Защита админ-панелей WordPress, Joomla и DLE от подбора паролей c помощью дополнительной http авторизации

Материал из Friendhosting
Перейти к навигации Перейти к поиску

Последние дни набирает обороты массовая атака на административную часть CMS Wordpress, Joomla и DLE.

Атака производится на файлы wp-login.php, /administrator/index.php и /admin.php с многочисленного количества ip-адресов. Целью атаки является подбор пароля администратора. Для защиты сайтов на WordPress, Joomla и DLE с помощью дополнительной http авторизации рекомендуем следовать данной инструкции:

1) В корне аккаунта пользователя создать файл с названием ".htpasswd" При помощи сайта http://www.htaccesstools.com/htpasswd-generator/ сгенерировать его содержание, указав желаемый логин и пароль.

Zah1.jpg

2) Для сайтов на WordPress в .htaccess (в корне сайта) внести
<Files wp-login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile /var/www/имя_пользователя_в_панели_управления/data/.htpasswd
require valid-user
</Files>

Для сайтов на DLE в .htaccess (в корне сайта) внести

<Files admin.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile /var/www/имя_пользователя_в_панели_управления/data/.htpasswd
require valid-user
</Files>

Для сайтов на Joomla в .htaccess (в каталоге /administrator/) внести

AuthName "Access Denied"
AuthType Basic
AuthUserFile /var/www/имя_пользователя_в_панели_управления/data/.htpasswd
require valid-user

где имя_пользователя_в_панели_управления логин пользователя (не путайте с root) в панели управления хостингом (ISPManager).

В случае возникновения вопросов или трудностей по поводу выполнения данной инструкции просьба обращаться в тех. поддержку.

Важно! Если у вас на vps или dedicated большое кол-во сайтов, на cms WordPress, Joomla и DLE, которым необходимо сделать дополнительную http авторизацию перед открытием админ панели и для каждого сайта вносить изменения в .htaccess проблематично, то вы можете обратиться в службу тех поддержки, мы с радостью поможем вам решить данный вопрос.