Мультисайт WordPress. Захист блогів.

Минуло близько року з того моменту, як я об'єднала свої блоги в єдиний Мультисайт WordPress, і тепер зі спокійною совістю можна робити висновки

Минуло близько року з того моменту, як я об'єднала свої блоги в єдиний Мультисайт WordPress, і тепер зі спокійною совістю можна робити висновки. В цілому режим Мультисайт мене влаштовує: це відчутна економія обсягу на хостингу, ніяких втрат в індексації блогу, загальна админка. Чи не влаштовувало мене в мультісайте тільки одне - реєстрація в блогах.

Справа в тому, що «рідні» настройки Мультисайт WordPress дозволяють або дозволити реєстрацію користувачів на всіх блогах, або на всіх її заборонити. Я хочу залишити відвідувачам можливість реєструватися на основному блозі, оскільки він являє собою портал з живим обговоренням і можливістю запропонувати матеріал для публікації. Реєстрація в інших блогах ні до чого, до того ж, особливість Мультисайт така, що процес реєстрації проводиться тільки на основному блозі, і будь-який користувач, надумав створити обліковий запис, скажімо, на цьому блозі, буде перенаправлений на основному блог із зовсім іншою тематикою і абсолютно не потрібний відвідувачеві. Одним словом, я хочу, щоб на основному блозі реєстрація користувачів була дозволена, на інших - заборонена.

Я цю проблему вирішила в такий спосіб. Спочатку встановила плагін Theme My Login і активувала його тільки на основному блозі. Цей легко настроюється плагін додають форму реєстрації прямо на сайт, позбавляючи користувача від необхідності проходити на сторінку wp-login.php.

Потрібно обов'язково дозволити капчу (reCAPCHA), яка застосовується при реєстрації, і безпеку (Security)! В налаштуваннях безпеки потрібно налаштувати кількість невдалих спроб входу на сайт, щоб убезпечити його від ddos-атак, вельми поширених останнім часом.

Тепер потрібно закрити доступ до файлу wp-login.php на інших блогах, скільки б їх не було. Це можна зробити, наприклад, за допомогою плагіна wSecure Lite , Який дозволяє, по-перше, поставити ключ, за допомогою якого ви самі зможете заходити в адмінку, а по-друге, перенаправити зловмисника на спеціальну створену для цього сторінку або на зовнішній ресурс, що краще, адже круті хакери, які намагаються підібрати пароль до логіну admin (А звідки їм знати справжній логін адміністратора ???), створюють навантаження на сервер хостингу. Тому бажано відправити зловмисника подалі, наприклад, на Гугл, який все стерпить.

Є інший варіант, який мені більше до душі, - перенаправлення за допомогою файлу htaccess.

Redirect /wp-login.php http://google.com

Заодно можна убезпечити свій блог від проникнення хакерів до файлу wp-config.php - в нього вони теж люблять заглядати.

Redirect /wp-config.php http://google.com

Заходити в адмінку в цьому випадку можна тільки з основного блога, але цього цілком достатньо.

Схожі записи:

А звідки їм знати справжній логін адміністратора ?