Защита админки и сайта при помощи дополнительной авторизации (.htaccess + .htpasswd)

Комментарии — 36

• Александра Вовк 24 Янв 2015 

  Отличный способ дополнительной защиты. Тоже пользуюсь htpasswd - и сама и клиентам рекомендую и настраиваю. Правда закрываю не весь каталог wp-admin, а только файл wp-login.php.
• versusbassz 3 Фев 2015 

  При такой блокировке также блокируется файл /wp-admin/admin-ajax.php , к которому могут обращаться плагины через js с лицевой части сайта (например, ajax-отправка формы).
  • Миша 3 Фев 2015 

    Увы, да)
    Один из вариантов — его можно инклудить через какой-нибудь файл, находящийся в корне сайта.
    • Айбар 4 Май 2015 

      как инклудить
      • Миша 4 Май 2015 

        Функция PHP include().
        • Айбар 4 Май 2015 

          Это ясно, а полный инклуд можно, если я хочу в файл темы function
          • Миша 5 Май 2015 

            Я не знаю, зачем вам его тащить в functions.php, ну да вот он:

            include_once( dirname(__FILE__) . '/../../../wp-admin/admin-ajax.php' );
            • Айбар 5 Май 2015 

              А куда можно?
              • Миша 6 Май 2015 

                Зависит от ваших целей :)
                Например в корне создаем ajax.php и оттуда инклудим. А через скрипты обращаемся именно к ajax.php.
                • Айбар 6 Май 2015 

                  Какие скрипты? Извините за столь дотошные вопросы, просто я новичок в этом деле и мало, что понимаю
                  • Миша 7 Май 2015 

                    JavaScript )
                • Айбар 6 Май 2015 

                  еще бы могли подсказать, как можно разрешить доступ только к одному файлу (press-this.php)
                  • Миша 7 Май 2015 

                    Сходу сказать не могу к сожалению.
• Виктор 3 Мар 2015 

  А если закрывать только wp-login.php, как это все будет выглядеть? :)
  • Миша 3 Мар 2015 

    Думаю примерно так :)

    <Files "wp-login.php">
    Require valid-user
    </Files>
• Виталик 4 Мар 2015 

  Тестировал на локальном сервере. Вроде все получилось, закрыл только файл wp-login.php. Но при входе, я лишь единожды ввел логин и пароль и после этого окно не появляется. Потом снова удалил код сохранил, потом снова вставил перезаписал и снова один раз ввел логин и пароль и больше окно не появляется. Скажите так и должно быть или это так на локальном сервере так?
  • versusbassz 4 Мар 2015 

    Да, браузер запоминает введённые данные и использует их до момента своего закрытия (вроде бы, поправьте меня кто-нибудь, если я не прав).
    Если бы http-аутентификацию нужно было проходить на каждой странице это было бы... неудобно.
    • Виталик 4 Мар 2015 

      Тогда это надежно и еще удобно! Интересно... Если вход в админку мы скрываем путем защиты "wp-admin" и "wp-login" способом выше, а файл конфигураций "config.php" скрываем (путем переноса его на директорию выше). Тогда стоит ли ставить какие-то плагины для защиты? (login-lockdown интересует) есть ли смысл его оставлять или убрать его лучше? Или он несет дополнительную защиту? подскажите
      • versusbassz 4 Мар 2015 

        Я не ставлю, придерживаюсь принципа "сильный пароль решает все проблемы".
      • Миша 5 Мар 2015 

        login-lockdown конечно будет нести дополнительную защиту, если предположить, что кто-то проникнет через htpasswd-аутентификацию и начнёт долбиться вам в админку.
        • Виталик 5 Мар 2015 

          Спасибо за ответ! Вы используете "Subscribe to Comments" или другой плагин на подписку комментариев?
          • Миша 5 Мар 2015 

            Не использую.
• Артем 22 Июн 2015 

  Приветствую! Что будет после обновления ВП? Придеться по новой настраивать или эти файлы сохраняться?
  • Миша 23 Июн 2015 

    Привет!
    Да, они сохранятся.
    • Артем 23 Июн 2015 

      О! Отлично! А я почему-то думал что все сноситься, года ВП обновляется
      • Миша 23 Июн 2015 

        Только файлы самого ВП :)
        • Артем 23 Июн 2015 

          Век живи, век учись))) Буду знать, спасибо
• Дмитрий 28 Янв 2016 

  в /wp-admin/ спрашивает пароль
  в /wp-admin/wp-login.php не спрашивает

  Почему такое может происходить?
  • Миша 29 Янв 2016 

    А потому что wp-login.php находится вне той самой папки и на него не распространяется защита. Но войти всё равно без авторизации не удастся.
• Дмитрий 29 Янв 2016 

  Действительно, войти нельзя.
  Спасибо, Миша, за пояснение.
• Дмитрий 25 Янв 2021 

  Можно после пути к файлу добавить Require expr %{REQUEST_URI} =~ m#^/wp-admin/admin-ajax.php.*#, тогда файл /wp-admin/admin-ajax.php будет попадать в исключения.
  • Миша 26 Янв 2021 

    Спасибо за дополнение! Да, разрешать доступ к admin-ajax.php это очень хорошая идея.

    Ещё можно добавить такой код:

    <Files admin-ajax.php>
    	Order allow,deny
    	Allow from all
    	Satisfy any
    </Files>
• Владимир 7 Июл 2021 

  Можно ли как то добавить в форму регистрации, что бы пользователь сам придумывал пароль, а не по емайлу?
  • Миша 11 Июл 2021 

    Такого гайда у меня пока что нет, но возможно будет! Ну и я думаю, что есть готовые плагины для этой цели
• Алексей 13 Сен 2022 

  Миша, здравствуйте!
  а раньше в этой статье была ссылка на шифровальщик, я там шифровал и все работает по сей день.
  а на еще один сайт понадобилось поставить авторизацию, нашел эту статью и ссылки нет уже.
  пробовал другие шифровальщики из поиска, не срабатывает зашифрованный ими пароль.
  Почему так? и каким шифровальщиком порекомендуете пользоваться?
  • Миша 13 Сен 2022 

    Добрый день, что-то у меня похоже его нигде не осталось сейчас... от слова совсем, потому что я вроде и резервные копии почистить успел :) возможно как-то наберусь до обновления старых постов и поправлю всё

Чтобы оставить комментарий, пожалуйста, зарегистрируйтесь или войдите.