Если у вас до сих пор свободно открыт доступ к админке WordPress, во избежание лишних проблем, я советую закрыть эту потенциальную дыру в безопасности. Возможно вы считаете, что для WordPress надежного пароля будет вполне достаточно. Но поверьте, закрыв доступ к админке WordPress вы не только снизите вероятность взлома, но и устраните одну из лазеек через которую могут положить ваш сайт.
Один из самых распространенных методов защиты админки сайта — использование HTTP-авторизации на уровне веб-сервера. Для этого нам необходимо предварительно сгенерировать файл .htpasswd
, в котором будут хранится данные для авторизации. Затем указываем путь к .htpasswd
в конфигурационном файле Nginx. Теперь при переходе по адресу /wp-admin
или /wp-login.php
Nginx запросит данные для авторизации.
Для генерации пароля необходимо использовать утилита генерации паролей .htpasswd
. Пример конфигурации Nginx:
server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html index.htm; } location ~ ^/(wp-admin|wp-login.php) { auth_basic "closed site"; auth_basic_user_file conf/.htpasswd; location ~ .php$ { root html; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; include fastcgi_params; } } location ~ .php$ { root html; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; include fastcgi_params; } }
Для удобства можно вынести секцию location ~ .php$
в отдельный файл:
# nano /etc/nginx/php-fpm.conf location ~ .php$ { root html; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name; include fastcgi_params; }
Тогда конфигурация Nginx будет выглядеть следующим образом:
server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html index.htm; } location ~ ^/(wp-admin|wp-login.php) { auth_basic "closed site"; auth_basic_user_file conf/.htpasswd; include php-fpm.conf; } include php-fpm.conf; }
Как по мне, метод описанный выше не самый удобным вариант для защиты WordPress. Поэтому, вместо HTTP-авторизации по паролю, я предпочитаю ограничить доступ к админке WordPress используя фильтр на основе ip-адреса. Данный способ не совсем правильно использовать если ваш провайдер использует динамическую адресацию, но как вариант придется указать диапазон адресов подсети провайдера.
server { listen 80; server_name localhost; location / { root /usr/share/nginx/html; index index.html index.htm; } location ~ ^/(wp-admin|wp-login.php) { allow 82.82.82.82; // Указываем адрес вашего подключения allow 82.82.82.0/24; // Или подсети вашего провайдера (ip-calculator.ru) deny all; include php-fpm.conf; } include php-fpm.conf; }