9 Августа, 2013

Спасибо за Forbidden!

Алексей Комаров

В очередной раз создам исключение из правила о том, что недовольный клиент пожалуется десяти другим, а довольный ни единого слова доброго не скажет. Сейчас скажу парочку в адрес хостинг-провайдера SpaceWeb >:-) В общем, дело было так…

Попытавшись на днях зайти в админскую часть своего блога, столкнулся с дружелюбной надписью: Ты кто такой? Давай, до свидания! You don’t have permission to access /wp-login.php on this server.

Свой отдельный сайт в отличие от блогов на площадках livejournal.com, blogspot.com и пр. имеет значимое для меня количество преимуществ, но и требует затрат на сопровождение. Поэтому, привычно засучив рукава, начал разбираться.

Разбор, впрочем, был не долгим. Всё объяснило найденное в полуспаме письмо самого SpaceWeb, полностьюпризнавшего свою вину:

В связи с массовыми атаками на сайты, работающие на основе CMS Joomla и WordPress, с целью предотвращения несанкционированного доступа были введены ограничения для входа в административные панели сайтов.

Для возможности предоставления безопасного доступа к административной панели сайта в файл .htaccess был добавлен следующий блок:
- в случае CMS Joomla (в папку administrator)
# SpaceWeb
<Files index.php>
order deny,allow
deny from all
#allow from My_IP
</files>

- в случае CMS WordPress:
# SpaceWeb
<Files wp-login.php>
order deny,allow
deny from all
#allow from My_IP
</files>

Для получения доступа необходимо в секции «<Files>» в строке «#allow from My_IP» убрать знак «#» и вместо «My_IP» прописать внешний IP-адрес компьютера, с которого производится работа с административной панелью сайта.

Узнать свой текущий IP было делом десяти секунд. Вписать его в .htaccess - ещё пятнадцати. Моя признательность SpaceWeb продолжается до сих пор.

К слову, всем владельцам сайтов на движках WordPress и Joomla, являющимся клиентами других, менее заботливых хостинг-провайдеров, настоятельно рекомендую прописать в .htaccess подобное ограничение. Такое повышение безопасности вполне уместно.