Как защитить доступ к админке сайта?

Практически всегда владельцы сайтов не обеспечивают защиту админке сайта, вследствие чего часто становятся жертвами взлома.

Существует ряд действий для того, чтобы защитить админку сайта. Рассмотрим более подробно:

1. Подберите надежные логин и пароль

Для начала требуется выбрать хорошие логин и пароль для администратора. Не рекомендуется выбирать стандартные логин и пароль. А если у Вас уже создан админ-пользователь с небезопасным именем, то можно просто сменить логин и пароль на безопасный. Пароль должен состоять из 8-10 символов и включать в себя буквы и цифры, а также другие символы. Пароль можно сгенерировать на специальном сервисе.

2. Измените адрес админки

Далее следует изменить адрес админ-панели. Обычно для админки устанавливаются стандартные адреса, поэтому они сильно подвергаются атакам. Для того чтобы обеспечить безопасность админке, рекомендуется изменить адрес на тот, который будете знать только Вы.

3. Установите ограничение количества попыток входа

Следует ограничить количество попыток ввода пароля. Если злоумышленник все-таки сможет обойти все преграды, доберется до формы входа на сайт и попытается ввести пароль, то можно ограничить количество неудачных попыток входа. Для этого можно воспользоваться специальными плагинами.

Ввод пароля админки

4. Установите дополнительную аутентификацию для админки

Также для обеспечения защиты админки сайта, требуется установить форму дополнительной аутентификации для страницы админки. Тогда при запросе адреса данной страницы будет высвечиваться окно для ввода логина и пароля. Существует два способа установить дополнительную форму авторизации. Рассмотрим процесс установки защиты админки на примере панели ISPmanager.

Дополнительная аутентификация

Установить форму аутентификации можно перейдя в раздел «WWW-домены» в панели управления. Далее выбираем нужный домен и жмем кнопку «Доступ».

ISPmanager WWW-домены

Нажимаем кнопку «Создать».

Ограничение доступа

Далее есть два способа указать папку админки: выбрать из списка или ввести вручную. Выбираем соответствующий каталог и нажимаем кнопку «Далее».

Настройка дополнительной аутентификации

Настройка дополнительной аутентификации

В открывшейся вкладке нужно ввести имя пользователя и пароль. Пароль можно сгенерировать нажав на специальную кнопку. После жмем «Завершить».

Завершение настройки дополнительной аутентификации

После успешного завершения в разделе «Доступ» появится название каталога на котором установлена форма дополнительной аутентификации. Если потребуется ее отключить, в данном разделе нужно выбрать каталог и нажать кнопку «Удалить».

Список каталогов с ограниченным доступом

Настройка дополнительной аутентификации через файл .htaccess

Кроме того, настроить дополнительную аутентификацию можно через файл .htaccess. Для этого в панели управления переходим в раздел «Менеджер файлов» — «www/ваш_домен/директория_админки».

ISPmanager Менеджер файлов

Далее в директории админки нужно создать 2 файла: .htaccess и .htpasswd.

Созданные файлы .htaccess и .htpasswd

После потребуется вписать в файлы соответствующие строки. Вы можете сгенерировать их на специальном сервисе.

Нужно будет указать логин и пароль. Путь к файлу должен быть примерно таким: /var/www/имя_пользователя/data/www/имя_сайта/имя_директории_админки

В заголовке можно написать, например: «Доступ закрыт!».

Генерация текста для .htaccess и .htpasswd

Нажимаем кнопку «Сгенерировать .htaccess и .htpasswd».

Копируем сгенерированный текст в созданные файлы и сохраняем.

Редактирование файла .htpasswd

Редактирование файла .htaccess

5. Установите конкретные IP-адреса, которые смогут подключаться к админке

Еще можно ограничить подключение к админке определенным IP-адресам. Это позволит блокировать пользователей со всех неизвестных IP-адресов. Для это нужно будет в файл .htaccess прописать следующие строки:

<files "admin">
  Order Deny,Allow
  Deny from all
  Allow from 111.111.111.111
</files>

где, 111.111.111.111 — это IP-адрес, который может подключаться к админке. Можно указать несколько адресов.

6. Защита сайта на стороне хостинга

Также на некоторых хостингах существует функция защиты от подбор пароля. Наш хостинг автоматически блокирует IP-адреса, с которых идет перебор паролей. Это защищает Ваш сайт от взлома. Обращаем Ваше внимание, что это не является 100% гарантией, но уменьшает вероятность взлома Вашего сайта.

Такими способами Вы сможете защитить админку Вашего сайта.

Принимаем
Все способы