Protecție împotriva site-ului admin hacking, parola de criptare pe php, WordPress și master-l

Protecție împotriva site-ului admin hacking

Uneori, utilizatorii de blog-ul meu, scris că materialul este prezentat de mine, nu poartă nici o semnificație și, prin urmare, bun pentru începători începători.

Protecție împotriva site-ului admin hacking, parola de criptare pe php, WordPress și master-l

Cum de a proteja site-ul dvs. de hacking

Așa că astăzi am decis să reabiliteze un pic 🙂 și să descrie totul în detaliu.

După cum probabil ați ghicit, suntem în articol se va concentra pe protecția site-ului admin de hacking, folosind fișierul .htaccess magie.

Acest tip de protecție este universală, și este capabil de a proteja, cum ar fi site-ul samopisnogo panoul de administrare și de administrare WordPress.

Dar astăzi am decis, cât mai mult posibil pentru a descoperi esența sa, și în curând pe viitor, chiar și pentru a așeza script-urile și fișierele necesare pentru descărcare. 🙂

Cum de a proteja fișierul .htaccess admin

În primul rând avem nevoie pentru a crea un dosar care va conține .htpasswd fișier la conectările baze de date și parole pentru autentificare fișier .htaccess, t. E. Prin intermediul unui server de web. Numele folderului poate fi arbitrară, de exemplu passadm.

Acum, creați un fișier .htpasswd în sine și se face pentru a conecta și a parolei criptate, sau un server Unix pur și simplu va emite un 403 Forbidden (acces interzis).

parola de criptare cu PHP

$ Passwd = $ _POST [parola];

$ Patz = substr (md5 (uniqid ($ passwd)), 0, 3). "-56";

$ Passwd = criptă ($ passwd $ Patz.);

echo '

“. $ Passwd. '„;

Generează o parolă pentru .htpasswd

Formularul va fi doar un singur câmp de intrare în care trebuie să introduceți parola. Apoi, faceți clic pe butonul de trimitere și pagina va fi criptate parola.

numele de utilizator și parola bazei de date Sintaxa va arăta astfel:

Autentificare pentru a cripta nu este necesar! Personal, am recomanda, pentru a face cât mai dificilă. 😉

Acum script dosar administrator, trebuie să creați un fișier .htaccess, vreau să atrag atenția asupra faptului că este posibil să fi dezactivat afișarea fișierelor ascunse pe server, de exemplu, dacă utilizați un client TotalCommander ftp, în acest caz, această funcție trebuie să fie activată.

.htaccess scrie următorul cod:

Full (absolut) calea către directorul cu passadm fișierul .htpasswd la administrator (server) de găzduire, sau folosind un script PHP:

$ Server = str_replace ( '\\', '/' $ server.);

echo '“. $ Server. ' „;

Obținerea de prima experiență cu un fișier .htaccess, recomand toate aceleași cu localhost. Utilizatorii Windows pot folosi Denwer, și sub Linux, eu folosesc de obicei Xampp, de atunci lucrează cu el, acesta va fi mult mai ușor pe o gazdă reală.

După cum ai întrebări, voi termina de scris articol, este ca să spunem așa: modul meu de a proteja conținutul site-ului de plagiat.

P.S.Vyshlo WordPress upgrade de motor pentru versiunea 3.5.2, asa ca am recomanda in special cu acest caz, nu strângeți.

Ei bine kopimasteram spune:

Dacă copiați întregul articol, asigurați-vă că pentru a plasa link-ul indexată deschis la sursă, adică. E. Pentru mine, aceasta va ajuta să evitați unele dintre problemele în viitor.

Articole interesante pe tema:

  • Cum de a verifica site-ul pentru a detecta viruși
  • Căutare vulnerabilități XSS în aplicații Flash
  • site-ul vulnerabilitate de WordPress
  • antetele HTTP și filtrare a datelor în PHP

o descriere mai detaliată a creării autentificării în mijloace .htaccess de server de web, pentru a proteja site-ul de administrare împotriva accesului neautorizat, adică. e. cracking, a se vedea acest articol

Multumesc pentru articol, vom investiga.
În timp ce site-ul meu se face pe motorul samopisnaya fara admin nu ceea ce este, probabil.
Site-ul meu este dedicat construcția și repararea ideyadoma.ru care nu utilizează sql.

Otsutst admin, pe de o parte, este bun, așa că am un singur site, panoul de administrare, care este pe localhost, și voi trebuie doar să completați în noile fișiere pe server.
Dar, personal, aș recomanda să vă, toate la fel la început, pentru a face față cu CNC, în primul rând:
site-ul nu funcționează în mod corespunzător cu poziția de CEO, și în al doilea rând:
dacă Urla modifica valorile unor parametri, atunci există [rea] eroare.
Un mușchi sau txt este o chestiune de preferință personală.

Am un site web unde am admin dosar, pur și simplu a explodat 🙂 înainte de a intra torni pe ftp, și nu există probleme de securitate, cu toate acestea, și mă duc acolo destul de des.

Aceasta este cea mai sigură cale de a proteja panoul de administrare. 🙂
Am avut chiar și un caz când serverul de hacking (pe un server a fost o problemă reală, PHP montat ca CGI), hatskery foarte mult timp în căutarea pentru zona de administrare a site-ului meu, dar nu l-am găsit, și chiar mi-a scris messagu, la care I-am răspuns că ea pe localhost mea, tipul a fost, probabil, în stare de șoc. 😉

Datorită Master-It. Prin WP plugin-ul, folosesc o mai bună securitate wp. O metodă de protejare a fișierelor admin .htaccess aveți nevoie pentru a explora și de a încerca.

În general, atunci, Matt Mullenweg a menționat acest plug-in discursul adresat utilizatorilor WordPress, dar eu sincer nu a mers cu el, așa că nu pot evalua în mod adecvat avantajele sale.

hi coleg de cameră), de asemenea, de la Eagle și, de asemenea, de învățare în domeniul IT. Dar, dacă spui să faci, șterge în mod constant admin tata, va fi nici o problemă? 🙂

Bună, acest lucru este în cazul în care interesant, vă recomandăm să eliminați definitiv tati admin?

Ai de gând să publice o listă de servere proxy, care s-au dovedit din partea ta, sau nu sunt în mod special trebuie să se teamă cu privire la utilizarea serviciilor lor?

Poate că în timp și va publica lista, dar munca este proksikov liber, din păcate, nu este stabil!

1. Creați directorul rădăcină al site-ului «passadm» (nu a inventat nimic).
2. Rulați scriptul PHP pentru a cripta parola de la postarea. Am pus parola »Tr41d.C1aR» și a lovit «Trimite». Am apărut la partea de sus, dacă am înțeles corect, parola mea este criptat. L-am copiat.
3. dosarul passadm creat fișierul .htpasswd. Este scris numai de Administrator: 849 / k2zW95mmQ.
4. În folderul cu script-uri admin (wp-admin, așa cum am înțeles) a creat un fișier .htaccess.

Fișierul este scris:
AuthType de bază
AuthName „Cine ești tu domnule“
'Httr: //moy.sayt/passadm/.htpasswd' The AuthUserFile

Necesită valabil de utilizator pentru a verifica calea, am decis să ruleze un script, care este prezentat în post pentru a determina calea completă la folderul cu .htpasswd fișierul passadm. Dar rezultatul arată modul în care, pentru un motiv oarecare, nu a apărut pe ecran.

Pentru a verifica rezultatul deschis - httr: //moy.sayt/wp-login.php. dar a deschis formularul standard de intrarea admin ... 🙁 Nu sunt sigur că fișierele cu scripturi admin este în wp-admin, prin urmare, sunt copiate fișierul .htaccess în wp-include directorul, dar rezultatul este același ...: (((

Când inserați codul:
AuthType de bază
AuthName „Cine ești tu domnule“
'Httr: //moy.sayt/passadm/.htpasswd' The AuthUserFile

Necesită valid de utilizator în .htaccess, care se află la rădăcina site-ului este, atunci când introducerea numelui de utilizator și parola pentru a deschide fereastra paginii principale apare, care, după cum am înțeles, să apară atunci când deschideți pagina - httr: //moy.sayt/wp-login .php.

Prompt, te rog, ce am făcut greșit? În ceea ce poate fi o problemă pe care ați descris metoda nu funcționează?

Și m-am gândit de ce apărarea nu funcționează, este necesară pentru a cripta parola. Vă mulțumesc foarte mult pentru articol!