Здравствуйте, один чувак посоветовал в админку поставить простой скрипт, мол и этого хватит. Поделитесь опытом, мне кажится его сломают на раз два. Да и вообще подскажите как лучше защищать если ip динамический, много всего перерыла, но дельного мало.. теперь каша в голове

$valid_passwords = array ("LOGIN" => "PASS");
$valid_users = array_keys($valid_passwords);

$user = $_SERVER['PHP_AUTH_USER'];
$pass = $_SERVER['PHP_AUTH_PW'];

$validated = (in_array($user, $valid_users)) && ($pass == $valid_passwords[$user]);

if (!$validated) {
  header('WWW-Authenticate: Basic realm="My Realm"');
  header('HTTP/1.0 401 Unauthorized');
  die ("Not authorized");
}

Читала php документация здесь. А еще много разных статей, что админку перенести в другую папку, обозвать ее по умному и вообще перетащить на поддомен. Мне просто интересно вот такой вот обычной защиты достаточно или все же стоит заморочиться?

Что там читать что там заморачиватся? делов на 2 минуты даже со слабыми знаниями. можно и перенести на поддомен можно и переназвать её хоть /dsad235rgfdyh456uyg
у нас просто она переназвана и через ngx_http_auth_basic_module авторизация идёт загуглите. За 7 лет никто не разу не сломал.

location /adminkanew {
    auth_basic           "Admin Privet";
    auth_basic_user_file /var/www/user/data/www/keyautorization/keyadmin/htpasswd;
}

у апача есть такой же модуль аналогичный если у вас php как модуль апача пахает.

а то что логины и пароли в документе прямо написаны тоже не страшно?

$valid_passwords = array ("LOGIN" => "PASS");
$valid_users = array_keys($valid_passwords);

Шифровать их там никак не надо?

ну в принципе ясно, спасибо всем