Как сделать двойную авторизацию в админке WordPress

Показываю наглядно и пошагово как сделать двойную авторизацию в админке WordPress, что позволяет дополнительно защитить ваш сайт от злоумышленников и снять нагрузку с сервера, если идет "брутфорс-атака" (автоматический многократный подбор логина/пароля).

Уточню: подобную авторизацию можно сделать абсолютно на любой CMS. Привязки нет.

Кто не любит читать в конце статьи найдет видео что и как делать.

Корректируем файл .htaccess

В корне вашего сайта на хостинге лежит файл .htaccess. Он создается автоматически, при установке WordPress. Копируем его себе на жесткий диск и открываем в обычном блокноте Windows.

В .htaccess у вас уже что-то будет прописано. Не удаляем. С новой строки после всех записей вставляем следующее:

<Files wp-login.php>
AuthName "Access Denied"
AuthType Basic
AuthUserFile /home/.htpasswd
require valid-user
</Files>

Этой записью мы говорим что при попытке авторизации нужно показать еще одно окно авторизации.

Сейчас у вас выглядит файл .htaccess примерно так

Screenshot_1

Узнаем путь до файлов на сервере

Теперь нужно узнать правильный путь до вашего сайта относительно сервера. На этом этапе у многих возникают проблемы. Даю простое решение.

Создаете файл servinfo.php со следующим содержанием:

<?php
echo $_SERVER['DOCUMENT_ROOT'];
?>

Сохраняете файл и закачиваете в корень сайта по FTP туда же, где лежит ваш .htaccess

Теперь в адресной строке браузера набираете:

http://ваш_сайт/servinfo.php

Подставьте ваш домен в нужное место. В итоге у вас появится строка с правильным путем до корня сайта относительно сервера. Подставляем ее в .htaccess

Screenshot_2

Создаем файл .htpasswd

Последний шаг - это создание файла с логином и паролем для второй авторизации.

Переходим на сайт http://www.htaccesstools.com/ и вводим новые логин и пароль в соответствующие поля.

Screenshot_3

Нажимаем кнопку "Create.." и копируем набор букв и символов, которые у вас появились.

Далее при помощи блокнота Windows создаем новый файл с названием .htpasswd, внутри которого вставляем тот набор букв и цифр, которые вы сделали на прошлом этапе.

Теперь осталось закачать на хостинг в корень сайта ваш измененный файл .htaccess и новый файл .htpasswd

Все. Пробуйте авторизоваться.

Видео как сделать двойную авторизацию в админку

Включайте звук и смотрите в качестве HD

Привет. Меня зовут Виталик и я автор этого блога, а так же Магазина WordPress https://wp-r.ru/.

Отблагодарить Z888279575784 R109400923968 или ЯД 41001651742138

Оказываю услуги по созданию и настройке сайтов на WordPress (верстка, натяжка).

Мои Контакты. Я в Twitter @mojWP. Смотри на Youtube. Читай RSS блога.

Опубликовано 14 комментариев
  1. seoonly.ru (28 комм.):
    http://seoonly.ru/

    Гранд мерси за маунал!)

  2. Yaroslav.CH (1 комм.):
    http://www.proofsite.com.ua

    Отличная статья, но на мой взгляд, в нее нужно обязательно добавить информацию о том, что такой способ годиться только в том случае, если авторизация нужна только для _одного_ администратора. Если же она нужна и для других пользователей - другой администратор, читатели, редакторы и т.д. - то даже имея правильные регистрационные данные на уровне WP, зайти они просто не смогут - второго пароля у них нет. А wp-login используется для любой авторизации на сайте.

    • Виталий (1674 комм.):
      http://mojWP.ru/

      Сгенерируйте для .htpasswd сколько нужно доступов и с новой строки

      • Андрей Зенков (4 комм.):
        http://start-luck.ru

        Ну, ё-маё, точно. Блин, а я уже отчаялся, что редактор не может на сайт попасть. Всё гениальное - просто. 🙂 Спс.

  3. Александр (2 комм.):
    http://fazanet.ru/

    На одном сайте сделал, всё отлично. А ещё на двух, всё равно кто-то пытается войти в админку. Может что-то не правильно сделал. Не подскажите могут ли программы для подбора логина и пароля обходить эту защиту

    • Виталий (1674 комм.):
      http://mojWP.ru/

      Все можно обойти. Это решение от самых распространенных проблем, с которым большинство сталкивается.
      Вы тогда ставьте ограничение по IP

      А точно в админку стучат? Может на xmlrpc?

    • Виталий (1674 комм.):
      http://mojWP.ru/

      Могут.
      Попробуйте поставить блок по IP

  4. Максим Обухов (2 комм.):
    http://webmixnet.ru/

    Много раз задумывался о защите сайта на вордпресс но пока еще руки как то не доходят что бы все изучить.

  5. Юлия (4 комм.):

    Виталик, у меня не появляется всплывающее окно. Все сделала как у вас в видео и статье )) В чем может быть причина, подскажите пожалуйста..

    • Юлия (4 комм.):

      Вернее не появилось оно в Яндекс браузере. Попробовала в браузере Опера - всплывающее окно появилось перед основной авторизацией, все нормально ))). Как же так?

      • Виталий (1674 комм.):
        http://mojWP.ru/

        Не вангую. Видеть нужно

        • Юлия (4 комм.):

          Написала в группе Вконтакте, спасибо заранее за ответ ))

  6. Нина (1 комм.):
    http://detkisemya.ru/

    А я если раз в день смогу попасть в админку, то это хорошо. А так высвечивается -Вы были заблокированы из-за слишком большого количества попыток входа. Написала в службу поддержки хостинга, они мне ответили -Данная блокировка происходит со стороны CMS сайта. В этом случае, мы рекомендуем обратится к документации по используемой CMS для уточнения возможности альтернативного входа, так же Вы можете обратится на форум поддержки CMS. Подскажите, что мне делать?

    • Виталий (1674 комм.):
      http://mojWP.ru/

      У вас видимо плагин авторизации какой-то стоит. Отключите его или удалите через ftp

Не держи в себе. Выскажись.

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2011-2016 | mojwp.ru | Копирование материала разрешено только с письменного согласия
WordPress: 12.89MB | MySQL:77 | 0,494sec
Премиальные плагины для CMS WordPress
Магазин WordPress WP-R.ru
Спасибо, не показывайте мне эту штуку больше!
Смотри мои обучающие видео на YouTube
Иван только что купил плагин ELT
https://wp-r.ru/plaginy/elt.html