Запрещаем доступ к wp-includes и wp-admin

Чтобы запретить доступ к wp-includes, достаточно поместить файл .htaccess в папку wp-includes со следующим содержанием:

Order Allow,Deny
Deny from all
<Files ~ ".(css|jpe?g|png|gif|js|swf)$">
Allow from all

C wp-admin сложнее, тут тоже можно поместить файл .htaccess в папку, указав разрешение на доступ только для определенного IP, но у меня вот, например, IP постоянно меняется, так что такой вариант не очень удобен.

Order Allow,Deny
Deny from all
Allow from xxx.xxx.xxx.xxx

Поэтому можно заменить это все плагином AskApache Password Protect, который защищает не только директорию wp-admin, но и wp-includes, wp-content, plugins, просмотреть эти папки можно только введя дополнительный пароль.

Сочетаем этот плагин с Login LockDown, который вводит ограничение на количество неудавшихся попыток ввода пароля.



                    
                                        
                                    
Опубликовано в WordPress
Один комментарий на “Запрещаем доступ к wp-includes и wp-admin
  1. Подскажите! Данный метод (Allow from xxx.xxx.xxx.xxx) подходит для связки nginx+apache? Спасет ли от уязвимости в PHP? (Ее можно проверить index.php?-s — если показало исходник значит выполниться удаленный скрипт практически на 100%)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*