0 Compartilhamentos 678 Views

Como proteger a área administrativa do WordPress com .htaccess

16 de novembro de 2015

Existem diversas maneiras de proteger o WordPress, em diversos níveis. Administradores e usuários precisam ficar atentos a uma série de detalhes que podem fazer toda a diferença. O CMS é muito visado, e qualquer descuido pode ser fatal.

A área administrativa do WP é de suma importância, além disso. Afinal, se pessoas mal intencionadas conseguirem acessá-la, o site como um todo pode ser comprometido. Protege-la é extremamente importante, e os famosos arquivos .htaccess são extremamente úteis e versáteis.

Os conhecidíssimos arquivos de configuração (cujo nome vem de hypertext access”) são muito utilizados em servidores web. Eles devem ser utilizados em modo oculto, com o devido “ponto” (.) à frente do nome do arquivo. Eles são interpretados de forma prioritária por servidores web, e suas configurações dizem respeito sempre ao diretório onde se encontram.

Protecao

Neste artigo vamos ensinar você a criar e a utilizar arquivos .htaccess para a proteção da área administrativa do seu WordPress.

Para protege-la de tal modo que uma senha extra seja exigida no momento do acesso. Tal proteção, além disso, irá proteger também todos os subdiretórios e arquivos contidos na pasta.

Tudo é bastante simples, e detalharemos todos os procedimentos necessários, incluindo a criação dos arquivos .htaccess e também dos arquivos que armazenarão as respectivas senhas.

Vamos lá?

1) Antes de qualquer coisa, precisamos criar o arquivo .htpasswd. Trata-se do arquivo que conterá o(s) usuário(s) e a(s) senha(s) com permissão para acessar a pasta wp-admin (a área administrativa) após a configuração.

Existem ferramentas online capazes de criar tal arquivo, e sugerimos a você o “Htpasswd Generator“, a respeito do qual já falamos no artigo abaixo:

Acesse o “Htpasswd Generator” e preencha os campos “Username” (Usuário) e “Password”. Informe aí o usuário e a senha que deseja utilizar, e a ferramenta irá transformá-los rapidamente em hashs MD5.

Para gerar, clique no botão “Create .htpasswd file”:

Geração do arquivo Htpasswd

Observe que a ferramenta online acima citada gera a informação necessária com base nos dados que você informou (usuário e senha). Repita o procedimento tantas vezes quantos forem os usuários (sempre informando novos usuários e senhas, caso necessário), e ao final você terá todo o código necessário.

2) Agora, você precisa criar o arquivo .htpasswd em seu computador e então copiar todas as informações geradas (conforme formulário na imagem acima) para o mesmo.

Para criar um .htpasswd, no seu computador, simplesmente crie um arquivo de texto qualquer, com qualquer nome, e então renomeie-o para “.htpasswd.txt” (sem aspas).

Por exemplo: clique em qualquer local vazio da sua área de trabalho com o botão direito do mouse e vá em “Novo” ==> “Documento de texto”:

Área de trabalho

O arquivo de texto será então criado (inicialmente nomeado como, por exemplo, “Novo Documento de Texto.txt”). Renomeie-o completamente para .htpasswd.txt (incluindo o “ponto”).

Obs: note que o arquivo não deverá possuir a extensão .txt para que possa funcionar, mas dependendo do seu sistema operacional, esta operação somente pode ser realizada no servidor, após o upload. Deixaremos este detalhe em aberto por enquanto.

Abra agora então o arquivo recém criado (.htpasswd.txt) com um editor de textos qualquer (pode ser até mesmo o Bloco de Notas do Windows) e cole nele os dados gerados pela ferramenta “Htpasswd Generator”, conforme procedimentos acima (item 1). Salve o arquivo e feche-o.

3) Chegou o momento de criarmos nosso .htaccess. Trata-se também de um arquivo oculto (com o “ponto” antes do nome). Devemos cria-lo da mesma maneira que criamos o .htpasswd, acima (item 2).

Ou seja, crie um arquivo de texto qualquer, normalmente, com qualquer nome, e então renomeie-o para “.htaccess.txt” (sem aspas).

Obs: observe que aqui também, inicialmente e dependendo do seu sistema operacional, será necessário deixá-lo provisoriamente com o seguinte nome, incluindo a extensão .TXT:

.htaccess.txt

Deixaremos este arquivo nomeado desta forma, por enquanto, e o renomearemos no servidor, após o devido upload.

4) Após criar o .htaccess.txt, abra-o (com qualquer editor de textos, pode ser até mesmo o Bloco de Notas do Windows) e cole nele o seguinte código, salvando-o em seguida:

AuthName "Área restrita!"
AuthUserFile /caminho_para_arquivo_senhas/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user insira_usuario

Altere as seguintes linhas conforme suas necessidades:

  • AuthName: frase que aparecerá na janela solicitando usuário e senha;
  • AuthUserFile: caminho completo para o diretório onde se localiza o arquivo .htpasswd (o diretório para onde você o enviará – veja abaixo);
  • require: insira o usuário com acesso (o mesmo definido no arquivo .htpasswd – veja item 1, acima – exemplo: “require user teste_codigofonte” , onde “teste_codigofonte” é o usuário);

Confira o exemplo abaixo:

AuthName "Área restrita!"
AuthUserFile /.htpasswds/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user teste_codigofonte

5) Agora, chegou o momento de enviar os dois arquivos para o servidor.

5a) Envie o arquivo .htpasswd.txt para um diretório não acessível publicamente (não envie-o para a pasta raiz, como a public_html, por exemplo). Envie-o, por exemplo, para qualquer diretório um nível acima da pasta root. Por exemplo:

/.htpasswds

Assim que realizar o upload, já no servidor (através do cliente FTP de sua preferência), renomeie-o simplesmente para “.htpasswd” (sem aspas e mantendo o “ponto”). O FileZilla, por exemplo, permite que você clique no arquivo com o botão direito do mouse e então utilize a opção “Renomear”.

Filezilla - imagem

Obs: mantenha o ponto antes do nome e elimine a extensão .txt.

5b) Já o arquivo .htaccess.txt deve ser enviado para a pasta que será protegida, ou seja, para a subpasta “wp-admin” que existe dentro da pasta do WordPress. Por exemplo:

/public_html/wp-admin

ou

/public_html/wordpress/wp-admin

Ou algo parecido.

Realize o upload do .htaccess.txt de acordo com as informações acima e também renomeie-o, já no servidor, simplesmente para .htaccess (sem aspas e mantendo o “ponto”).

Filezilla - imagem

Obs: mantenha também o ponto antes do nome e elimine a extensão .txt.

Pronto. A área administrativa do seu WordPress foi protegida com sucesso!

Obs importante: dependendo das configurações do servidor, você poderá se deparar, de agora em diante, com erros 404 ou então com mensagens de redirecionamento incorreto, ao tentar acessar a pasta wp-admin do CMS.

Caso isso aconteça, abra o .htaccess que se encontra no diretório principal do WordPress (e não este que acabamos de criar, veja bem) e adicione a linha abaixo no início do arquivo, inclusive antes das regras relacionadas ao próprio CMS:

ErrorDocument 401 default

O .htaccess deverá então ficar mais ou menos assim:

Htaccess - WordPress

Carregando...

Você pode se interessar

Sir Clive Sinclair, o homem adiantado no tempo
Artigos
112 visualizações
Artigos
112 visualizações

Sir Clive Sinclair, o homem adiantado no tempo

Carlos L. A. da Silva - 18 de setembro de 2021

O inglês Clive Marles Sinclair nasceu de uma família de engenheiros. Seu avô foi engenheiro, assim como o seu pai. Com um talento natural pela Matemática e um forte interesse em eletrônica, ele se tornaria uma página importante da popularização da computação em diversas partes do mundo, construindo um legado que se perpetuará por anos […]

A cibersegurança por trás das vacinas
Artigos
217 visualizações
Artigos
217 visualizações

A cibersegurança por trás das vacinas

Carlos L. A. da Silva - 7 de setembro de 2021

Vacinas contra o coronavírus contam com aparato sofisticado de cibersegurança que bateu de frente com tentativa de ação de hackers.

Top 25 comandos do Git
Artigos
359 visualizações
Artigos
359 visualizações

Top 25 comandos do Git

Carlos L. A. da Silva - 28 de agosto de 2021

Git é uma mão na roda para source control, mas pode ficar melhor ainda conhecendo os comandos certos.

Deixe um Comentário

Your email address will not be published.

Mais publicações

Dez anos de Kotlin: origens e futuro
Artigos
414 visualizações
414 visualizações

Dez anos de Kotlin: origens e futuro

Carlos L. A. da Silva - 20 de agosto de 2021
10 jogos que todo programador deveria conhecer
Artigos
732 visualizações
732 visualizações

10 jogos que todo programador deveria conhecer

Carlos L. A. da Silva - 1 de agosto de 2021