0 Compartilhamentos 206 Views

Como proteger a área administrativa do WordPress com .htaccess

16 de novembro de 2015

Existem diversas maneiras de proteger o WordPress, em diversos níveis. Administradores e usuários precisam ficar atentos a uma série de detalhes que podem fazer toda a diferença. O CMS é muito visado, e qualquer descuido pode ser fatal.

A área administrativa do WP é de suma importância, além disso. Afinal, se pessoas mal intencionadas conseguirem acessá-la, o site como um todo pode ser comprometido. Protege-la é extremamente importante, e os famosos arquivos .htaccess são extremamente úteis e versáteis.

Os conhecidíssimos arquivos de configuração (cujo nome vem de hypertext access”) são muito utilizados em servidores web. Eles devem ser utilizados em modo oculto, com o devido “ponto” (.) à frente do nome do arquivo. Eles são interpretados de forma prioritária por servidores web, e suas configurações dizem respeito sempre ao diretório onde se encontram.

Protecao

Neste artigo vamos ensinar você a criar e a utilizar arquivos .htaccess para a proteção da área administrativa do seu WordPress.

Para protege-la de tal modo que uma senha extra seja exigida no momento do acesso. Tal proteção, além disso, irá proteger também todos os subdiretórios e arquivos contidos na pasta.

Tudo é bastante simples, e detalharemos todos os procedimentos necessários, incluindo a criação dos arquivos .htaccess e também dos arquivos que armazenarão as respectivas senhas.

Vamos lá?

1) Antes de qualquer coisa, precisamos criar o arquivo .htpasswd. Trata-se do arquivo que conterá o(s) usuário(s) e a(s) senha(s) com permissão para acessar a pasta wp-admin (a área administrativa) após a configuração.

Existem ferramentas online capazes de criar tal arquivo, e sugerimos a você o “Htpasswd Generator“, a respeito do qual já falamos no artigo abaixo:

Acesse o “Htpasswd Generator” e preencha os campos “Username” (Usuário) e “Password”. Informe aí o usuário e a senha que deseja utilizar, e a ferramenta irá transformá-los rapidamente em hashs MD5.

Para gerar, clique no botão “Create .htpasswd file”:

Geração do arquivo Htpasswd

Observe que a ferramenta online acima citada gera a informação necessária com base nos dados que você informou (usuário e senha). Repita o procedimento tantas vezes quantos forem os usuários (sempre informando novos usuários e senhas, caso necessário), e ao final você terá todo o código necessário.

2) Agora, você precisa criar o arquivo .htpasswd em seu computador e então copiar todas as informações geradas (conforme formulário na imagem acima) para o mesmo.

Para criar um .htpasswd, no seu computador, simplesmente crie um arquivo de texto qualquer, com qualquer nome, e então renomeie-o para “.htpasswd.txt” (sem aspas).

Por exemplo: clique em qualquer local vazio da sua área de trabalho com o botão direito do mouse e vá em “Novo” ==> “Documento de texto”:

Área de trabalho

O arquivo de texto será então criado (inicialmente nomeado como, por exemplo, “Novo Documento de Texto.txt”). Renomeie-o completamente para .htpasswd.txt (incluindo o “ponto”).

Obs: note que o arquivo não deverá possuir a extensão .txt para que possa funcionar, mas dependendo do seu sistema operacional, esta operação somente pode ser realizada no servidor, após o upload. Deixaremos este detalhe em aberto por enquanto.

Abra agora então o arquivo recém criado (.htpasswd.txt) com um editor de textos qualquer (pode ser até mesmo o Bloco de Notas do Windows) e cole nele os dados gerados pela ferramenta “Htpasswd Generator”, conforme procedimentos acima (item 1). Salve o arquivo e feche-o.

3) Chegou o momento de criarmos nosso .htaccess. Trata-se também de um arquivo oculto (com o “ponto” antes do nome). Devemos cria-lo da mesma maneira que criamos o .htpasswd, acima (item 2).

Ou seja, crie um arquivo de texto qualquer, normalmente, com qualquer nome, e então renomeie-o para “.htaccess.txt” (sem aspas).

Obs: observe que aqui também, inicialmente e dependendo do seu sistema operacional, será necessário deixá-lo provisoriamente com o seguinte nome, incluindo a extensão .TXT:

.htaccess.txt

Deixaremos este arquivo nomeado desta forma, por enquanto, e o renomearemos no servidor, após o devido upload.

4) Após criar o .htaccess.txt, abra-o (com qualquer editor de textos, pode ser até mesmo o Bloco de Notas do Windows) e cole nele o seguinte código, salvando-o em seguida:

AuthName "Área restrita!"
AuthUserFile /caminho_para_arquivo_senhas/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user insira_usuario

Altere as seguintes linhas conforme suas necessidades:

  • AuthName: frase que aparecerá na janela solicitando usuário e senha;
  • AuthUserFile: caminho completo para o diretório onde se localiza o arquivo .htpasswd (o diretório para onde você o enviará – veja abaixo);
  • require: insira o usuário com acesso (o mesmo definido no arquivo .htpasswd – veja item 1, acima – exemplo: “require user teste_codigofonte” , onde “teste_codigofonte” é o usuário);

Confira o exemplo abaixo:

AuthName "Área restrita!"
AuthUserFile /.htpasswds/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user teste_codigofonte

5) Agora, chegou o momento de enviar os dois arquivos para o servidor.

5a) Envie o arquivo .htpasswd.txt para um diretório não acessível publicamente (não envie-o para a pasta raiz, como a public_html, por exemplo). Envie-o, por exemplo, para qualquer diretório um nível acima da pasta root. Por exemplo:

/.htpasswds

Assim que realizar o upload, já no servidor (através do cliente FTP de sua preferência), renomeie-o simplesmente para “.htpasswd” (sem aspas e mantendo o “ponto”). O FileZilla, por exemplo, permite que você clique no arquivo com o botão direito do mouse e então utilize a opção “Renomear”.

Filezilla - imagem

Obs: mantenha o ponto antes do nome e elimine a extensão .txt.

5b) Já o arquivo .htaccess.txt deve ser enviado para a pasta que será protegida, ou seja, para a subpasta “wp-admin” que existe dentro da pasta do WordPress. Por exemplo:

/public_html/wp-admin

ou

/public_html/wordpress/wp-admin

Ou algo parecido.

Realize o upload do .htaccess.txt de acordo com as informações acima e também renomeie-o, já no servidor, simplesmente para .htaccess (sem aspas e mantendo o “ponto”).

Filezilla - imagem

Obs: mantenha também o ponto antes do nome e elimine a extensão .txt.

Pronto. A área administrativa do seu WordPress foi protegida com sucesso!

Obs importante: dependendo das configurações do servidor, você poderá se deparar, de agora em diante, com erros 404 ou então com mensagens de redirecionamento incorreto, ao tentar acessar a pasta wp-admin do CMS.

Caso isso aconteça, abra o .htaccess que se encontra no diretório principal do WordPress (e não este que acabamos de criar, veja bem) e adicione a linha abaixo no início do arquivo, inclusive antes das regras relacionadas ao próprio CMS:

ErrorDocument 401 default

O .htaccess deverá então ficar mais ou menos assim:

Htaccess - WordPress

Você pode se interessar

Promoções de Jogos do Final de Semana (06/12)
Notícias
10 visualizações
Notícias
10 visualizações

Promoções de Jogos do Final de Semana (06/12)

Carlos L. A. da Silva - 6 de dezembro de 2019

Confira as melhores ofertas de jogos de PC para o final de semana.

Como bloquear trolls no Twitter em larga escala
Dicas
11 visualizações
Dicas
11 visualizações

Como bloquear trolls no Twitter em larga escala

Carlos L. A. da Silva - 4 de dezembro de 2019

Ninguém está livre de cair na mira de uma horda virtual e saber se defender é fundamental.

Conheça a diferença entre Inteligência Artificial, Aprendizado de Máquina e Aprendizado Profundo
Artigos
17 visualizações
Artigos
17 visualizações

Conheça a diferença entre Inteligência Artificial, Aprendizado de Máquina e Aprendizado Profundo

Carlos L. A. da Silva - 30 de novembro de 2019

Na linguagem coloquial, esses termos até se confundem mas, tecnicamente, não são a mesma coisa.

Mais publicações

Como aproveitar ao máximo a Área de Transferência do Windows 10
Dicas
19 visualizações
19 visualizações

Como aproveitar ao máximo a Área de Transferência do Windows 10

Carlos L. A. da Silva - 28 de novembro de 2019
Tudo que você precisa saber sobre o USB4
Artigos
45 visualizações
45 visualizações

Tudo que você precisa saber sobre o USB4

Carlos L. A. da Silva - 25 de novembro de 2019
Promoções de Jogos do Final de Semana (22/11)
Notícias
21 visualizações
21 visualizações

Promoções de Jogos do Final de Semana (22/11)

Carlos L. A. da Silva - 22 de novembro de 2019