Categories
Blogi

Ylimääräinen salasanasuojaus WordPressin hallintaan

Olen omille sivuilleni asettanut ylimääräisen salasanasuojauksen htaccessin avulla WordPressin hallintaan. Tämä sen takia, koska aika moni koitti pommittaa tuota kirjautumista ja koitti kirjautua milloin milläkin tunnuksilla sisälle. Koska tähän blogiin ei voi rekisteröityä ja kommentointi onnistuu sosiaalisten medioiden tunnuksilla niin koin turhaksi pitää tuota kirjautumissivua avoimena kaikille – säädin siis htaccess suojauksen tuohon ja tässä artikkelissa kerron miten se tapahtuu.

Itse prosessihan on suhteellisen yksinkertainen, sinun pitää muokata yhtä tiedostoa ja luoda toinen tiedosto. Tämän jälkeen kun menee WordPressin kirjautumiseen tulee selaimeesi ikkuna, joka kysyy tunnusta ja salasanaa, mikäli haluat useamman tunnuksen ja salasanan niin sekin onnistuu – kerron myös tästä.

Aloitetaan luomalla .htpasswd niminen tiedosto (huomioi piste alussa!). Tähän tiedostoon tulee tunnus ja salasana, voit luoda tunnuksen ja salasanan minun tekemällä lomakkeella. Mikäli haluat useita tunnuksia niin teet niitä niin monta kuin haluat ja jokainen tunnus ja salasana tulee omalle riville – alla onkin esimerkki .htpasswd tiedostosta.

marko:$apr1$FZLBhENO$3UcsZmxpl3Rf7cyjoknop0

Mikäli haluat usean tunnuksen niin alla on esimerkki siitäkin:

tunnus1:$apr1$oA2hjvFS$fTu94t3KiTq6ZwdGZEUMF/
tunnus2:$apr1$TK6Tr.O4$T0OloN8anV/Pe42a3HMkz0

Seuraavaksi siirrät .htpasswd tiedoston webbipalvelimelle, jos et tätä siis jo tehnyt. Itse jätin tämän juureen enkä laittanut www tai public_html kansion sisään.

Tämän siirron jälkeen muokkaa WordPressin .htaccess tiedostoa ja lisää loppuun seuraavanlainen tekstinpätkä:

<Files wp-login.php>
AuthUserFile /home/marko/.htpasswd
AuthName "Private access"
AuthType Basic
require valid-user
</Files>

Muokkaa polku oikeaksi, itselläni tämä on /home/marko/ – mikäli et tiedä niin voit katsoa verkkosivusi palveluntarjoajan hallinnasta tai sitten kysyä palveluntarjoajaltasi tätä polkua.

Tämän jälkeen kun menet omasivusi.fi/wp-admin osoitteeseen (huom. vaihda omasivusi.fi) niin pitäisi tulla ikkuna joka kysyy tunnusta ja salasanaa.

By Marko Kaartinen

Nörtti Kuopiosta. Puuhastelee verkkosivujen kanssa työkseen ja vapaa-ajallaan.

6 vastausta aiheeseen “Ylimääräinen salasanasuojaus WordPressin hallintaan”

Tuo .htaccessin avulla tehtävä suojaus on varmaan erittäin pitävä. Sitä voisi ehkä tuunata lisäämällä vielä esim, wp-login.php-tiedoston sisälle jonkun IP-osoitteen tsekkauksen vaikkapa niin, että arrayn sisällä on sallitut IP:t ja jos ei mätsää niin sitten tapahtuu jotain. :-)

Tuo on itselläni toiminut vallan mainiosti. IP-osoite tarkastus on taas sitten toinen juttu sillä itselläni on muuttuva IP ja kirjaudun hallintaan myös toimistolta ja tien päältä ja milloin mistäkin.

Eikö ole mahdollista sallia vain tietyn maan IP-osoitteet? Joku tuollainen maakohtainen lista blokkaisi miljoonittain (tai teoriassa oikeastaan miljardeittain) potentiaalisia tihulaisia. ;-)

Voisi ollakkin, en ole tutkinut mutta sitten se blokkaa mahdolliset VPN.n käyttäjät ja TORin käyttäjät jotka tuon maan ip:tä käyttäisi :D Haittapuolia joka vaihtoehdossa melkeinpä, jos oikein miettii ;)

Tuohan on ihan näppärän oloinen plugari. Tuo toimisi varmaan hyvin jos olisi useampi kirjoittaja joiden pitäisi päästä sisälle. Tässä blogissa kun on vain yksi niin htaccess toimii vallan mainiosti.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *