 mar 2018, o 14:31

Ja w htaccess mam blokade na hasło po wywołaniu pliku wp-login.php, wygląda to tak że na poziomie katalogu użytkownika jest plik z htpasswd z nazwą użytkownika i hasłem, bardzo skutecznie odsiewa boty
Kod: Zaznacz cały
<Files wp-login.php>
AuthUserFile /home/nazwa_konta_użytkownika/.htpasswd
AuthName "Panel administracyjny"
AuthType Basic
require valid-user
</Files>
ErrorDocument 401 "Denied"
ErrorDocument 403 "Denied"


w katalogu wp-admin w pliku htaccess mam też blokadę
Kod: Zaznacz cały
AuthName "Panel administracyjny"
AuthType Basic
AuthUserFile /home/nazwa_konta_użytkownika/.htpasswd
require valid-user
<Files admin-ajax.php>
  Order allow,deny
  Allow from all
  Satisfy any
</Files>
<Files "\.(css|gif|png|js)$">
  Order allow,deny
  Allow from all
  Satisfy any
</Files>

plik htpasswd z hasłem można wygenerować np. tutaj http://www.htaccesstools.com/htpasswd-generator/

w pliku functions.php motywu dodaję
Kod: Zaznacz cały
remove_action( 'wp_head', 'rsd_link' ); // Display the link to the Really Simple Discovery service endpoint, EditURI link
remove_action( 'wp_head', 'wlwmanifest_link' ); // Display the link to the Windows Live Writer manifest file.
remove_action( 'wp_head', 'wp_generator' ); // Display the XHTML generator that is generated on the wp_head hook, WP version
remove_action( 'wp_head', 'start_post_rel_link', 10, 0 ); // start link
remove_action( 'wp_head', 'index_rel_link' ); // index link
remove_action( 'wp_head', 'adjacent_posts_rel_link', 10, 0 ); // Display relational links for the posts adjacent to the current post.
remove_action( 'wp_head', 'wp_shortlink_wp_head' );

remove_action( 'wp_head', 'feed_links_extra', 3 ); // Display the links to the extra feeds such as category feeds
remove_action( 'wp_head', 'feed_links', 2 ); // Display the links to the general feeds: Post and Comment Feed
remove_action( 'wp_head', 'parent_post_rel_link', 10, 0 ); // prev link

add_filter('xmlrpc_enabled', '__return_false');


Avatar użytkownika
jaworowi.cz
 
Posty: 25
Reputacja: 5 pkt
Od: 15 mar 2017, o 11:51

Re: Dodatkowe zabezpieczenie logowania

przez jaworowi.cz » 28 kwi 2018, o 16:19

Pamiętaj tylko, że korzystanie z kombajnów bezpieczeństwa to nie najlepszy pomysł :)

A zmianę adresu logowania lepiej wpisać samemu z kodu :)

Ponadto jeżeli korzystasz z jetpack linijka wyłączająca xmlrpc nie może znajdować się w pliku functions.php a w htaccess musisz dam zmodyfikowaną wersję (taka która blokuje wszystko poza jetpackiem):

http://jaworowi.cz/wordpress-jak-zablok ... i-5293.php

Dodatkowo należy pamiętać, że to zabezpieczenie hasłem htapasswd blokuje często działanie motywów i samego WordPressa np. Nie możesz stosować stron zabezpieczonych hasłem, a pozatym prawie nic nie daje bo 90% ataków odbywa się przez xmlrpc - te podstronę lepiej zabezpieczyć cloudflarem na poziomie serwerów DNS i w ustawieniach ustawić tryb ochrony wp-admin i wp-login na under attack.

Tutaj najlepsza prezentacja o zabezpieczaniu z instrukcjami krok po kroku :) :

http://wpmagus.pl/pliki/prezentacje/wyc ... -spokoj/#/




  • Podobne tematy
    Odpowiedzi
    Wyświetlone
    Ostatni post

Powrót do Instalacja i Konfiguracja Wordpress

Kto przegląda forum Wordpress

Użytkownicy przeglądający ten dział: Brak zidentyfikowanych użytkowników i 0 gości