Teraz Vám napíšem o bezpečnostných otázkach WordPress. Jedna-dva vecí som Vám už o tom písala (výmena užívateľa admin, držanie atríbút súborov na 644 a podobne), ale teraz by som chcela tu, vo WP-Škole publikovať ten postup, ktorý som čítala v jednom zahraničnom blogu o ochrane vstupnej stránky. Je to dôležité vedieť!
Teraz vám ukážem možnosť užitočného, jednoduchého bezpečnostného nastavenia, pomocou ktorého „hlavné brány“ redakčného systému, administratívne vstupné stránky – a ich mapy – sa dajú ochrániť pred skúšaním nepovolených vstupov.
CMS-y (Content Management System, teda redakčný systém) hlavne – ale nie v každom prípade – sa pokúšajú napadnúť cez administratívné vstupné stránky. Apache webserveru sa dá jednoducho prikázať, aby okrem našej IP-adresy, ktorú sme dostali od nášho poskytovateľa internetu, inému nedovolil otvoriť vstupnú stránku CMS.
Prvým krokom vyhľadajme admin mapu nášho CMS-systému, ktorý v prípade WordPress je mapa wp-admin.
Potom musíme vypátrať svoju IP-adresu: otvorme si stránku https://www.geoiptool.com/. V položke IP Address nájdeme aktuálnu IP-adresu, ktorú sme dostali od poskytovateľa. Pretože poskytovatelia používajú u občanov väčšinou dynamické IP-adresy, preto si povolíme vlastnú oblasť podľa nasledujúceho príkladu.
Môj poskytovateľ mi priradil nasledujúcu IP-adresu 94.27.158.32, tak prekopírujem nasledujúci .htaccess súbor do mapy wp-admin:
<Files *>
order deny,allow
deny from all
allow from 94.27.0.0/16
</Files>
V mojom prípade, dokedy poskytovateľ mi dáva IP z nasledujúcej oblasti 94.27.x.x, dovtedy podľa .htaccess-príkazu je mi povolené vstup cez mapu wp-admin. Čo treba spraviť, keď sa zmení oblasť IP? Pod allow from 94.27.0.0/16 vložím ďalsí riadok s aktuálnou IP-oblasťou, pl. ak nový IP bude 93.72.168.21, tak použijem príkaz allow from 93.72.0.0/16.
Tu popísaný trik samozrejme nenahradzuje bezpečnosť akttualizácie CMS systému, práve preto sa používa iba ako doplňujúce riešenie. V prípade, že náš CMS-systém povoluje vstup registrovaným užívateľom cez rovnakú admin-mapu, tak samozrejme sa neodporúča používať tento zákaz. V iných prípadoch – aj pri individuálnom kóde webovej stránky – stupňuje bezpečnosť zákaz Ip pomocou .htaccess.
Antal Béla
(Originál príspevku môžete čítať tu: https://silihost.net/?p=159)