Безпека є важливою частиною роботи будь-якого типу веб-сайту. На жаль, цілком ймовірно, що хтось в кінцевому підсумку захоче спробувати увійти в вашу панель керування сайтом без вашої згоди. Щоб це припинити, вам потрібно подбати про достатній захист.
Є багато різних способів захистити сайт, який побудований на двигуні WordPress. У більшості випадків основну увагу потрібно приділяти захисту сторінки входу в панель інструментів і саму Майстерню, оскільки вони є найбільш ймовірними об’єктами атаки. У сьогоднішній статті ми розглянемо на практиці обмеження доступу до Майстерні сайту на WordPress за допомогою визначення “білого списку” дозволених IP-адрес. Отже, давайте приступимо!
Ефективність використання “білого списку” дозволених IP-адрес
Коли ви додаєте в “білий список” IP-адресу для доступу до певної сторінці, це означає, що ніхто, крім машини з цією адресою, не зможе отримати до неї доступ. Наприклад, якщо на вашому сайті тільки один адміністратор, ви можете сказати системі WordPress, щоб вона заблокувала доступ для всіх IP-адрес, крім дозволеного, тому ніхто, крім вас, не зможе потрапити в Майстерню.
“Чорний список”, з іншого боку, включає блокування доступу певним IP-адресам до певних сторінок. Це теж ефективно, але не так, як у випадку з білим списком. Зрештою, легше вказати в білому списку декілька адрес, ніж занести в чорний список сотні потенційних зловмисників.
Інші переваги білого списку:
- Ви повністю контролюєте, хто має доступ до ваших сторінок. Поки ми говорили тільки про вашу Майстерню, але ви можете реалізувати цю функцію для будь-якої частини вашого сайту.
- Зловмисники не можуть отримати доступ до вашої Майстерні, навіть якщо у них є діючі облікові дані. Якщо комусь вдасться з’ясувати ваше ім’я користувача та пароль, він все одно не зможе увійти в вашу панель керування через блокування доступу.
- Ви можете внести в білий список стільки IP-адрес, скільки хочете. WordPress дозволяє додавати стільки адрес, скільки ви хочете в свій основний список.
Якщо ви є учасником великої команди, білий список IP-адрес складніше буде налаштувати. Іноді вам або вашим колегам по команді може знадобитися виконати роботу з іншого комп’ютера, що означає, що вам потрібно буде додати в білий список більше адрес. З точки зору безпеки це фантастичний варіант, але вам потрібно проаналізувати, чи є він ефективним саме для вашого сайту, перш ніж впроваджувати його.
Як внести IP-адресу в білий список для доступу до Майстерні WordPress
Перш ніж йти далі, ви повинні створити резервну копію свого сайту. Ми збираємося налаштувати один з основних файлів WordPress, тому вам необхідно переконатися, що у вас є запасний варіант у вигляді повної резервної копії.
Крок №1: Переконайтеся, що у вас (і ваших колег) є статична IP-адреса
Не у всіх є статична IP-адреса, що може перетворити процес створення білого списку на головний біль. Перед тим, як реалізувати цю функцію, вам потрібно буде тричі перевірити, що у всіх у вашій команді є статична IP-адреса.
Якщо комусь не вдається призначити собі статичну IP-адресу, не впадайте у відчай. В особливих випадках ви можете постійно змінювати налаштування, коли ваша IP-адреса змінюється.
Крок №2: Відкрийте і відредагуйте кореневий файл .htaccess
На даному етапі ми налаштуємо білий список дозволених IP-адрес, додавши кілька рядків коду в файл конфігурації сервера .htaccess. Для цього вам знадобиться FTP клієнт (наприклад, FileZilla). Більше інформації про використання ФТП ви знайдете в даній статті.
Спочатку увійдіть на сервер свого сайту, використовуючи свої облікові дані FTP, і перейдіть в кореневу папку WordPress, яка також може називатися public_html, www або ім’ям вашого сайту.
Коли ви ввійдете, знайдіть файл .htaccess і клацніть по ньому правою кнопкою миші. Тепер виберіть опцію Перегляд/Редагування (View/Edit), яка відкриє файл, використовуючи ваш локальний текстовий редактор за замовчуванням.
ВАЖЛИВО! Не вносьте жодних змін в код цього файлу, якщо ви не впевнені, що робить цей код!
Знайдіть рядок з написом # END WordPress і вставте наступний фрагмент коду прямо над ним:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ДОЗВОЛЕНА_IP_АДРЕСА$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>
Як ви помітили, в коді є заповнювач для IP-адреси, яку ви хочете додати в білий список. Просто замініть значення ДОЗВОЛЕНА_IP_АДРЕСА IP-адресою, яку ви хочете додати, і на цьому все.
Якщо ви хочете додати більше IP-адрес, просто скопіюйте рядок
RewriteCond %{REMOTE_ADDR} !^ДОЗВОЛЕНА_IP_АДРЕСА$
і вставте її нижче в код, перед рядком [R=403,L].
Не забудьте замінити заповнювач для IP-адреси.
Рядок коду [R=403,L] говорить WordPress, що робити з IP адресами, яких немає в білому списку. В даному випадку повертається помилка 403 Forbidden. З іншими кодами помилок ви можете ознайомитися в цій статті.
Щоб ще більше убезпечити свій сайт, ви можете вказати WordPress заблокувати доступ як до Майстерні, так і до сторінки входу в систему. Ось код, який вам знадобиться:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ДОЗВОЛЕНА_IP_АДРЕСА$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>
Завершивши додавання IP-адрес в білий список, ви можете зберегти зміни в своєму файлі .htaccess і закрити його. Після цього ваш FTP-клієнт запитає, чи хочете ви замінити файл на вашому сервері новою версією файлу. Скажіть Так, і все – ви щойно зробили величезний крок для захисту свого сайту WordPress від зловмисників!
Короткий підсумок
Коли ви вносите в білий список IP-адресу, ви говорите системі сайту на WordPress, щоб вона надала тільки цьому комп’ютеру доступ до вашої Майстерні. Це означає, що будь-які адреси, що не входять в ваш білий список, взагалі не зможуть завантажити сторінку входу в Майстерню. Іншими словами, навіть якщо комусь вдасться вкрасти ваші облікові дані, цього буде недостатньо, щоб потрапити на ваш сайт.
Найприємніше те, що реалізація цієї функції досить проста і складається з двох етапів:
- Переконатися, що у вас і ваших колег є статичні IP-адреси.
- Відкрити і відредагувати кореневий файл .htaccess сайту.
Чи є у вас які-небудь питання про те, як обмежити доступ до сайту на WordPress за IP-адресою? Напишіть їх у розділі коментарів нижче. Дякуємо, що читаєте нас!
Потрібно більше інформації?
