Publicado em 6/agosto/2013

Segurança no WordPress - autenticação HTTPComo segurança nunca é demais, aqui vai uma dica sobre como adicionar mais um nível de seguridade ao seu painel administrativo, via servidor e não WordPress.
A proteção será incluída para restringir o acesso à pasta wp-admin, onde está localizada a tela de login e todo o dashboard do sistema. Assim, todo o conteúdo da pasta “seusite.com/wp-admin”e subpastas só poderá ser acessado após uma autenticação de usuário e senha anterior ao login padrão do WP.
Como a primeira senha é no próprio servidor de hospedagem, essa simples medida anula qualquer tipo de code inject, técnica utilizada para invadir websites.

Projeta o seu site WordPress

Para proteger a pasta wp-admin é necessário criar dois arquivos – .htaccess e .htpasswd -, que posteriormente deverão ser colocados exatamente dentro da pasta wp-admin da sua instalação do WordPress.

Crie o arquivo .htpasswd

Para criar este arquivo, vamos utilizar um gerador de senha para arquivos .htpasswd que fará com que a senha fique encripitada.
Acesse o Gerador de .htpasswd, preencha os dados do formulário com seu nome de usuário e senha e clique no botão “Create .htpasswd file”.
Pronto! Será criada uma linha de código que contem seu nome de usuário e sua senha encripitada. Copie esta linha, cole no editor que você utiliza e salve o arquivo como .htpasswd, sem extensão mesmo.

Crie o arquivo .htaccess

Abra o seu editor e insira o código abaixo em um novo documento.


ErrorDocument 401 /%{REQUEST_URI}/myerror.html
ErrorDocument 403 /%{REQUEST_URI}/myerror.html
AuthName "Acesso Restrito"
AuthUserFile /path/to/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user seunomedeusuario

Depois, você vai precisar apenas alterar duas linhas:

  • A linha onde esta /path/to/ deve ser substituída pelo caminho absoluto do servidor onde está a sua pasta wp-admin. Geralmente, o caminho se inicia com /home/.
  • A segunda linha a ser alterada é a linha onde esta o termo “seunomedeusuario:. Nela, insira o mesmo nome de usuário que você utilizou para criar o arquivo .htpasswd.

Por fim, salve seu arquivo com o nome .htaccess.

Suba os arquivos para o servidor

Depois de criar os dois arquivos, basta usar a ferramenta de FTP de sua preferência para colocá-los dentro da pasta wp-admin.
Pronto! Agora é só fazer o teste ao acessar a URL do seu painel de controle do WordPress.

Palavras-chave , , , , , ,

6 Comentários

  • André Bertolino says:

    Muito bom, vamos usar em nossos sites também. Valeu

  • Roberto Sousa says:

    Consegui fazer todos os passos, porém depois do primeiro login para ter acesso ao admin, ocorre o erro “500- Internal Server Error” sabem se tenho que adicionar mais alguma linha no htaacess para eu ter acesso ao wp-admin?

  • Davi Alves says:

    Olá Roberto,
    preciso que você verifique junto ao seu servidor de que esta realmente correto a linha onde esta /path/to/ deve ser substituída pelo caminho absoluto do servidor onde está a sua pasta wp-admin. Geralmente, o caminho se inicia com /home/.
    caso não saiba veja com o suporte do seu servidor ou dentro de um gerenciador como cpanel whm do seu próprio servidor, me envie o link do problema também ok?

  • daviwp says:

    Olá Roberto,
    preciso que você verifique junto ao seu servidor de que esta realmente
    correto a linha onde esta /path/to/ deve ser substituída pelo caminho
    absoluto do servidor onde está a sua pasta wp-admin. Geralmente, o
    caminho se inicia com /home/.
    caso não saiba veja com o suporte do seu servidor ou dentro de um
    gerenciador como cpanel whm do seu próprio servidor, me envie o link do
    problema também ok?

  • Roberto Sousa says:

    Olá davi, realmente ainda estava com o problema, mas depois de bater um pouco de cabeça notei que o erro na verdade era de um pequeno trecho do seu tutorial como segue abaixo:
    “cole no editor que você utiliza e salve o arquivo como .htpasswp, sem extensão mesmo”
    Na verdade o arquivo tem de ser salvo com o nome “.htpasswd” se não vai dar errado mesmo, não sei se pode salvar com qualquer nome, mas após deixar com o nome correto funcionou que é uma beleza .

  • daviwp says:

    Ótimo Roberto, já ajustamos o tutorial obrigado!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *