Ylimääräinen salasanasuojaus WordPressin hallintaan

17.10.2013 KLO 16:35

Olen omille sivuilleni asettanut ylimääräisen salasanasuojauksen htaccessin avulla WordPressin hallintaan. Tämä sen takia, koska aika moni koitti pommittaa tuota kirjautumista ja koitti kirjautua milloin milläkin tunnuksilla sisälle. Koska tähän blogiin ei voi rekisteröityä ja kommentointi onnistuu sosiaalisten medioiden tunnuksilla niin koin turhaksi pitää tuota kirjautumissivua avoimena kaikille – säädin siis htaccess suojauksen tuohon ja tässä artikkelissa kerron miten se tapahtuu.

Itse prosessihan on suhteellisen yksinkertainen, sinun pitää muokata yhtä tiedostoa ja luoda toinen tiedosto. Tämän jälkeen kun menee WordPressin kirjautumiseen tulee selaimeesi ikkuna, joka kysyy tunnusta ja salasanaa, mikäli haluat useamman tunnuksen ja salasanan niin sekin onnistuu – kerron myös tästä.

Aloitetaan luomalla .htpasswd niminen tiedosto (huomioi piste alussa!). Tähän tiedostoon tulee tunnus ja salasana, voit luoda tunnuksen ja salasanan minun tekemällä lomakkeella. Mikäli haluat useita tunnuksia niin teet niitä niin monta kuin haluat ja jokainen tunnus ja salasana tulee omalle riville – alla onkin esimerkki .htpasswd tiedostosta.

marko:$apr1$FZLBhENO$3UcsZmxpl3Rf7cyjoknop0

Mikäli haluat usean tunnuksen niin alla on esimerkki siitäkin:

tunnus1:$apr1$oA2hjvFS$fTu94t3KiTq6ZwdGZEUMF/
tunnus2:$apr1$TK6Tr.O4$T0OloN8anV/Pe42a3HMkz0

Seuraavaksi siirrät .htpasswd tiedoston webbipalvelimelle, jos et tätä siis jo tehnyt. Itse jätin tämän juureen enkä laittanut www tai public_html kansion sisään.

Tämän siirron jälkeen muokkaa WordPressin .htaccess tiedostoa ja lisää loppuun seuraavanlainen tekstinpätkä:

<Files wp-login.php>
AuthUserFile /home/marko/.htpasswd
AuthName "Private access"
AuthType Basic
require valid-user
</Files>

Muokkaa polku oikeaksi, itselläni tämä on /home/marko/ – mikäli et tiedä niin voit katsoa verkkosivusi palveluntarjoajan hallinnasta tai sitten kysyä palveluntarjoajaltasi tätä polkua.

Tämän jälkeen kun menet omasivusi.fi/wp-admin osoitteeseen (huom. vaihda omasivusi.fi) niin pitäisi tulla ikkuna joka kysyy tunnusta ja salasanaa.

Keskustelu

Tämä artikkeli on tuotu vanhasta blogista ja niiden artikkelien kommentointi on uudistettu. Vanhaan artikkeliin voi kommentoida vain blogin kautta, kun taas uudemmissa näytetään myös Mastodonin kautta tulleet kommentit.

Kommentoi

Voit kommentoida artikkelia alla olevan lomakkeen avulla. Roskapostin välttämiseksi kysymme sähköpostin, mutta emme julkaise sitä. Tekstikenttä ottaa vastaan vain tekstiä ja kaikki muu siivotaan pois.

Petri
11 vuotta sitten
Tuo .htaccessin avulla tehtävä suojaus on varmaan erittäin pitävä. Sitä voisi ehkä tuunata lisäämällä vielä esim, wp-login.php-tiedoston sisälle jonkun IP-osoitteen tsekkauksen vaikkapa niin, että arrayn sisällä on sallitut IP:t ja jos ei mätsää niin sitten tapahtuu jotain. :-)
Marko
11 vuotta sitten
Tuo on itselläni toiminut vallan mainiosti. IP-osoite tarkastus on taas sitten toinen juttu sillä itselläni on muuttuva IP ja kirjaudun hallintaan myös toimistolta ja tien päältä ja milloin mistäkin.
Petri
11 vuotta sitten
Eikö ole mahdollista sallia vain tietyn maan IP-osoitteet? Joku tuollainen maakohtainen lista blokkaisi miljoonittain (tai teoriassa oikeastaan miljardeittain) potentiaalisia tihulaisia. ;-)
Marko
11 vuotta sitten
Voisi ollakkin, en ole tutkinut mutta sitten se blokkaa mahdolliset VPN.n käyttäjät ja TORin käyttäjät jotka tuon maan ip:tä käyttäisi :D Haittapuolia joka vaihtoehdossa melkeinpä, jos oikein miettii ;)
Joni Hasanen (@jonihasanen)
11 vuotta sitten
Itse käytän WP Login Security 2-plugaria. Antaa hyvän suojan ja mahdollistaa kirjautumisen mistä vain.
Marko
11 vuotta sitten
Tuohan on ihan näppärän oloinen plugari. Tuo toimisi varmaan hyvin jos olisi useampi kirjoittaja joiden pitäisi päästä sisälle. Tässä blogissa kun on vain yksi niin htaccess toimii vallan mainiosti.
Mastodon
GitHub
RSS
1
1
6
7
4