WordPress prijava - blokada tujine

Ker je WordPress najbolj popularen sistem za postavitev spletne strani, ne preseneča dejstvo, da spletni napadalci na najrazličnejše načine iščejo ranljivosti in priložnosti, kako vdreti v sistem. Eno izmed najpogostejših oblik napadov predstavljajo tako imenovani Brute Force napadi.

Pri omenjenih napadih gre za to, da se spletni napadalec z različnimi kombinacijami uporabniškega imena in gesla želi vpisati v sistem. Proces ne poteka ročno, ampak je v ta namen uporabljena zlonamerna skripta, ki kombinacije preizkuša samodejno. Do večine Brute Force napadov prihaja iz držav, kot so Kitajska, Indija, Rusija, Ukrajina, Turčija ipd.

Pred Brute Force napadi se lahko učinkovito zavarujete tako, da spremenite privzeto uporabniško ime "admin" v karkoli drugega ter nastavite močno geslo. Več o izbiri močnega gesla si lahko ogledate v prispevku: 5 nasvetov za izbiro močnega gesla. Priporočljivi so tudi varnostni vtičniki, s katerimi omejite število poskusov vpisa ali vpis dovolite le z določenega IP naslova.

Za še dodaten ukrep, ki preprečuje Brute Force napade in s tem varuje vašo spletno stran pred vdori, smo poskrbeli pri Prasicek.si. Uredili smo, da je vpis v administracijo sistema WordPress mogoč le, če se želite prijaviti iz katere izmed naslednjih držav:

  • Slovenija,
  • Hrvaška,
  • Avstrija,
  • Italija,
  • Madžarska.

Če bi se v vašo WordPress administracijo poskusil vpisati nekdo iz katerekoli druge države, bi naletel na obvestilo, da vpis iz te države ni mogoč. Pri tem se vam verjetno zastavlja vprašanje "Kaj pa, če živim v tujini?" ali "Kako bom dostopal/-a do svoje strani, ko bom na dopustu v državi, ki ne meji na Slovenijo?".

Ne skrbite, vpis v WordPress lahko zelo enostavno omogočite tudi za druge, izbrane države. Najprej pa si oglejte, kako zaščito vpisa odpravite za vse IP naslove, posledično pa tudi za vse države.

1. Odprava zaščite tujine za vse IP naslove in države

Za odpravo zaščite tujine boste morali dodati kratko kodo v datoteko .htaccess, kar pomeni, da boste potrebovali FTP dostop ali dostop do svoje nadzorne plošče. V nadaljevanju si oglejte postopek, kako zaščito tujine za vse IP naslove in države odpraviti prek nadzorne plošče cPanel.

1. Vpišite se v nadzorno ploščo cPanel (navodila za vpis najdete tukaj).

2. Poiščite ikono File Manager (v sekciji FILES) in kliknite nanjo.

3. Odprite krovno mapo svoje spletne strani (npr. public_html za nosilno domeno).

4. Prepričajte se, da imate vključeno prikazovanje skritih datotek in map (navodila za to najdete tukaj).

5. Poiščite datoteko .htaccess in jo uredite. To naredite tako, da z desnim miškinim gumbom kliknete nanjo in izberete Edit.

6. V tekstovnem urejevalniku se vam bo prikazala vsebina datoteke .htaccess. Čisto na vrh dodajte naslednjo kodo:

# BEGIN Allow access to wp-admin for all
<FilesMatch "(wp-login)\.php$">
    Require all granted
</FilesMatch>
# END Allow access to wp-admin for all

7. Ko boste v .htaccess dodali zgornjo kodo, vam preostane le še to, da shranite spremembe s klikom na gumb Save Changes, ki ga najdete v desnem zgornjem kotu.

Prijava v WordPress administracijo iz katere koli tuje države bi zdaj morala delovati.

2. Odprava zaščite tujine za izbrane države

Želite zaščito tujine odpraviti le za izbrane države? V tem primeru na vrh datoteke .htaccess dodajte naslednjo kodo:

# BEGIN Allow access to wp-admin for countries
<IfModule mod_maxminddb.c>
    <FilesMatch "(wp-login)\.php$">
        Require all granted
        RewriteCond %{ENV:GEOIP_COUNTRY_CODE} !^(SI|HR|AT|IT|HU|BR|IN|TH)$
        RewriteRule ^ - [F,L]
    </FilesMatch>
</IfModule>
# END Allow access to wp-admin for countries

OPOMBA: Glede na to, uporabnikom katere države želite omogočiti vpis v svojo WordPress stran, ustrezno uredite zgornjo kodo. Prilagoditi morate 4. vrstico, s katero smo v zgornjem primeru omogočili vpis državam iz Slovenije, Hrvaške, Velike Britanije in ZDA. Če bi denimo želeli poleg naštetih držav dodati še Indijo, bi v kodo dodali še državno oznako IN. Celoten spisek dvočrkovnih oznak držav sveta boste našli tukaj.

3. Odprava zaščite tujine za izbrani IP naslov

Ste sledili navodilom iz 2. točke, vendar se vam ob obisku prijavne WordPress strani še vedno pojavlja obvestilo, da vpis iz te države ni mogoč? Ponudniki javnih baz, ki IP naslove povezujejo s posameznimi državami, zaradi hitrih sprememb ne morejo ohranjati 100-odstotne pravilnosti podatkov. Zaradi tega lahko pride do situacije, ko določen IP naslov ni zajet v skupino IP-jev, ki jo pokriva posamezna država.

Z drugimi besedami; čeprav se nahajate npr. v Veliki Britaniji in ste v .htaccess dodali izjemo za vpis iz te lokacije, se lahko zgodi, da vaš IP ni zaznan kot IP iz Velike Britanije. Takšni primeri so sicer zelo redki. Če se vam je zgodilo ravno to, morate v .htaccess dodati še izjemo za svoj IP naslov.

Če je vaš IP npr. naslednji – 51.54.123.158, morate v .htaccess vnesti naslednjo kodo:

# BEGIN Allow access to wp-admin for IPs
<IfModule mod_maxminddb.c>
    <FilesMatch "(wp-login)\.php$">
        Require all granted
        RewriteCond %{REMOTE_ADDR} !(51.54.123.158)
        RewriteRule ^ - [F,L]
    </FilesMatch>
</IfModule>
# BEGIN Allow access to wp-admin for IPs

OPOMBA: Glede na to, kateri IP vam je dodeljen, ustrezno uredite zgornjo kodo (5. vrstica). Svoj IP boste najlažje preverili na spletni strani: http://ip.preveri.si/.


Potrebujete dodatno pomoč? Pokličite nas na telefonsko številko 059 335 005 ali nam pišite na info@prasicek.si in z veseljem vam bomo pomagali!