Jakieś 2-3 tygodnie temu hosting LinuxPL.com wprowadził dodatkowe (odgórnie narzucone) zabezpieczenie panelu logowania WordPress’a, polega ono na nałożeniu na plik “wp-login.php” prostej autoryzacji (Basic access authentication), login i hasło podane są w komunikacie (“wpadmin”).
LinuxPL – Basic Auth on WordPress wp-login.php
Wprowadzone zabezpieczenie ma na celu blokowanie ataków typu brute-force, a także zablokowanie części botów wykorzystujących luki bezpieczeństwa w nieaktualizowanych instalacjach WP do “rozsiewania” spamu i wirusów…
Zabezpieczenie na jakiś czas powinno się spisać z nieaktualnymi instalacjami WP (zanim autorzy botów nie dodadzą obsługi wyjątku LinuxPL), samo zabezpieczenie może jednak być uciążliwe na stronach o które dbamy, aktualizujemy i zabezpieczamy we własnym zakresie – tym bardziej jeśli jest to sklep na WP bądź inny serwis w którym także zwykli użytkownicy/klienci korzystają z naszej strony logowania… zatem weźmy się za jego wyłączenie ;)
Owe zabezpieczenie to nic innego jak wpis w konfiguracji Apache
<FilesMatch "wp-login.php"> AuthName "WPISZ 'wpadmin' itd." AuthType Basic AuthUserFile /jakaś/ścieżka/.htpasswd require valid-user </FilesMatch>
A aby wyłączyć wystarczy go nadpisać dodając do pliku .htaccess
<FilesMatch "wp-login.php"> Satisfy Any </FilesMatch>
Zapisz, wyślij plik na serwer i gotowe ;)
P.S. Warto zainteresować się wtyczką “Limit Login Attempts“.