Olen omille sivuilleni asettanut ylimääräisen salasanasuojauksen htaccessin avulla WordPressin hallintaan. Tämä sen takia, koska aika moni koitti pommittaa tuota kirjautumista ja koitti kirjautua milloin milläkin tunnuksilla sisälle. Koska tähän blogiin ei voi rekisteröityä ja kommentointi onnistuu sosiaalisten medioiden tunnuksilla niin koin turhaksi pitää tuota kirjautumissivua avoimena kaikille – säädin siis htaccess suojauksen tuohon ja tässä artikkelissa kerron miten se tapahtuu.
Itse prosessihan on suhteellisen yksinkertainen, sinun pitää muokata yhtä tiedostoa ja luoda toinen tiedosto. Tämän jälkeen kun menee WordPressin kirjautumiseen tulee selaimeesi ikkuna, joka kysyy tunnusta ja salasanaa, mikäli haluat useamman tunnuksen ja salasanan niin sekin onnistuu – kerron myös tästä.
Aloitetaan luomalla .htpasswd niminen tiedosto (huomioi piste alussa!). Tähän tiedostoon tulee tunnus ja salasana, voit luoda tunnuksen ja salasanan minun tekemällä lomakkeella. Mikäli haluat useita tunnuksia niin teet niitä niin monta kuin haluat ja jokainen tunnus ja salasana tulee omalle riville – alla onkin esimerkki .htpasswd tiedostosta.
marko:$apr1$FZLBhENO$3UcsZmxpl3Rf7cyjoknop0
Mikäli haluat usean tunnuksen niin alla on esimerkki siitäkin:
tunnus1:$apr1$oA2hjvFS$fTu94t3KiTq6ZwdGZEUMF/
tunnus2:$apr1$TK6Tr.O4$T0OloN8anV/Pe42a3HMkz0
Seuraavaksi siirrät .htpasswd tiedoston webbipalvelimelle, jos et tätä siis jo tehnyt. Itse jätin tämän juureen enkä laittanut www tai public_html kansion sisään.
Tämän siirron jälkeen muokkaa WordPressin .htaccess tiedostoa ja lisää loppuun seuraavanlainen tekstinpätkä:
<Files wp-login.php>
AuthUserFile /home/marko/.htpasswd
AuthName "Private access"
AuthType Basic
require valid-user
</Files>
Muokkaa polku oikeaksi, itselläni tämä on /home/marko/ – mikäli et tiedä niin voit katsoa verkkosivusi palveluntarjoajan hallinnasta tai sitten kysyä palveluntarjoajaltasi tätä polkua.
Tämän jälkeen kun menet omasivusi.fi/wp-admin osoitteeseen (huom. vaihda omasivusi.fi) niin pitäisi tulla ikkuna joka kysyy tunnusta ja salasanaa.
Tuo .htaccessin avulla tehtävä suojaus on varmaan erittäin pitävä. Sitä voisi ehkä tuunata lisäämällä vielä esim, wp-login.php-tiedoston sisälle jonkun IP-osoitteen tsekkauksen vaikkapa niin, että arrayn sisällä on sallitut IP:t ja jos ei mätsää niin sitten tapahtuu jotain. :-)
Tuo on itselläni toiminut vallan mainiosti. IP-osoite tarkastus on taas sitten toinen juttu sillä itselläni on muuttuva IP ja kirjaudun hallintaan myös toimistolta ja tien päältä ja milloin mistäkin.
Eikö ole mahdollista sallia vain tietyn maan IP-osoitteet? Joku tuollainen maakohtainen lista blokkaisi miljoonittain (tai teoriassa oikeastaan miljardeittain) potentiaalisia tihulaisia. ;-)
Voisi ollakkin, en ole tutkinut mutta sitten se blokkaa mahdolliset VPN.n käyttäjät ja TORin käyttäjät jotka tuon maan ip:tä käyttäisi :D Haittapuolia joka vaihtoehdossa melkeinpä, jos oikein miettii ;)
Itse käytän WP Login Security 2-plugaria. Antaa hyvän suojan ja mahdollistaa kirjautumisen mistä vain.
Tuohan on ihan näppärän oloinen plugari. Tuo toimisi varmaan hyvin jos olisi useampi kirjoittaja joiden pitäisi päästä sisälle. Tässä blogissa kun on vain yksi niin htaccess toimii vallan mainiosti.