Trang đăng nhập bảo vệ bằng mật khẩu với xác thực HTTP: Có 60 triệu trang web WordPress khiến nó trở thành nền tảng xây dựng trang web phổ biến nhất trên thế giới. Nhưng có một cái giá phải trả cho sự phổ biến này. Khoảng 90.978 lần tấn công được thực hiện trên trang WordPress mỗi phút trong ngày. Mặc dù có nhiều phương pháp khác nhau mà tin tặc sử dụng để xâm nhập vào một trang web, nhưng một phương pháp rất phổ biến và được sử dụng rộng rãi được gọi là tấn công vũ phu. Trong kiểu tấn công này, tin tặc lập trình bot để thử và đoán chính xác thông tin đăng nhập của bạn bằng thông tin đăng nhập, đó là lý do tại sao bạn phải bảo vệ trang đăng nhập WordPress của mình.
Trong một bài đăng trước về bảo vệ đăng nhập, chúng ta đã thảo luận về việc tạo ra một tên người dùng duy nhất và thực thi mật khẩu mạnh. Đó là một cách hiệu quả để ngăn chặn các bot của tin tặc xâm nhập vào trang web của bạn, nhưng khi nói đến bảo mật, không có gì đảm bảo tuyệt đối rằng một trang web sẽ vẫn an toàn. Internet chưa bao giờ là một nơi rất an toàn và không có mức độ bảo mật nào là đủ. Do đó, rất tốt nếu có nhiều lớp bảo vệ cho trang web của bạn. Mặc dù tên người dùng và mật khẩu duy nhất rất quan trọng, nhưng khóa trang đăng nhập cũng là một bước quan trọng để bảo mật. Một cách thực hiện là đặt mật khẩu bảo vệ trang đăng nhập bằng xác thực HTTP. Trong bài đăng này, chúng tôi sẽ chỉ cho bạn cách bạn có thể đạt được điều đó.
Xác thực HTTP là gì?
Xác thực HTTP hoặc Xác thực cơ bản HTTP (BA) là một kỹ thuật thực thi quyền truy cập hạn chế vào trang đăng nhập. Để rút ra một phép tương tự đơn giản, hãy nghĩ về một trang web như một ngôi nhà. Cửa chính là trang đăng nhập. Mọi người có thể cố gắng đột nhập vào nhà, đó là lý do tại sao bạn phải có một ổ khóa chắc chắn. Khóa là viết tắt của thông tin đăng nhập, Ngoài cửa chính, có một hàng rào bảo vệ thêm cho ngôi nhà. Theo cách tương tự, Xác thực HTTP cung cấp một lớp bảo vệ bổ sung cho ngôi nhà của bạn. Điều này có nghĩa là bất kỳ ai muốn truy cập trang đăng nhập trước tiên sẽ phải đi qua xác thực HTTP (hàng rào) và thông tin xác thực đăng nhập (cổng chính).
Cách bảo vệ trang đăng nhập bằng mật khẩu bằng xác thực HTTP ?
Để bảo mật trang web WordPress của bạn bằng xác thực HTTP, điều đầu tiên bạn cần làm là tạo một tệp .htpasswd. Và sau đó, bạn sẽ cần thông báo cho tệp .htaccess trên trang web của mình về vị trí của tệp .htpasswd. Và điều đó sẽ khóa trang đăng nhập của bạn.
Cách tạo tệp .htpasswd?
Trong tệp cụ thể này, bạn sẽ lưu trữ tên người dùng và mật khẩu của những người bạn muốn truy cập trong trang đăng nhập. Về cơ bản, nó giống như có một cổng vào hàng rào bao quanh ngôi nhà của bạn. Bạn chỉ có thể đưa chìa khóa vào cổng cho những người bạn muốn có quyền truy cập vào trang web của mình. Hãy cùng tìm hiểu cách bạn có thể tạo tệp .htpasswd.
Để tạo tệp .htpasswd mới, bạn cần sử dụng công cụ dòng lệnh .htpasswd. Có một số công cụ có sẵn trực tuyến. Khi bạn tìm thấy một mã mà bạn muốn sử dụng, hãy mở nó và trong dòng lệnh, hãy viết mã sau:
htpasswd -c .htpasswd harini
Trong dòng lệnh này, c là viết tắt của create và harini là tên người dùng mà chúng ta chọn. Sau khi nhập mã này ra, khi bạn nhấn enter, bạn sẽ được nhắc tạo mật khẩu duy nhất cho tên người dùng này. Đừng lo; mật khẩu của bạn sẽ được mã hóa.
Nhưng nếu bạn đã có tệp .htpasswd, thì tất cả những gì bạn cần làm là thêm tên người dùng và mật khẩu mới. Bạn có thể làm điều đó bằng cách viết ra dòng lệnh sau:
htpasswd .htpasswd rahul
Lưu ý cách chúng tôi không sử dụng -c ở đây vì chúng tôi không tạo tệp mới.
Thông thường, tệp .htpasswd sẽ trông giống như sau:tên người dùng:mã hóa_password. So if the username is harini and the password is dummy123pass, then the .htaccess file would be:harini:$apr1$50r17zis$lNbFJs4rQFfkp4ToO2/ZS/
The password has been encrypted. This .htaccess file is essentially your HTTP Basic Authentication credentials.
In case, you don’t want to use a tool or don’t know how to; you can use a .htpasswd generator. Open this link, and you should be able to see a window like an image below.
Type the username and password of your choice. There is an option to generate a random password too. Once done, hit the button that says Generate .htpasswd file. You should be able to see an output.
Modifying the .htaccess File
The .htaccess file is one of the most important files of your WordPress site. There are two things we’ll do with your .htaccess file. One, we’ll tell it what it needs to restrict and two, we tell it from where it could get the HTTP Basic Authentication credentials we just created in the steps above.
.htaccess is present in the public_html folder. To access it you will have to visit your web host account. Log in to your web host and go to a page called cPanel. There you should be able to find an option for File Manager. Select that, and a page will open, and in that page, you should be able to view the file.
Sometimes .htaccess is hidden and may not appear in the public_html folder. When that’s the case, what you need to do is go back to the cPanel, and click on File Manager. A popup will appear where you’ll have to select ‘Show Hidden Files.’
Next, you need download the file and then open it to add this code of line:
<Files wp-login.php> AuthUserFile /path/to/.htpasswd AuthName "Private access" AuthType Basic require valid-user </Files>
A few things you need to keep in mind when inserting this code: AuthUserFile /path/to/.htpasswd – is the path to the .htpasswd file you just created. Make sure the path is correct. The term ‘valid-user’ tells the system any user who has been mentioned in the .htpasswd file with access to the login page. But if you want to be selective about who you grant access to, then instead of using ‘valid-user’, you can just mention the usernames.
After you are done, save it and upload it to the same place from where you downloaded it. Và đó là nó. The next time you try to access the login page, you’ll see a small window appearing asking you for specific login credentials.
Besides HTTPS authentication, we suggest that you also implement two-factor authentication, which will add another layer of security to your WordPress login page.
Also take a few more security measures like moving your site from HTTP to HTTPS, installing a security plugin, protecting the login page, etc. While protecting your login page is a great idea, there are other ways in which hackers can gain access to your website. We strongly suggest that you take a more holistic approach to security by following our guide on Complete WordPress Security.