• hjem
  •  > 
  • Feil i Windows 10
  •  > 
  • Hvordan sikre WordPress admin pålogging? Primitive tiltak og WPS Hide Login. Plugin for å beskytte WordPress mot hacking WordPress-administrasjonspanelet blir angrepet, hva skal jeg gjøre?

Hvordan sikre WordPress admin pålogging? Primitive tiltak og WPS Hide Login. Plugin for å beskytte WordPress mot hacking WordPress-administrasjonspanelet blir angrepet, hva skal jeg gjøre?

Hei, kjære lesere av bloggsiden. I dag vil jeg snakke om jobbsikkerhet og noen metoder for å beskytte et nettsted mot hacking. Dessverre er jeg ingen ekspert på dette området og min kunnskap går ikke utover omfanget av artikkelen om, men jeg vil bare beskrive min siste erfaring. Jeg brukte ikke noe komplisert, men jeg håper at dette vil øke sikkerheten ved å jobbe med nettstedene mine.

Det handler om dobbel autentisering for å logge på motorens administrasjonspanel nettstedet ditt (skal fungere på alle CMS, men personlig testet jeg det kun på WordPress og Joomla). Beskyttelse er installert på servernivå, så alle forsøk på å gjette passordet for admin-panelet (brute force) vil ikke skape økt belastning på hostingen, og det er ganske vanskelig å omgå det. Det er enkelt å installere (bokstavelig talt i noen få trinn) og av all kunnskap krever det bare oppmerksomhet og muligheten til å få tilgang til nettstedet via FTP.

Vel, jeg vil også gi et par handlinger som jeg brukte på nettsteder på allerede utdaterte Joomla 1.5-motorer, som det ikke gir mening for meg å overføre til, men som stadig bryter serveren min og bruker serveren til å sende spam. Jeg utførte de beskrevne handlingene nylig, så jeg kan ikke si at sidene har sluttet å bli infisert med virus, men jeg håper det. Generelt prøvde jeg litt øke sprekkmotstanden til Joomla 1.5.

Hvordan beskytte Joomla 1.5 mot hacking og virus

Som jeg nevnte ovenfor, er problemet at to av nettstedene mine som kjører Joomla 1.5 blir stadig hacket. Vi kan betrakte dem som forlatte, fordi jeg ikke legger til nytt materiale til dem, men de genererer regelmessig inntekter (fra å legge ut artikler fra Miralinks og Webartex, samt lenker fra Gogetlinks). Generelt er det synd å kaste dem, og å overføre dem til en ny versjon av motoren er bortkastet (sløsing med tid og krefter).

Alt som gjenstår er enten å konstant overvåke belastningen på serveren og, når den øker, se etter skjell og annen skadelig programvare blant motorfilene, eller på en eller annen måte styrke beskyttelsen. For å søke etter skadelig programvare laster jeg ned motorfilene til datamaskinen min og skanner dem med DoctorWeb og Aibolit. Førstnevnte finner ikke alt, og sistnevnte ser fienden for ofte der det ikke er noen, men jeg vet ikke om noen andre effektive metoder. Selv om det også finnes dusinvis av programmer, men dette er mer praktisk for alle.

Forresten, manuset Aibolit kan fungere ikke bare på serveren, men også direkte på datamaskinen i mappen med nedlastede motorfiler (bare ikke glem å deaktivere standard antivirus når du laster ned nettstedet, fordi det kan slette noen av filene, men de vil fortsatt forbli på serveren).

Detaljerte instruksjoner er gitt i videoen nedenfor, men kort fortalt laster du ned PHP-språktolken fra Microsofts nettside og installerer den. Deretter åpner du Aibolit-skriptfilen kalt ai-bolit.php ved å bruke denne tolken:

Skanningshastigheten avhenger av hastigheten på datamaskinen din og antall filer i nettstedets motor. Det tok meg flere timer for https://-siden, fordi Aibolit mistenker til og med bilder for å skjule virus, og jeg har massevis av disse bildene, og cache-filene tar mye tid når de skanner. For nettsteder på Joomla 1.5 var verifiseringen mye raskere.

Jeg bestemte meg for å bruke en dag på å lete etter måter å forbedre nettstedsikkerheten på. Vi klarte å gjøre veldig lite, men likevel bedre enn ingenting. La oss begynne med styrke beskyttelsen (og redusere sårbarhetene) til to nettsteder på Joomla 1.5. Følgende ble gjort:


Hvordan ellers beskytte Joomla 1.5 mot virus og streaming-hack

  1. Også "eksperter" hevder at nettsteder på Joomla 1.5 blir ødelagt "en eller to ganger" ved å bruke den som er tilgjengelig i motoren (angivelig kan du endre administratorpassordet gjennom den). Selv om du ikke bruker registrering på nettstedet ditt og ikke viser en gjenopprettingslenke noe sted, betyr ikke dette at du har dekket dette sikkerhetsproblemet. Bare legg til følgende kodebit til URL-en til nettstedets hjemmeside og få funksjonen du leter etter: /index.php?option=com_user&view=reset

    Faktisk, for å lukke dette smutthullet (men jeg forstår fortsatt ikke hvordan jeg bruker det til hacking), kan du ganske enkelt slette følgende fil:

    /components/com_user/models/reset.php Riktignok etter dette vil ingen av brukerne som er registrert på nettstedet ditt kunne bruke funksjonen for passordgjenoppretting, men for meg var dette ikke viktig, fordi registrering ikke ble gitt.

  2. De sier også at et så nyttig triks, som å legge til sideadressen, også lar virusskribenter og jegere av andres eiendom komme til noen sensitive områder på nettstedet ditt og gjøre det ødeleggende, eller på annen måte misbruke ham. Denne tingen fjernes igjen ved å redigere en av motorfilene. /libraries/Joomla/application/module/helper.php

    Der må du fjerne to stykker kode, eller kommentere dem ut, ved å omslutte dem i /* og */ (denne koden vil ikke bli utført av språktolken). Det første fragmentet er slik:

    If(count($result) == 0) (if(JRequest::getBool("tp")) ( $result = JModuleHelper::getModule("mod_".$posisjon); $result->title = $posisjon; $result->content = $posisjon; $result->posisjon = $posisjon; ) )

    Og den andre er slik:

    If(JRequest::getBool("tp")) ( $attribs["style"] .= " outline"; )

    Faktisk, etter dette tilbakestiller du cachen og prøver å se posisjonene til modulene i malen din ved å bruke denne konstruksjonen:

    Https://site/?tp=1

    Hvis det ikke fungerte, så har du forhåpentligvis lukket dette hullet.

  3. Svært ofte hackes nettsteder ikke fra utsiden, men fra innsiden. Trojanere og nøkkelgener på datamaskinen din vet hva og hvor de skal lete, så ikke lagre passord i FTP-klienter(det er et alternativ å bruke til dette formålet.) Det anses som enda kulere å deaktivere muligheten til å få tilgang til nettstedet ditt via FTP, og i stedet hvor den overførte informasjonen (inkludert passord) er kryptert, noe som gjør det ubrukelig å avskjære den. For å være ærlig, forsømmer jeg det siste rådet på grunn av mitt "mørke". Det er også mulighet for å sette opp tilgang til nettstedet ditt via vanlig FTP kun fra en bestemt IP-adresse (datamaskinen din), men min internettleverandør har en dynamisk IP (endringer innenfor et visst område).
  4. Råd også motor ikke høyere enn de som faktisk kreves for driften. Faktisk, uten egentlig å tenke på det, satte jeg det i henhold til malen: 755 for mapper og 644 for filer. Du kan gjøre alt ved å bruke samme Filezilla. Dessuten må disse rettighetene brukes ikke bare på katalogene til rotmappen, men også på alle kataloger og filer som ligger i dem.

    Jeg satte tillatelsene til 444 for filene i rotmappen, og 705 for tmp- og loggkatalogene. Jeg kunne selvfølgelig ha klemt den tettere, men jeg har ikke mye erfaring med dette, og det var ikke tid å kaste bort tid på eksperimenter. Og dessuten vil ikke alt dette på alvor avskrekke hackere, fordi det er ting som kan oppheve all vår innsats. For å gjøre dette, bruk kommandoer som dette:

    Derfor, for å fullstendig "konkrete" filene til Joomla 1.5-motoren fra hacking og inngrep, er det nødvendig å forby endring av tilgangsrettigheter til filer og mapper via PHP. Dette gjøres i serverinnstillingene, men jeg vet ikke hvordan og hvor ennå. Hvis du vet, vennligst legg ut en lenke.

  5. Alt det ovennevnte er utformet for å redusere sannsynligheten for at nettstedet ditt blir hacket og penetrert av skjell og annen skadelig programvare. Forholdsreglene som er tatt er imidlertid ingen garanti, så det ville være bra på serveren (der Joomla 1.5-siden din bor). Dette vil fjerne all negativiteten fra den lekkede ondskapen. Men personlig, igjen, har jeg ennå ikke implementert dette på grunn av mitt "mørke". Jeg vil være takknemlig for lenker til materialer som forklarer denne prosessen.

    6. Svært ofte blir nettsteder ødelagt etter å ha fått tilgang til det administrative panelet. Det er klart at det er passordbeskyttet, så ved bruk av brute force (smart utvalg) blir mange, til og med tilsynelatende komplekse passord brutt i ett eller to. Derfor administrasjonspanelet må også beskyttes, og det er bedre å ikke gjøre dette ved å bruke ekstra utvidelser, men ved å bruke serververktøy. Det er flere beskyttelsesalternativer. Du kan for eksempel endre URL-en til administrasjonspanelet på en eller annen måte slik at en hacker ikke kan starte sin skitne virksomhet.

    En annen beskyttelsesmetode, som vil bli beskrevet i detalj nedenfor, er å skape en ekstra barriere i veien til en angriper (en levende person eller et manus). Den består i å passordbeskytte katalogen med admin-filer (i Joomla er dette administratormappen, og i WordPress - wp-admin) ved hjelp av webserveren. Det viser seg at når du får tilgang til administrasjonspanelet, må du først angi pålogging og passord for å få tilgang til mappen, og først deretter pålogging og passord for å få tilgang til, faktisk, administrasjonspanelet til motoren. Dessuten, ved å bryte den første forsvarslinjen ved å bruke brute force-metoder, vil ikke skadelig programvare skape noen betydelig ekstra belastning på serveren, noe som er bra.

  6. En annen veldig viktig, etter min mening, merknad for å øke sikkerheten til nettstedene dine mot hacking og virusinfeksjon er å følge regelen: ett nettsted - en hostingkonto. Ja, det er dyrere, men mye tryggere. Når den er vert for én konto, vil alle nettstedene dine være umiddelbart tilgjengelige via FTP hvis skadelig programvare får tilgang til bare én av dem. De bryter nettsteder automatisk, og det ville ikke være rimelig å håpe at skriptene ikke vil gå opp i katalogtreet. I tillegg er det veldig vanskelig å behandle en haug med nettsteder på én hostingkonto, fordi ved å jobbe på ett nettsted mister du synet av den allerede kurerte, som blir infisert samtidig.
  7. Forresten, de kan bryte ikke bare fra ditt eget nettsted, men også fra nettstedet til hosting-naboen din, hvis eierne ikke har tatt skikkelig vare på å utelukke denne muligheten. Vertspanelet (som f.eks.) kan også hackes, men i alle fall er antallet hack på grunn av hosterens feil ubetydelig sammenlignet med antall hack på grunn av sideeieres uforsiktighet.

Hvordan beskytte administrasjonsområdet på nettstedet ditt mot hacking?

Jeg vil snakke i detalj om beskyttelsesmetoden som jeg nylig brukte selv. Den består i forbyr tilgang til mapper der nettstedets administrative panelfiler er plassert. Forbudet er satt ved hjelp av en fantastisk .htaccess-fil, som i hovedsak lar deg fjernstyre innstillingene til webserveren som nettstedet ditt er installert på. Samtidig vet han hvordan han skal gjøre dette selektivt.

Alle direktiver skrevet i .htaccess vil kun gjelde for katalogen der den er plassert. Vil du endre noe i innstillingene for hele siden? Plasser deretter .htaccess i rotmappen. Vel, vi er bare interessert i innstillingene angående mappen med admin-filene, så vi vil plassere den der. I Joomla vil dette være administratormappen, i WordPress - wp-admin.

Vi kan imidlertid ikke klare oss med .htaccess alene. Du må også bruke .htpasswd, hvor påloggingsinformasjonen og passordet for å få tilgang til denne administrative mappen vil bli lagret. Dessuten vil passordet ikke lagres i klartekst, men som et MD5-chiffer. Det vil ikke være mulig å gjenopprette passordet ved å bruke det, men når du skriver inn riktig kombinasjon i passordfeltet, vil webserveren beregne MD5-beløpet for denne kombinasjonen og sammenligne det med det som er lagret i .htpasswd. Hvis dataene samsvarer, vil du få adgang til Joomla- eller WordPress-administrasjonsområdet, men hvis ikke, får du ikke lov.

Det er alt, alt som gjenstår er å bringe planen ut i livet. Du må legge til noen direktiver til .htaccess. Vet du hvilke? Jeg vet ikke. Og på en eller annen måte må du konvertere passordet til en MD5-sekvens. Problem. Imidlertid har den en ganske enkel løsning. Flinke folk har organisert en nettbasert tjeneste for å generere innhold til .htaccess-filen og .htpasswd-filen basert på brukernavnet og passordet du opprettet. Riktignok må du også spesifisere den absolutte banen til den administrative mappen, men dette er trivielt.

Så, møt det store og forferdelige beskyttelsesgenerator for administrasjonspanelet til nettstedet ditt. Jeg skjønner, ikke sant? Du kommer opp med, eller best av alt, lager to komplekse kombinasjoner av bokstaver, tall og symboler på noe, hvorpå du legger dem inn i de to øverste feltene. Bare ikke glem å skrive dem ned eller legge dem inn i en passordbehandler, ellers vil du ikke kunne logge på administrasjonsområdet og må begynne å gjøre alt som er beskrevet i denne delen på nytt.

Her nå. Kjenner du denne? Selv om du ikke vet, spiller det ingen rolle. Koble til nettstedet via FTP, lag en fil i roten med et hvilket som helst navn (selv med følgende url_path.php) og legg til denne enkle koden til den:

"; echo "Full bane til skriptet og dets navn: ".$_SERVER["SCRIPT_FILENAME"]."
"; echo "Skriptnavn: ".$_SERVER["SCRIPT_NAME"]; ?>

Gå deretter til nettleseren og skriv inn denne URL-en i adressefeltet (med ditt domene, selvfølgelig):

Https://site/url_path.php

Som et resultat vil du se den absolutte banen du var interessert i. Skriv den inn i .htaccess- og .htpasswd-filgeneratoren ovenfor. Ikke glem å legge til navnet på administratoren eller wp-admin-mappen på slutten av denne banen uten skråstreken. Det er det, klikk nå på "Generer" -knappen

Og en etter en, overfør innholdet for .htaccess- og .htpasswd-filene direkte til de samme filene.

Jeg håper at du allerede har opprettet dem i administrator- eller wp-admin-mappene (avhengig av motoren du bruker)?

Vel, prøv nå å logge på administrasjonspanelet. Et vindu dukker opp som ber deg skrive inn brukernavnet og passordet til webserveren din? Det gjengis forskjellig i forskjellige nettlesere, men i Chrome ser det slik ut:

Hvis noe ikke fungerer, så "røyk" den absolutte banen til .htpasswd, skrevet i .htaccess-filen. I dette tilfellet er det bare å korrigere det manuelt når du redigerer filen. Det var alt jeg ville fortelle deg i dag. Hvis du vil kritisere eller legge til noe, så fortsett.

Virus i WordPress?

Etter å ha skrevet denne artikkelen oppdaget jeg skadelig programvare på bloggen min (https://site) (eller noe som ble installert utenom testamentet mitt). Jeg ville bare endre noe i koden og gikk inn i . Helt nederst, rett før Body-taggen, ble jeg truffet av en oppfordring til en funksjon som ikke var kjent for meg (basert på navnet, men jeg fant ikke noe nyttig):

Navnet ser ut til å være fornuftig. Det er bemerkelsesverdig at omtrent tre uker før oppdaget jeg ved et uhell at jeg hadde en ny tabell i databasene til to av WordPress-bloggene mine (https://site og en annen). Navnet var rett og slett fantastisk - wp-config. Å google dette navnet igjen ga ikke noe nyttig, fordi alle svarene var relatert til filen wp-config.php med samme navn.

Denne tabellen vokste raskt i størrelse (opptil hundre megabyte på https://site) og adressene til sidene på nettstedet mitt med forskjellige parametere ble skrevet inn i den. Jeg forsto ikke essensen av denne prosessen, jeg rev ganske enkelt dette bordet og det var det. Jeg har forresten en annen blogg på WordPress, men det ble ikke observert noe slikt der.

Vel, her fant jeg en slik "snakende" innsetting i emnet. Jeg bestemte meg for å se om det var lagt til noe i samsvar med linjen beskrevet ovenfor nederst i bunnteksten. Det viste seg at det ble lagt til. Og så pent - verken helt øverst eller helt nederst, men den andre (eller tredje) funksjonen påskrevet fra toppen:

Funksjon wp_custom_page_links_return() ( $option = get_option("wp_custom_page_links"); @eval($option); ) @eval(get_option("wp_brlinks"));

Det er her den fantastiske "evalen" fanger oppmerksomheten din. Det som er bemerkelsesverdig er at Aibolit (beskrevet ovenfor) fant dette fragmentet mistenkelig, men jeg har ikke kommet meg over det ennå, fordi dette manuset allerede mistenker mange mennesker for upålitelighet. Jeg googlet også om denne koden og fant et innlegg (dessverre ble det domenet nå blokkert for manglende betaling) som beskrev et lignende problem. En venn av meg lekket denne dritten med et nytt tema der en installasjonskode var innebygd.

Jeg har hatt emner på begge infiserte blogger i mange år. Det var sannsynligvis en slags sårbarhet i motoren eller , som raskt (on stream) ble utnyttet av dårlige ønsker. Generelt, sjekk deg selv for fravær av slike inneslutninger. Datoen for endring av de beskrevne filene var, etter min mening, i midten av september i år.

Jeg råder deg også til å se på et utvalg fra 17 videotimer om å sikre nettsider på Joomla. De spilles automatisk etter hverandre, og hvis du vil, kan du bytte til neste leksjon ved å bruke den tilsvarende knappen på spillerpanelet eller velge ønsket leksjon fra rullegardinmenyen i øvre venstre hjørne av spillervinduet:

Nyt å se!

Lykke til! Vi sees snart på sidene til bloggsiden

Du kan være interessert

Joomla-siden begynte å produsere en haug med feil som - Strenge standarder: Ikke-statisk metode JLoader::import () skal ikke kalles statisk i
Oppdaterer Joomla til siste versjon
Opprette et kart for et Joomla-nettsted ved å bruke Xmap-komponenten
Hva er Joomla
Brukergrupper i Joomla, caching-innstillinger og problemet med å sende e-post fra siden
K2-komponent for å lage blogger, kataloger og portaler på Joomla - funksjoner, installasjon og russifisering
Moduler i Joomla - visning av posisjon, innstilling og utgang, samt tilordning av klassesuffikser
Hvordan oppdatere en statisk HTML-side til en dynamisk på Joomla
Installere WordPress i detaljer og bilder, logge inn på WP-administrasjonsområdet og endre passordet
Joomla-plugins - TinyMCE, Load Module, Legacy og andre installert som standard

WordPress er et veldig populært CMS, dette er utvilsomt dens fordel, det er mange plugins for enhver oppgave, men dette er også dens svakhet, fordi jo mer populært CMS for et nettsted, jo flere angrep er det på det, eller rettere sagt er det. mer interessant for en angriper, siden de har funnet en sårbarhet I WordPress blir hundretusenvis av nettsteder tilgjengelige for angripere, så beskyttelse av WordPress-nettstedet krever spesiell oppmerksomhet.

Hvorfor blir WordPress-nettsteder hacket?

Alle populære CMS (nettsidemotorer) er hacket, og WordPress er intet unntak, jeg hacker hovedsakelig ved hjelp av såkalte programmer (scripts) – utnyttelser, for å få kontroll over siden, dette gjøres hovedsakelig for å lage lenker fra siden din til andre ressurser , og for å lage et BotNet som utfører DDoS-angrep på andre servere, mens siden forblir i orden, og du aldri vil se med det blotte øye at den er infisert. Uansett vil hacket ha en dårlig effekt på nettstedet ditt, og du kan til og med forsvinne fra søkeresultatene.

Som jeg allerede sa, hacking skjer automatisk, det er ikke vanskelig å identifisere CMS-en til et nettsted, det er mange nettjenester for dette, ofte prøver et angripende program å gjette passordet fra den administrative delen av nettstedet, dvs. går til adressen your-site.ru/wp-admin og prøver å gjette passordet til brukeren din, det er ikke vanskelig å finne ut brukernavnet, du skriver artikler under det, så påloggingen vil være synlig for roboter, de vet hvor de skal se etter det. med mindre du selvfølgelig lukket den ved hjelp av en plugin, en av dem vil vi snakke om nedenfor. Passordet for nettstedadministratoren skal være veldig komplekst, men selv om denne betingelsen er oppfylt, kan du ikke la roboter prøve (brute force) passordet for "adminpanelet", fordi dette ikke er en nødvendig belastning på serveren, tenk deg om flere dusin roboter fra forskjellige deler av verden gjør dette.

Plugin for å beskytte WordPress mot angrep

La oss gå rett til plugin-en, det er flere verdt å vurdere, la oss snakke om en enklere og mer forståelig en, jeg bruker den på mange av prosjektene mine, for kunder takler den de tildelte oppgavene med å beskytte nettstedet -

Denne plugin er ganske enkel å lære, og er 90% russifisert, den er installert som alle plugin fra WordPress-depotet, etter installasjonen må du aktivere den og gjøre grunnleggende innstillinger. Det vises i hovedmenyen i WordPress-administrasjonsområdet

WP Security Plugin Kontrollpanel

Etter å ha gått til plugin-innstillingene, kommer vi til kontrollpanelet. Her kan du gjøre grunnleggende viktige innstillinger.

  1. Viser de siste 5 autorisasjonene i ditt adminpanel, brukeren og IP-adressen er spesifisert, for eksempel ser jeg umiddelbart IP-ene mine, det er bare to av dem, så jeg er ikke i tvil om at noen andre kjenner passordet mitt fra den administrative delen.
  2. Delen av de viktigste funksjonene, her må du inkludere alt og være enig i alt.
  3. Plugin-modulen er i stand til å spore filendringer på hosting, og den kan sende en rapport til deg på e-post, og du er alltid klar over hvilke filer som har endret seg, dette er veldig nyttig hvis du har lastet ned et slags skript eller en fil. med ondsinnet kode, vil du umiddelbart se det i rapporten, det eneste negative er at etter å ha oppdatert eventuelle andre plugins du har installert eller selve WordPress-motoren, vil WP Security se alle disse endringene og sende deg en enorm liste, men du kan få vant til disse rapportene, fordi du vet når du selv oppdaterte filene.
  4. Dette elementet endrer standardadressen til nettstedets administrasjonspanel yoursite.ru/wp-admin, til yoursite.ru/luboe-slovo, dette vil redde administrasjonspanelet ditt fra noen potensielle hackere og roboter, men dessverre ikke fra alle av dem , spesielt avanserte finner det fortsatt, jeg kan bedømme dette ved å se på delen "Autorisasjoner", men mer om det senere.
  5. Dette elementet bør slås av, som i skjermbildet, det er kun nødvendig når du vil sette nettstedet på vedlikehold, besøkende vil få et skilt med en melding om at siden er under teknisk arbeid, noen ganger er dette nyttig, for eksempel , når du endrer utformingen av nettstedet, eller i tilfelle noen globale endringer, ikke glem at i denne modusen kan søkeroboter heller ikke se nettstedet ditt, ikke lukk det på lenge.

Beskytter WordPress-administrasjonsområdet mot passordgjetting

La oss nå gå til menyelementet - Autorisasjon, etter min mening, et veldig nyttig element, og det er verdt å sette det opp, som det er på et av nettstedene mine. med et oppmøte på rundt 1000 personer fanger plugin-en dusinvis av forsøk om dagen på å gjette passordet til admin-panelet, og legger til IP-adressene til hackere på svartelisten, dvs. blokkerer det fullstendig, slutter nettstedet å svare på denne IP-adressen, og opphever dermed forsøk på å finne et passord, innstillingene jeg gjør på skjermen.

  1. Jeg lar antall forsøk på å "gjøre en feil" være -3, ikke gjør mindre, du kan skrive inn passordet feil selv og ende opp svartelistet med IP-en din, du må
  2. Dette er tiden som telleren for feil påloggingsforsøk tilbakestilles etter.
  3. Jeg satte sperreperioden for IP-adresser som feilaktige autorisasjonsforsøk ble gjort fra lengre, i minutter, dvs. bad i lang tid, skjermbildet viser 6 000 000 minutter, det er omtrent 11 år, jeg tror det er nok

Alle blokkerte IP-er vil bli nektet tilgang ikke bare til administrasjonspanelet, men til hele nettstedet, husk dette

Liste over blokkerte IP-adresser

  1. angriperens IP-adresse
  2. påloggingen som passordet ble valgt for, er forresten riktig
  3. datoen da den automatiske blokkeringen ble foretatt

Hviteliste over adresser for administrasjonspanelet

For å tillate tilgang til den administrative delen av et WordPress-nettsted kun fra visse IP-adresser, kan du aktivere den hvite listen over adresser i plugin-innstillingene.

  1. aktiverer dette alternativet
  2. her er din nåværende IP-adresse
  3. i dette feltet skriv inn alle IP-adresser som tilgang til adminpanelet er tillatt fra

Hvis du trenger å spesifisere en rekke IP-adresser, bruk en stjerne i stedet for et tall, for eksempel 192.168.5.* - denne utformingen vil gi tilgang til WordPress-administrasjonspanelet fra alle IP-er som starter med disse tallene, denne metoden kan være nyttig for de som ikke har en dedikert IP-adresse, og den er i konstant endring, for eksempel når du arbeider med mobilt Internett, vil området som regel forbli innenfor de to første sifrene, som dette, for eksempel 192.168.* .*

Hei alle sammen i denne opplæringen. Og i sannhet vil det være kort, men nyttig, spesielt for nybegynnere. Kjenner dere til statistikken over hvor mange nettsteder som er hacket, ikke sant? Men jeg kan si at hver fjerde person allerede har blitt hacket, etter standarder for hva forfatterne av blogger og blogger vet om dette faktum, men tallet kan være mye lavere. Nå skal vi beskytte WordPress admin-området, fordi dette er den aller første og sterkeste veggen.

Forord.

Som alltid, litt teori. Du ser hva som er i veien, vi er alle mennesker, og oppførselen vår er den samme, og inntil noen biter oss på ett sted, vil vi ikke bry oss, vel, har jeg rett? Hele poenget er at siden er hacket av et program som opererer i henhold til sine egne algoritmer, og hvis siden din viker for disse algoritmene, så lykke til.

Sikring av nettsiden din er det aller første som må gjøres, og dette må alltid gjøres og kontrolleres. Så de fleste administratorer selv gjør jobben sin enklere for hackere, som beskrevet. Eller de stjal rett og slett passordene dine, for eksempel fra et program for FTP-tilkobling til nettstedet ditt.

Les alle artiklene i og beskytt deg selv, og jeg anbefaler deg også å bla gjennom om virus, det er også veldig informativt.

Programtillegg for autorisasjonsbegrensning.

Det heter Login LockDown, det er installert som standard, du kan gjøre det direkte gjennom WordPress admin panel. Skriv inn navnet i søket og installer det som på skjermbildet nedenfor. Han er den eneste du ikke kan gå glipp av.

Nå må det konfigureres, i prinsippet er det ikke mange innstillinger, men de fleste artiklene på Internett er gjennomgått på eldre versjoner av denne plugin, der de foreslår å gjøre mange allerede ubrukelige ting. La oss starte med et skjermbilde og en beskrivelse under det (jeg delte det i to deler for enkelhets skyld)

  1. Sti til plugin-innstillinger.
  2. Maks innlogging hentes, dette betyr antall forsøk som en person kan legge inn, jeg setter 3 som det optimale alternativet. Hvis det i løpet av disse tre forsøkene ikke var riktig, er tilgangen til inngangen blokkert.
  3. Lockout-lengde (minutter), basert på forrige punkt, angir vi nøyaktig hvor lenge vi vil blokkere dataene, mellom forsøk på å legge inn data, setter jeg den til 1 minutt. Det vil si, anta at du logger inn på administrasjonspanelet, men ikke var i stand til å gjøre det første gang, da aktiveres WordPress-administratorbeskyttelsen umiddelbart, og du vil bare kunne fortsette etter den tiden som er spesifisert her.
  4. Lockout-lengde (minutter), etter flere feil (jeg har tre sett), ser plugin at alle forsøk på å gjøre autorisasjon er ubrukelige og blokkerer brukerens IP, det er her vi registrerer hvor lenge, jeg har en time.
  5. Lockout Ugyldige brukernavn? Tell antall forsøk når du skriver inn feil pålogging, en nødvendig vare.

  1. Maske påloggingsfeil? Vi sier også ja, definitivt. Alt handler om selve WordPress; det selv forteller deg at enten påloggingsinformasjonen eller passordet ble skrevet inn feil. Og for å skjule disse ledetrådene, trengs et slikt poeng.
  2. Vise kredittlenke? Som standard, hvis dette elementet ikke er merket, vil det si at alt er beskyttet av Login LockDown-plugin. For ikke å gi unødvendig informasjon, gjør vi denne innstillingen. I gamle artikler på Internett rådet de til å gå inn i plugin-koden og gjøre alt for hånd, men tiden går og denne funksjonen ble implementert av utviklerne selv.
  3. Når alt er gjort, klikk på denne knappen og lagre innstillingene.
  4. Foreløpig låst ute. Og her vil det være en liste over alle IP-adressene som prøvde å hacke nettstedet, eller rettere sagt, de hvis inngangsgrense ble overskredet.

Konklusjon.

Kom igjen, ikke tenk på en blogg som en stasjonær robot som du kom til, skrev, optimaliserte noe, og det er det. Husk mitt ord

WordPress er et av de mest populære CMSene i verden. Mer enn 18,9 % av alle internettsider jobber på den, og antall installasjoner har oversteget 76,5 millioner. Dessverre har en slik popularitet sine ulemper. Ifølge en rapport fra Securi, et selskap som spesialiserer seg på nettstedssikkerhet, er WordPress det mest hackede CMS-systemet i verden. Men hvis du følger beste praksis i denne saken og implementerer noen av teknikkene i guiden vår, vil du innse at WordPress-sikkerhet enkelt kan styrkes med noen få enkle trinn.

Før vi starter denne veiledningen, sørg for at du har følgende:

  • Få tilgang til WordPress Dashboard
  • Tilgang til vertskontoen din (valgfritt)

Trinn 1 – Hold WordPress oppdatert

Dette vil være det første og viktigste trinnet for å forbedre WordPress-sikkerheten. Hvis du vil ha et rent, bloatware-fritt nettsted, må du sørge for at WordPress-versjonen din er oppdatert. Dette kan virke som et enkelt tips, men bare 22 % av alle WordPress-installasjoner er den nyeste versjonen.

WordPress implementerte en automatisk oppdateringsfunksjon i versjon 3.7, men den fungerer kun for mindre sikkerhetsoppdateringer. Mens store, viktige oppdateringer må installeres manuelt.

Hvis du ikke vet hvordan du oppdaterer WordPress, ta en titt her.

Trinn 2 – Bruk av ikke-standard påloggingsinformasjon

Bruker du admin som ditt WordPress admin-brukernavn? Hvis svaret ditt er ja, svekker du alvorlig WordPress-sikkerheten din og gjør det lettere for hackere å bryte seg inn i kontrollpanelet ditt. Det anbefales på det sterkeste at du endrer administratorbrukernavnet ditt til noe annet (se denne veiledningen hvis du ikke er sikker på hvordan du gjør dette) eller oppretter en ny administratorkonto med annen legitimasjon. Følg disse trinnene hvis du foretrekker det andre alternativet:

Et godt passord spiller en nøkkelrolle i WordPress-sikkerhet. Det er mye vanskeligere å knekke et passord som består av tall, små og store bokstaver og spesialtegn. Verktøy som LastPass og 1Password kan hjelpe deg med å lage og administrere komplekse passord. I tillegg, hvis du noen gang trenger å logge på WordPress-dashbordet mens du er koblet til et usikret nettverk (som kaffebarer, offentlige biblioteker, etc.), må du sørge for å bruke en sikker VPN som beskytter påloggingsinformasjonen din.

Trinn 3 – Aktiver totrinnsverifisering

To-trinns bekreftelse legger til et ekstra lag med sikkerhet til påloggingssiden din. Etter å ha bekreftet brukernavnet, legger den til et nytt trinn som må fullføres for vellykket autorisasjon. Mest sannsynlig bruker du allerede dette for å få tilgang til post, nettbank og andre kontoer som inneholder sensitiv informasjon. Hvorfor ikke bruke dette i WordPress også?

Selv om det kan virke komplisert, er det veldig enkelt å aktivere totrinnsverifisering i WordPress. Alt du trenger å gjøre er å installere mobilappen for 2-trinns bekreftelse og sette den opp for WordPress. Du kan finne mer detaljert informasjon om hvordan du aktiverer totrinnsverifisering på WordPress.

Trinn 4 –Deaktiver PHP-feilrapportering

PHP-feilrapporter kan være ganske nyttige hvis du utvikler et nettsted og vil forsikre deg om at alt fungerer som det skal. Å vise feil til alle er imidlertid en alvorlig sikkerhetsfeil i WordPress.

Du må fikse dette så raskt som mulig. Ikke bli skremt, du trenger ikke være programmerer for å deaktivere PHP-feilrapportering på WordPress. De fleste vertsleverandører tilbyr dette alternativet i kontrollpanelet. Hvis ikke, legg bare til følgende linjer i filen din wp-config.php. Du kan bruke eller til å redigere filen wp-config.php.

Feilrapportering(0); @ini_set('display_errors', 0);

Det er alt. Feilrapportering er deaktivert.

Trinn 5 – Ikke bruk nullmaler for WordPress

Husk "Gratis ost kommer bare i en musefelle." Det samme gjelder nullmaler og plugins.

Det finnes tusenvis av nullte plugins og maler over hele Internett. Brukere kan laste dem ned gratis ved å bruke forskjellige filvertstjenester eller torrentfiler. De vet ikke at de fleste av dem er infisert med malware eller black hat SEO-lenker.

Slutt å bruke nullstilte plugins og maler. Ikke bare er dette uetisk, men det skader også WordPress-sikkerheten din. Du vil ende opp med å betale mer til utvikleren for å rydde opp på nettstedet ditt.

Trinn 6 –Skann WordPress for skadelig programvare

For å infisere WordPress bruker hackere ofte hull i maler eller plugins. Derfor er det viktig å sjekke bloggen din ofte. Det er mange velskrevne plugins for dette formålet. WordFence skiller seg ut fra denne mengden. Den tilbyr applikasjonsveiledning og automatiske testfunksjoner, sammen med en haug med andre diverse innstillinger. Du kan til og med gjenopprette modifiserte/infiserte filer med et par klikk. Den deles ut gratis. Disse faktaene bør være nok til at du kan installere den akkurat nå.

Andre populære plugins for å forbedre WordPress-sikkerheten:

  • BulletProof Security – I motsetning til WordFence, som vi snakket om tidligere, skanner ikke BulletProof filene dine, men det gir deg en brannmur, databasebeskyttelse osv. Et særtrekk er muligheten til å konfigurere og installere plugin-modulen med noen få museklikk.
  • Sucuri Security – Dette pluginet vil beskytte deg mot DDOS-angrep, inneholder en svarteliste, skanner nettstedet ditt for skadelig programvare og administrerer brannmuren din. Når noe blir oppdaget. du vil bli varslet via e-post. Google, Norton, McAfee - denne plugin-en inkluderer alle svartelistene fra disse programmene. Du kan finne en komplett guide om installasjon av plugins for et WordPress-nettsted.

Trinn 7 – Overfør nettstedet til en sikrere hosting

Dette rådet kan virke rart, men statistikk viser at mer enn 40 % av WordPress-sidene har blitt hacket på grunn av sikkerhetshull i hostingkontoen. Denne statistikken bør oppmuntre deg til å flytte WordPress til en sikrere hosting. Noen viktige fakta å huske på når du velger en ny hosting:

  • Hvis det er delt hosting, sørg for at kontoen din er isolert fra andre brukere og at det ikke er noen risiko for infeksjon fra andre nettsteder på serveren.
  • Hostingen har en automatisk backup-funksjon.
  • Serveren har en tredjeparts brannmur og skanneverktøy.

Trinn 8 – Sikkerhetskopier dataene dine så ofte som mulig

Selv de største nettstedene blir hacket hver dag, til tross for at eierne deres bruker tusenvis på å forbedre WordPress-sikkerheten.

Hvis du følger beste praksis i denne saken og har brukt tipsene i denne artikkelen, må du fortsatt sikkerhetskopiere nettstedet ditt regelmessig.

Det er flere måter å lage en sikkerhetskopi på. For eksempel kan du manuelt laste ned nettstedsfilene og eksportere databasen, eller bruke verktøyene som tilbys av ditt vertsselskap. En annen måte er å bruke WordPress-plugins. De mest populære av dem:

Du kan til og med automatisere prosessen med å lage og lagre WordPress-sikkerhetskopier i Dropbox.

Trinn 9 – Slå av filredigering

Som du sikkert vet har WordPress en innebygd editor som lar deg redigere PHP-filer. Denne funksjonen er like nyttig som den kan være skadelig. Hvis hackere får tilgang til kontrollpanelet ditt, er det første de vil legge merke til: Filredigering. Noen WordPress-brukere foretrekker å slå av denne funksjonen helt. Den kan slås av ved å redigere filen wp-config.php, ved å legge til følgende kode der:

Define("DISALLOW_FILE_EDIT", true);

Det er alt du trenger for å deaktivere denne funksjonen i WordPress.

VIKTIG! Hvis du vil aktivere denne funksjonen på nytt, bruk FTP-klient eller Filbehandler din hosting og fjern denne koden fra filen wp-config.php.

Trinn 10 – Fjerning av ubrukte maler og plugins

Rydd opp i WordPress-siden din og fjern alle ubrukte maler og plugins. Hackere bruker ofte deaktiverte og utdaterte maler og plugins (til og med offisielle WordPress-plugins) for å få tilgang til kontrollpanelet ditt, eller laste opp skadelig innhold til serveren din. Ved å fjerne plugins og maler som du sluttet å bruke (og kanskje glemte å oppdatere) for lenge siden, reduserer du risikoen og gjør WordPress-siden din sikrere.

Trinn 11 – Bruke .htaccess for å forbedre WordPress-sikkerheten

Htaccess er en fil som er nødvendig for at WordPress-lenker skal fungere riktig. Uten de riktige oppføringene i .htaccess-filen din, vil du få mange 404-feil.

Ikke mange brukere vet at .htaccess kan brukes til å forbedre WordPress-sikkerheten. For eksempel kan du blokkere tilgang eller deaktivere PHP-kjøring i visse mapper. Nedenfor er eksempler på hvordan du kan bruke .htaccess for å forbedre sikkerheten til WordPress-siden din.

VIKTIG! Før du gjør endringer i filen, ta en sikkerhetskopi av den gamle .htaccess-filen. For dette kan du bruke eller .

Nekter tilgang til WordPress-administrasjonsområdet

Koden nedenfor lar deg bare få tilgang til WordPress-administrasjonsområdet fra visse IP-er.

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic bestill nekte, tillat nekte fra alle tillat fra xx.xx.xx.xxx tillat fra xx.xx.xx.xxx

Merk at du må endre XX.XX.XX.XXX til IP-adressen din. Du kan bruke denne siden til å sjekke din nåværende IP. Hvis du bruker mer enn én tilkobling for å administrere WordPress-siden din, sørg for å skrive ned forskjellige IP-adresser (legg til så mange adresser du trenger). Det anbefales ikke å bruke denne koden hvis du har en dynamisk IP-adresse.

Deaktiver PHP-kjøring i visse mapper

Hackere elsker å laste opp bakdørsskript til WordPress-nedlastingsmappen. Som standard brukes denne mappen kun til lagring av mediefiler. Derfor bør den ikke inneholde noen PHP-filer. Du kan enkelt deaktivere PHP-kjøring ved å opprette en ny .htaccess-fil i /wp-content/uploads/ med disse reglene:

nekte fra alle

Beskytter filen wp-config.php

Wp-config.php-filen inneholder de viktigste WordPress-innstillingene og MySQL-databasedetaljer. Derfor er det den viktigste filen i WordPress. Derfor blir det oftest hovedmålet for WordPress-hackere. Du kan imidlertid enkelt sikre den ved å bruke følgende regler i .htaccess:

beordre tillate, nekte nekte fra alle

Trinn 12 – Endre standard WordPress-databaseprefikser for å forhindre SQL-injeksjon

WordPress-databasen inneholder og lagrer all nøkkelinformasjonen som er nødvendig for driften av nettstedet ditt. Som et resultat blir det et annet mål for hackere og spammere som kjører automatisert kode for å utføre SQL-injeksjon. Under en WordPress-installasjon er det mange som ikke gidder å endre standard databaseprefiks wp_. I følge WordFence involverer 1 av 5 WordPress-hack SQL-injeksjon. Fordi wp_ Dette er en av standardverdiene, og hackere begynner først med den. På dette tidspunktet skal vi kort se på hvordan du beskytter et WordPress-nettsted mot denne typen angrep.

Endre prefikstabellen for et eksisterende WordPress-nettsted

Del én – Endre prefikset i wp-config.php

Finn filen din wp-config.php ved å bruke eller finne linjen med verdien $table_prefix.

Du kan legge til flere tall, bokstaver eller understreker. Deretter lagrer du endringene og går videre til neste trinn. I denne opplæringen bruker vi wp_1secure1_ som det nye tabellprefikset.

Mens du er i filen wp-config.php, finn også navnet på databasen din slik at du vet hvilken du skal endre. Se i seksjonen define('DB_NAME'.

Del to - Oppdatering av alle databasetabeller

Nå må du oppdatere alle postene i databasen. Dette kan gjøres ved å bruke phpMyAdmin.

Finn databasen definert i den første delen og logg inn på den.

Som standard har en WordPress-installasjon 12 tabeller og hver av dem må oppdateres. Dette kan imidlertid gjøres raskere ved å bruke SQL-delen av phpMyAdmin.

Å endre hver tabell manuelt vil ta enormt lang tid, så vi bruker SQL-spørringer for å fremskynde prosessen. Bruk følgende syntaks for å oppdatere alle tabellene i databasen din:

RENAME tabellen `wp_commentmeta` TIL `wp_1secure1_commentmeta`; RENAME tabellen `wp_comments` TIL `wp_1secure1_comments`; RENAME tabellen `wp_links` TIL `wp_1secure1_links`; RENAME tabellen `wp_options` TIL `wp_1secure1_options`; RENAME tabell `wp_postmeta` TIL `wp_1secure1_postmeta`; RENAME tabell `wp_posts` TIL `wp_1secure1_posts`; RENAME tabellen `wp_terms` TIL `wp_1secure1_terms`; RENAME tabellen `wp_termmeta` TIL `wp_1secure1_termmeta`; RENAME tabellen `wp_term_relationships` TIL `wp_1secure1_term_relationships`; RENAME tabell `wp_term_taksonomi` TIL `wp_1secure1_term_taksonomi`; RENAME tabellen `wp_usermeta` TIL `wp_1secure1_usermeta`; RENAME tabell `wp_users` TIL `wp_1secure1_users`;

Noen WordPress-maler eller plugins kan legge til flere tabeller til databasen. I tilfelle du har mer enn 12 tabeller i MySQL-databasen, legg til de resterende manuelt i SQL-spørringen og kjør den.

Del tre - Sjekke alternativer og tilpassede metadatatabeller

Avhengig av antall plugins du har installert, vil noen verdier i databasen din måtte oppdateres manuelt. Dette kan gjøres ved å kjøre separate SQL-spørringer på tabellen alternativer Og metadata.

For bord alternativer, du bør bruke:

VELG * FRA `wp_1secure1_options` HVOR `option_name` SOM `%wp_%`

For bord metadata, bør du bruke:

VELG * FRA `wp_1secure1_usermeta` HVOR `meta_key` LIKE `%wp_%`

Når du får søkeresultatene, oppdaterer du bare alle verdiene med wp_ til ditt nye konfigurerte prefiks. I bordet brukermetadata du må redigere feltet meta_key, mens for alternativer, må du endre verdien alternativ_navn.

Sikre nye WordPress-installasjoner

Hvis du planlegger å installere nye WordPress-sider, trenger du ikke gå gjennom denne prosessen på nytt. Du kan enkelt endre WordPress-tabellprefikser under installasjonsprosessen:

Gratulerer! Du har forbedret databasens sikkerhet mot SQL-injeksjon.

Konklusjon

Selv om WordPress er det mest hackede CMS-systemet i verden, er det ikke så vanskelig å forbedre sikkerheten. I denne guiden har vi delt 12 tips du bør følge for å holde WordPress-sikkerheten din på nivå.

Forfatter

Elena har en profesjonell teknisk utdannelse innen informasjonsteknologi og erfaring med programmering på forskjellige språk for forskjellige plattformer og systemer. Hun har viet mer enn 10 år til nettindustrien, og jobbet med ulike CMS-er, som Drupal, Joomla, Magento og, selvfølgelig, det mest populære innholdsstyringssystemet i disse dager – WordPress. Artiklene hennes er alltid teknisk verifiserte og nøyaktige, det være seg en anmeldelse for WordPress eller instruksjoner for å sette opp VPS-serveren din.

Lesetid: 4 min

For bare et år siden overskred serverbelastningen min svært ofte grensen tillatt av tariffen. Dessuten var problemet ikke på selve sidene, men i et banalt angrep fra angripere på admin-panelet for å få tilgang til noen av sine egne formål.

I dag vil jeg fortelle deg hvordan jeg taklet problemet, som jeg anbefaler deg å gjøre hjemme, i tilfelle.

Som et resultat ble det besluttet å endre adressen til påloggingsskjemaet i adminpanelet, samt stenge adminpanelet for alle fremmede som ikke har min IP.

Det er verdt å merke seg at enkelte hostingselskaper selv automatisk opprettet en ny admin-adresse for alle brukere. Hvis du bruker tjenestene til slike vertstjenester, så ikke les flere artikler og ikke kast bort tid.

Hvordan endre WordPress admin-adresse

Jeg har tidligere publisert en slik artikkel. Det ser ut til å være et lignende resultat her, men effekten og formålet er annerledes.

Ikke glem å ta sikkerhetskopier av filene du jobber med.

  • Først kopierer du filen wp-login.php fra roten til nettstedet (der wp-config.php er plassert) via ftp til datamaskinen din.
  • Gi det nytt navn som du vil. For eksempel vhod.php
  • Åpne denne filen med det gratis Notepad++-programmet (eller det som er mer praktisk for deg å redigere) og erstatt alle forekomster av frasen wp-login.php med vhod.php .

Du kan raskt gjøre dette ved å trykke CTRL+F i Notisblokk++. Vel, i vinduet som vises, skriv inn:

Så på et sekund erstattet jeg forekomsten av setningen jeg trengte i hele filen. Den kom over 12 ganger.

Vi laster opp den nye filen til ftp.

En lignende ting må gjøres i general-template.php-filen, som du finner i mappen wp-includes der på ftp. De. endre forekomsten av frasen wp-login.php til vhod.php , men ikke endre selve filnavnet!

Nå har du en .htaccess-fil der i roten av nettstedet. Vi kopierer den også til datamaskinen vår og åpner den for redigering (du kan bruke en vanlig Windows Notisblokk). Vi setter inn et stykke kode som blokkerer alles tilgang til filen wp-login.php

Bestill nekte, tillat nekte fra alle

< Files wp - login . php >

Bestill avslå, tillat

Nekter fra alle

< / Files >

Det var dette trinnet som lettet byrden og også skjulte autorisasjonsskjemaet. Belastningen ble lettet ved å sette inn den presenterte koden i .htaccess: hvis det var et kall til http://site.ru/wp-login.php, ville det gi en 403-feil, ikke en 404.

La oss kort gjenta driftsalgoritmen:

  • Gi nytt navn til wp-login.php-filen til et vilkårlig navn og erstatt forekomstene av navnet med et nytt.
  • På samme måte, i general-template.php-filen, erstatter vi det gamle navnet wp-login.php med det nye.
  • Vi registrerer i .htaccess-filen et forbud mot tilgang til wp-login.php for alle

Etter oppdatering av WordPress er det bare general-template.php-filen som gjenstår å korrigere. Men fordi Motoren oppdateres ikke så ofte - dette er en liten ting i forhold til effekten.

Vi setter en begrensning på innlogging via IP via .htaccess

Som ekstra tiltak for å beskytte nettstedet, vedtok jeg en begrensning på å logge på administrasjonspanelet via IP. Problemet ble løst veldig enkelt: lag en tom .htaccess-fil og legg til følgende kode til den

bestill nekte, tillat tillat fra 192.168.0.1 nekte fra alle

beordre nekte, tillate

tillate fra 192.168.0.1

nekte fra alle

Vi lagrer filen og slipper den inn i wp-admin-mappen på samme sted ved roten av nettstedet.

I stedet for min IP fra eksemplet, legg inn din ekte. Dessuten kan du legge til flere IP-er med en ny linje hver:

bestill avslå, tillat tillat fra 126.142.40.16 tillat fra 195.234.69.6 avslå fra alle

beordre nekte, tillate

tillate fra 126.142.40.16

tillate fra 195.234.69.6

nekte fra alle

Hvis IP-en er dynamisk, kan du bare sette tall opp til den første, andre eller tredje prikken: