Jakieś 2-3 tygodnie temu hosting LinuxPL.com wprowadził dodatkowe (odgórnie narzucone) zabezpieczenie panelu logowania WordPress’a, polega ono na nałożeniu na plik „wp-login.php” prostej autoryzacji (Basic access authentication), login i hasło podane są w komunikacie („wpadmin”).
LinuxPL – Basic Auth on WordPress wp-login.php
Wprowadzone zabezpieczenie ma na celu blokowanie ataków typu brute-force, a także zablokowanie części botów wykorzystujących luki bezpieczeństwa w nieaktualizowanych instalacjach WP do „rozsiewania” spamu i wirusów…
Zabezpieczenie na jakiś czas powinno się spisać z nieaktualnymi instalacjami WP (zanim autorzy botów nie dodadzą obsługi wyjątku LinuxPL), samo zabezpieczenie może jednak być uciążliwe na stronach o które dbamy, aktualizujemy i zabezpieczamy we własnym zakresie – tym bardziej jeśli jest to sklep na WP bądź inny serwis w którym także zwykli użytkownicy/klienci korzystają z naszej strony logowania… zatem weźmy się za jego wyłączenie 😉
Owe zabezpieczenie to nic innego jak wpis w konfiguracji Apache
<FilesMatch "wp-login.php"> AuthName "WPISZ 'wpadmin' itd." AuthType Basic AuthUserFile /jakaś/ścieżka/.htpasswd require valid-user </FilesMatch>
A aby wyłączyć wystarczy go nadpisać dodając do pliku .htaccess
<FilesMatch "wp-login.php"> Satisfy Any </FilesMatch>
Zapisz, wyślij plik na serwer i gotowe 😉
P.S. Warto zainteresować się wtyczką „Limit Login Attempts„.
Dzięki za wstawkę.
Jak zadałem pytanie do supportu Linuxpl o możliwość wyłączenia tego, bo zabezpieczam w inny sposób to odpisali, że się nie da 🙂
No to jest w ich interesie, nie po to wprowadzono taką blokadę, aby móc ja obchodzić 😉
Mój plik ma postać
# BEGIN WordPress
RewriteEngine on
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
możesz podać jakim kodem go nadpisać?
Pozdr
Dodaj powyżej # BEGIN WordPress
napisałem do supportu i podpowiedzieli drugi dopisek który zadziałał
”
allow from all
satisfy any
„
Przyznam że bardzo uciążliwe takie „zabezpieczenie”
działa! dzieki
Strasznie irytujące zabezpieczenie, WordPress często je nadpisuje przy aktualizacji.
Umieść podany kod poza komentarzami „BEGIN/END WordPress” to WordPress nie będzie Ci go nadpisywał 😉
Super, dzięki !