用htaccess和http验证保护敏感目录

WordPress的wp-admin目录是个很明显的攻击点,加上一层http authentication可以在web server层面干掉绝大部分scripting bot/boy,特别是脚本工具,几乎都不支持http验证,因为实在是太罕见了,同时也可以多提供一个安全层,哪怕后面的程序用admin/12345都没关系

非常简单:

在需要保护的目录下,运行:

htpasswd -c name_of_password_file name_of_user,接下来输入两次密码,就会创建一个用户名/密码文件

为了提高安全性,再改个名:mv name_of_password_file #unable_to_download_name,加上#在文件名里可以有效阻止意外下载

在目录下新建.htaccess

内容如下:

AuthName “Login Required” #(可以写的更凶猛一点,随意发挥)
AuthType Basic
AuthUserFile /full/path/to/password/file #(刚才创建的用户名密码文件的完整路径)
AuthGroupFile /dev/null
require valid-user
Options -Indexes #(顺手禁止目录浏览)

 

保存,完工,下次访问目录就需要验证了