Existem diversas maneiras de proteger o WordPress, em diversos níveis. Administradores e usuários precisam ficar atentos a uma série de detalhes que podem fazer toda a diferença. O CMS é muito visado, e qualquer descuido pode ser fatal.
A área administrativa do WP é de suma importância, além disso. Afinal, se pessoas mal intencionadas conseguirem acessá-la, o site como um todo pode ser comprometido. Protege-la é extremamente importante, e os famosos arquivos .htaccess são extremamente úteis e versáteis.
Os conhecidíssimos arquivos de configuração (cujo nome vem de hypertext access”) são muito utilizados em servidores web. Eles devem ser utilizados em modo oculto, com o devido “ponto” (.) à frente do nome do arquivo. Eles são interpretados de forma prioritária por servidores web, e suas configurações dizem respeito sempre ao diretório onde se encontram.
Neste artigo vamos ensinar você a criar e a utilizar arquivos .htaccess para a proteção da área administrativa do seu WordPress.
Para protege-la de tal modo que uma senha extra seja exigida no momento do acesso. Tal proteção, além disso, irá proteger também todos os subdiretórios e arquivos contidos na pasta.
Tudo é bastante simples, e detalharemos todos os procedimentos necessários, incluindo a criação dos arquivos .htaccess e também dos arquivos que armazenarão as respectivas senhas.
Vamos lá?
1) Antes de qualquer coisa, precisamos criar o arquivo .htpasswd. Trata-se do arquivo que conterá o(s) usuário(s) e a(s) senha(s) com permissão para acessar a pasta wp-admin (a área administrativa) após a configuração.
Existem ferramentas online capazes de criar tal arquivo, e sugerimos a você o “Htpasswd Generator“, a respeito do qual já falamos no artigo abaixo:
Acesse o “Htpasswd Generator” e preencha os campos “Username” (Usuário) e “Password”. Informe aí o usuário e a senha que deseja utilizar, e a ferramenta irá transformá-los rapidamente em hashs MD5.
Para gerar, clique no botão “Create .htpasswd file”:
Observe que a ferramenta online acima citada gera a informação necessária com base nos dados que você informou (usuário e senha). Repita o procedimento tantas vezes quantos forem os usuários (sempre informando novos usuários e senhas, caso necessário), e ao final você terá todo o código necessário.
2) Agora, você precisa criar o arquivo .htpasswd em seu computador e então copiar todas as informações geradas (conforme formulário na imagem acima) para o mesmo.
Para criar um .htpasswd, no seu computador, simplesmente crie um arquivo de texto qualquer, com qualquer nome, e então renomeie-o para “.htpasswd.txt” (sem aspas).
Por exemplo: clique em qualquer local vazio da sua área de trabalho com o botão direito do mouse e vá em “Novo” ==> “Documento de texto”:
O arquivo de texto será então criado (inicialmente nomeado como, por exemplo, “Novo Documento de Texto.txt”). Renomeie-o completamente para .htpasswd.txt (incluindo o “ponto”).
Obs: note que o arquivo não deverá possuir a extensão .txt para que possa funcionar, mas dependendo do seu sistema operacional, esta operação somente pode ser realizada no servidor, após o upload. Deixaremos este detalhe em aberto por enquanto.
Abra agora então o arquivo recém criado (.htpasswd.txt) com um editor de textos qualquer (pode ser até mesmo o Bloco de Notas do Windows) e cole nele os dados gerados pela ferramenta “Htpasswd Generator”, conforme procedimentos acima (item 1). Salve o arquivo e feche-o.
3) Chegou o momento de criarmos nosso .htaccess. Trata-se também de um arquivo oculto (com o “ponto” antes do nome). Devemos cria-lo da mesma maneira que criamos o .htpasswd, acima (item 2).
Ou seja, crie um arquivo de texto qualquer, normalmente, com qualquer nome, e então renomeie-o para “.htaccess.txt” (sem aspas).
Obs: observe que aqui também, inicialmente e dependendo do seu sistema operacional, será necessário deixá-lo provisoriamente com o seguinte nome, incluindo a extensão .TXT:
.htaccess.txt
Deixaremos este arquivo nomeado desta forma, por enquanto, e o renomearemos no servidor, após o devido upload.
4) Após criar o .htaccess.txt, abra-o (com qualquer editor de textos, pode ser até mesmo o Bloco de Notas do Windows) e cole nele o seguinte código, salvando-o em seguida:
AuthName "Área restrita!"
AuthUserFile /caminho_para_arquivo_senhas/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user insira_usuario
Altere as seguintes linhas conforme suas necessidades:
- AuthName: frase que aparecerá na janela solicitando usuário e senha;
- AuthUserFile: caminho completo para o diretório onde se localiza o arquivo .htpasswd (o diretório para onde você o enviará – veja abaixo);
- require: insira o usuário com acesso (o mesmo definido no arquivo .htpasswd – veja item 1, acima – exemplo: “require user teste_codigofonte” , onde “teste_codigofonte” é o usuário);
Confira o exemplo abaixo:
AuthName "Área restrita!"
AuthUserFile /.htpasswds/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user teste_codigofonte
5) Agora, chegou o momento de enviar os dois arquivos para o servidor.
5a) Envie o arquivo .htpasswd.txt para um diretório não acessível publicamente (não envie-o para a pasta raiz, como a public_html, por exemplo). Envie-o, por exemplo, para qualquer diretório um nível acima da pasta root. Por exemplo:
/.htpasswds
Assim que realizar o upload, já no servidor (através do cliente FTP de sua preferência), renomeie-o simplesmente para “.htpasswd” (sem aspas e mantendo o “ponto”). O FileZilla, por exemplo, permite que você clique no arquivo com o botão direito do mouse e então utilize a opção “Renomear”.
Obs: mantenha o ponto antes do nome e elimine a extensão .txt.
5b) Já o arquivo .htaccess.txt deve ser enviado para a pasta que será protegida, ou seja, para a subpasta “wp-admin” que existe dentro da pasta do WordPress. Por exemplo:
/public_html/wp-admin
ou
/public_html/wordpress/wp-admin
Ou algo parecido.
Realize o upload do .htaccess.txt de acordo com as informações acima e também renomeie-o, já no servidor, simplesmente para .htaccess (sem aspas e mantendo o “ponto”).
Obs: mantenha também o ponto antes do nome e elimine a extensão .txt.
Pronto. A área administrativa do seu WordPress foi protegida com sucesso!
Obs importante: dependendo das configurações do servidor, você poderá se deparar, de agora em diante, com erros 404 ou então com mensagens de redirecionamento incorreto, ao tentar acessar a pasta wp-admin do CMS.
Caso isso aconteça, abra o .htaccess que se encontra no diretório principal do WordPress (e não este que acabamos de criar, veja bem) e adicione a linha abaixo no início do arquivo, inclusive antes das regras relacionadas ao próprio CMS:
ErrorDocument 401 default
O .htaccess deverá então ficar mais ou menos assim: