На моем сайте установлена базовая HTTP-аутентификация

Почему мне установили эту форму

В настоящий момент на ваш сайт проводится Brute-force атака. Brute-force атака — это атака по подбору паролей. В данном случае происходит подбор пароля к административной панели вашего сайта.

Чтобы не допустить взлома вашего сайта и повысить его безопасность, нами была установлена дополнительная защита.

Как я теперь могу получить доступ к админ-панели сайта

Теперь при доступе к административной панели вашего сайта (на Joomla или WordPress) будет появляться дополнительное окно ввода логина и пароля с надписью «please use your control panel password». В качестве логина необходимо ввести логин вашей услуги хостинга, он имеет вид «u1234567». В качестве пароля — текущий пароль к вашей услуге хостинга.

После прохождения базовой HTTP-аутентификации перед вами откроется стандартное поле для авторизации в админ-панели вашего сайта. Теперь уже вам нужно будет ввести логин и пароль администратора сайта.

Как работает базовая HTTP-аутентификация

При вводе логина-пароля в окно базовой аутентификации значение логина и хеша пароля будут сравниваться со значениями в специальном файле ~/etc/users, доступным в панели управления хостингом. Содержимое файла выглядит примерно так: «u1234567:dm48bspxIO3rg». Где «u1234567» — логин, а «dm48bspxIO3rg» — хеш пароля (обратите внимание: только хеш, а не сам пароль!). Хеш пароля — это результат преобразование пароля по определенному алгоритму.

Таким образом, когда вы вводите логин и пароль в окно базовой аутентификации, от введенного пароля берется хеш и сравнивается со значением хеша в файле ~/etc/users. Если значения совпадают, вы проходите аутентификацию.

У меня не получается пройти базовую аутентификацию

Вероятно, вы вводите неверный пароль. Установите новый пароль для базовой аутентификации:

  1. 1.

    Сгенерируйте связку логина и пароля. Для этого воспользуйтесь онлайн генератором.

    В поле «Имя пользователя» введите ваш логин «u1234567», в поле «Пароль пользователя» — новый пароль для прохождения базовой аутентификации. Затем нажмите Генерировать:

    Вы получите примерно такую строку: «u1234567:$apr1$e2md94lx$Z5h5bgFzsROqz6vjM85YQ1». Где:

    • «u1234567» — логин;
    • «$apr1$e2md94lx$Z5h5bgFzsROqz6vjM85YQ1» — хеш пароля.

    Скопируйте данную строку.

  2. 2.

    Откройте панель управления хостингом: Как открыть панель управления хостингом

    Перейдите в корневую папку сайта, а затем в директорию etc. Откройте файл users и замените его содержимое строкой, которую вы получили на выходе генератора на первом шаге.

    Обратите внимание, что в файл будет записан хеш пароля. Вводить же в окно HTTP-аутентификации нужно сам пароль.

Если вы прошли базовую аутентификацию но не можете войти непосредственно в админ-панель сайта Joomla или WordPress, воспользуйтесь справкой:
Как восстановить пароль администратора Joomla
Как восстановить пароль администратора WordPress

Как повысить защиту сайта от Brute-force атак

Для повышения защиты вашего сайта мы рекомендуем НЕ использовать стандартные логины администраторов сайта, такие как «admin» или «administrator», а также использовать только сложные пароли.

Для повышения защиты сайта:

  • измените логин суперпользователя на более уникальный. Не используйте короткие имена, лучше если вы будете использовать имя вместе с фамилией. В сети Интернет есть множество ресурсов где собраны наиболее популярные логины. Ознакомьтесь с ними и никогда не используйте их;
  • установите сложный пароль администратора сайта. Сложный пароль должен содержать буквы верхнего и нижнего регистра, цифры и дополнительные символы, такие как «* — _ # :» и т.д. Длина пароля — никак не меньше 6 символов. Желательно от 10 и выше.

Как убрать форму базовой HTTP-аутентификации

Рекомендуем вам не убирать защиту сразу после того, как вы получили сообщение. Brute-force атака может продолжаться длительный промежуток времени.

Чтобы убрать форму базовой HTTP-аутентификации:

Joomla

Перейдите в директорию вашего сайта, далее в папку administrator. Откройте файл .htaccess, закомментируйте или удалите следующие строки:

<Files index.php>
AuthType Basic
AuthName "please use your control panel password"
AuthUserFile .../users
Require valid-user
</Files>

Для комментирования строки поставьте символ решётки («#») в начало строки, вот так:

#<Files index.php>
#AuthType Basic
#AuthName "please use your control panel password"
#AuthUserFile .../users
#Require valid-user
#</Files>
WordPress

Если у вас заказана услуга Wordpress hosting, перейдите в директорию сайта, откройте файл .htaccess, закомментируйте или удалите следующие строки:

<Files wp-login.php>
AuthType Basic
AuthName "please use your control panel password"
AuthUserFile .../users
Require valid-user
</Files>

Для комментирования строки поставьте символ решетки («#») в начало строки, вот так:

#<Files wp-login.php>
#AuthType Basic
#AuthName "please use your control panel password"
#AuthUserFile .../users
#Require valid-user
#</Files>

Помогла ли вам статья?

Спасибо за оценку. Рады помочь 😊

 👍