Hackere banker utrætteligt på bloggens fordør, login-siden. For at slippe for larmen har jeg fjernet adgangen og dørhammeren med .htaccess.
Mest for folk med en blog eller webside, hvor hackere ihærdigt prøver at få adgang med brute force login.
Jeg har over tid gjort forskelligt for at forhindre hackere adgang til min blogs ”maskinrum” (WordPress). Det virker også, men det irriterer mig, at de uden ophør hamrer på døren.
Jeg har derfor tilføjet en kodestump til .htaccess, som forhindrer andre IP-adresser end min egen adgang til login-siden. .htaccess er en tekstfil med instruktioner til serveren, og man kan sige, at den fungerer som websidens ”portner”.
Til at lave hele .htaccess-filen har jeg brugt det glimrende plugin Bulletproof Security.
Koden (med forklarende kommentarer i linjerne med #) ser således ud, blot er min IP-adresse ikke 65.100.50.1:
# CUSTOM CODE BRUTE FORCE LOGIN PAGE PROTECTION
# Protect wp-login.php from Brute Force Login Attacks based on IP Address
<FilesMatch “^(wp-login\.php)”>
Order Allow,Deny
# Add your Public IP Address using 2 or 3 octets so that if/when
# your IP address changes it will still be in your subnet range. If you
# have a static IP address then use all 4 octets.
# Examples: 2 octets: 65.100. 3 octets: 65.100.50. 4 octets: 65.100.50.1
Allow from 65.100.
</FilesMatch>
Da min IP-adresse ikke er statisk, har jeg kun angivet de to første tal (65.100.), som min udbyder råder over. Alle andre får en 403 fejlside serveret, hvis de prøver at tilgå loginsiden.
Skulle jeg få brug for adgang, når jeg fx er ude at rejse, kan jeg bare hente .htaccess med FTP, tilføje den midlertidige IP-adresse og uploade igen.