Tárhelyszolgáltatónk, a Silihost – teljesen jogosan – felvetette, hogy írjak a WordPress biztonsági kérdéseiről. Egy-két dolgot már írtam erről (admin felhasználó lecserélése, fájlok attribútumának 644-en tartása és hasonlók), de most szeretném itt, a WP-Suliban megjeleníteni azt az eljárást, amelyet az  ő blogjukban olvastam a belépő oldal védelméről. Fontos tudni!

Az alábbiakban egy hasznos, egyszerű védelmi beállítási lehetőséget mutatok be, melynek segítségével a tartalomkezelő rendszerek “főbejáratai”, az adminisztrációs belépési oldalak – és azok könyvtárai – védhetőek az illetéktelen belépési próbálkozásoktól.

A CMS-eket (Content Management System, azaz tartalomkezelő rendszer) legfőképpen – de nem minden esetben – az adminisztrációs belépő oldalakon keresztül próbálják megtámadni. Az Apache webszerver azonban egyszerűen utasítható, hogy a saját Internet-szolgáltatónk által kiosztott IP-címünkön kívül más látogatónak ne engedje megnyitni a CMS belépőoldalát.

Első lépésként keressük meg a CMS-rendszerünk admin-könyvtárát, amely a WordPress esetében a wp-admin könyvtár.

Ezt követően meg kell tudjuk saját IP-címünket: keressük fel a http://www.geoiptool.com/ oldalt. Az IP Address mezőben találjuk az aktuális, szolgáltatónk által számunkra kiosztott IP-t. Mivel a lakossági Internet-hozzáférések döntő többségében dinamikus IP-t alkalmaznak a szolgáltatók, ezért saját tartományunkat fogjuk engedélyezni az alábbi példa alapján.

A 94.27.158.32 IP-t osztotta ki számomra a T-Mobile, így a következő .htaccess elnevezésű fájlt másoltam fel a silihost.net/wp-admin könyvtárába:

<Files *>
order deny,allow
deny from all
allow from 94.27.0.0/16
</Files>

Esetemben tehát, amíg a T-Mobile a 94.27.x.x tartományból ad számomra IP-t, addig a .htaccess-utasítás szerint engedélyezve van számomra a wp-admin könyvtáron keresztüli belépés. Mit teszek, ha megváltozik az IP-tartomány? Az allow from 94.27.0.0/16 alá egy újabb sort illesztek be az aktuális IP-tartománnyal, pl. ha az új IP-m a 93.72.168.21, akkor az allow from 93.72.0.0/16 utasítást alkalmazom.

A fenti trükk természetesen nem helyettesíti a CMS rendszeres frissítéséből eredő biztonságot, eképpen csak kiegészítésként alkalmazandó. Amennyiben a CMS-rendszerünk a regisztrált látogatónkat ugyanezen admin-könyvtár által engedi belépni, akkor természetesen nem ajánlott alkalmazni a tiltást. Minden egyéb esetben – akár egyedi honlap-kódnál is – fokozza a biztonságot a .htaccess-alapú IP-korlátozás.

Antal Béla

(Az eredeti cikk itt olvasható: http://silihost.net/?p=159)