Останнім часом почастішали атаки на WordPress з метою підбору паролів. Атакуючі запитують доступ до файлу wp-login.php, відповідно найпростішим методом захисту буде закрити їм будь-який доступ до цього файлу.
Реалізувати це можна кількома способами:
1) Закрити за допомогою файлу .htaccess доступ для всіх адрес айпи
У файлі .htaccess необхідно прописати
<Files wp-login.php>
order deny,allow
deny from all
allow from 1.2.3.4
</Files>Що це означає:
<Files wp-login.php> – Правило для файлу wp-login.php order deny, allow – Визначає логіку роботи.
deny from all – Забороняємо переглядати файли всім.
allow from 1.2.3.4 – Дозволяємо доступ до файлу wp-login.php для ip адреси 1.2.3.4
Адреса 1.2.3.4 вам потрібно замінити на вашу айпі адресу, яку можна дізнатися тут: https://tuthost.ua/ip/ або https://2ip.ua
Однак варто мати на увазі, що якщо провайдер не видає вам статичну адресу, то він постійно змінюватиметься.
2) Другий спосіб полягає в тому, щоб перейменувати файл wp-login.php
1. Оригінальний wp-login.php перейменуємо в будь-яку іншу назву, хоч у «4xqtbgkqs60.php».
2. Потім замінимо всі слова wp-login.php на нове ім’я, у нашому випадку на 4xqtbgkqs60.php , у файлі 4xqtbgkqs60.php (старий wp-login.php) та у файлі wp-includes/general-template.php .
3. Завершальним кроком стане повне обмеження доступу до файлу wp-login.php у .htaccess:
<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>Закривати доступ до неіснуючого вже файлу wp-login.php необхідно тому, що зловмисники все одно будуть його вимагати, а двигун буде видавати сторінку 404 (файл не існує), що також створює велике навантаження на сайт.
4. Зверніть увагу, якщо Ви створюєте конструкцію deny from all , переконайтеся в тому, чи є у Вас файл 403.shtml у корені вашого сайту, якщо немає, тоді створіть. Інакше запити помилки 403 перехоплюватиме wordpress і в такому разі навантаження на сайт не зменшиться.