Securitatea WordPress este unul dintre cei mai minuți factori în rândul bloggerilor începători. Într-o instalare WordPress nesupravegheată, există câteva vulnerabilități potențiale care sunt lăsate nesupravegheate. Cele mai multe dintre tutorialele de instalare WordPress explică un mod rapid și ușor de a implementa WordPress în câteva minute. Dar lipsesc câțiva factori importanți de securitate. De exemplu, navigarea directoarelor și folosirea numelui de utilizator „admin” sunt considerate lacune grave de securitate. Astăzi vom arunca o privire asupra a 10 fragmente de cod .htaccess care vor ajuta la îmbunătățirea securității blogului dvs. WordPress. Înainte de a începe, să aruncăm o privire rapidă despre ce este fișierul htaccess.


Ce este fișierul .htaccess?

Un fișier htaccess este un fișier de configurare opțional pentru interpretarea serverului web Apache pentru fiecare director. Puteți stoca diverse setări în acel fișier, cum ar fi: protejarea cu parolă a unui director, blocarea IP-urilor, blocarea unui fișier sau a unui folder de accesul public, etc. În mod tradițional, fișierul .htaccess este prezent în directorul de instalare WordPress de bază. Stochează implicit structura de legături permanente.

BACSIS: Înainte de a începe cu tutorialul, asigurați-vă că faceți o copie de rezervă a fișierului .htaccess curent (dacă este prezent) într-un serviciu de stocare în cloud, cum ar fi Dropbox. Acest lucru este pentru a reveni la ultimul fișier .htaccess de lucru cunoscut, dacă un anumit fragment de cod rupe site-ul. Sa incepem.

1. Blocați roșii răi

boturi rele

Una dintre cele mai bune utilizări ale fișierului .htaccess este capacitatea sa de a refuza accesul mai multor adrese IP de la site-ul dvs. Acest lucru este util atunci când blocați spammeri cunoscuți și alte origini de acces suspect sau rău intenționat. Codul este:

# Blocați una sau mai multe adrese IP.
# Înlocuiți IP_ADDRESS_ * cu IP-ul pe care doriți să îl blocați


comanda permite, negă
refuza de la IP_ADDRESS_1
refuza de la IP_ADDRESS_2
permite din toate

Unde IP_ADDRESS_1 este primul IP pe care doriți să îl preveniți accesarea site-ului dvs. Puteți adăuga câte IP-uri doriți. Indiferent de agenții utilizatori (browsere) 0 aceste adrese IP, nu vor putea accesa un singur fișier de pe serverul dvs. Site-ul web va refuza automat tot accesul.

2. Dezactivați Navigarea în director

wordpress htaccess hack dezactivează navigarea directoare

Acesta este unul dintre cele mai subminate defecte de securitate pe un site WordPress. În mod implicit, serverul web Apache permite navigarea directoarelor. Aceasta înseamnă că toate fișierele și folderele din directorul rădăcină (uneori numit directorul principal) al serverului Web sunt capabile și accesibile de către un vizitator. Nu doriți acest lucru, deoarece nu doriți ca persoanele care navighează prin încărcările media sau prin fișierele cu temă sau plugin.

Dacă aleg la întâmplare 10 site-uri web personale sau de afaceri care rulează WordPress, 6-8 dintre ele nu vor fi dezactivate navigarea în director. Asta permite oricine pentru a pufni ușor în jurul wp-content / încărcări folderul sau orice alt director care nu are valoarea implicită index.php fişier. De fapt, ecranul pe care îl vedeți este de pe unul dintre site-urile clientului meu, înainte de a recomanda remedierea. Fragment de cod pentru a dezactiva navigarea în directoare:

# Dezactivare navigare directoare
Opțiuni All -Indexes

3. Permiteți numai fișierele selectate din conținut wp

shutterstock_108312266

După cum știți wp-content folderul conține cele mai multe teme, pluginuri și toate încărcările media. Cu siguranță nu doriți ca oamenii să îl acceseze fără restricții. Pe lângă dezactivarea navigării în directoare, puteți refuza accesul tuturor tipurilor de fișiere, cu excepția câtorva. În esență, puteți debloca selectiv fișiere precum JPG, PDF, DOCX, CSS, JS, etc. și puteți refuza de la restul. Pentru a face acest lucru, lipiți acest fragment de cod în fișierul dvs. .htaccess:

# Dezactivați accesul la toate tipurile de fișiere, cu excepția următoarelor
Comanda negă, permite
Negă de la toate

Permiteți din toate

Trebuie să creați un nou fișier .htaccess cu codul și să-l lipiți în wp-content pliant. Nu plasați acest lucru în directorul de instalare de bază, altfel nu va funcționa. Puteți adăuga, de asemenea, orice tip de fișier la listă adăugând un „|” după „rar”. Lista de mai sus conține fișierele necesare – XML, CSS și JavaScript, formele obișnuite de imagine și documente și în final cele mai utilizate formate de arhivă.

4. Restricți accesul la wp-include

shutterstock_135573032

folderul wp-include conține numai fișierele care sunt strict necesare pentru a rula versiunea de bază a WordPress – unul fără niciun plugin sau temă. Nu uitați, tema implicită rămâne în continuare în wp-content / temă director. Astfel, niciun vizitator (inclusiv dvs.) nu ar trebui să necesite acces la conținutul documentului wp includ pliant. Puteți dezactiva accesul utilizând acest fragment de cod următor:

# Block wp-include folderul și fișierele

ReescrieEngine Activat
RewriteBase /
RewriteRule ^ wp-admin / include / - [F, L]
RewriteRule! ^ Wp-include / - [S = 3]
RewriteRule ^ wp-include / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-include / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-include / theme-compat / - [F, L]

5. Permiteți doar adresele IP selectate să acceseze wp-admin

shutterstock_140373169

wp-admin folderul conține fișierele necesare pentru a rula tabloul de bord WordPress. În cele mai multe cazuri, vizitatorii dvs. nu au nevoie de acces la tabloul de bord WordPress, cu excepția cazului în care vor să înregistreze un cont. O bună măsură de securitate este de a permite doar câteva adrese IP selectate să acceseze wp-admin pliant. Puteți permite IP-urile persoanelor care au nevoie de acces la tabloul de bord WordPress – editori, colaboratori și alte admin-uri. Acest fragment de cod permite accesul numai la IP-uri fixe wp-admin folder și refuză accesul la restul lumii.

# Limitați conectările și administratorul prin IP

ordinea negă, permite
negă din toate
permiteți din 302.143.54.102
permiteți de la IP_ADDRESS_2

Asigurați-vă că creați un nou fișier .htaccess și lipiți-l în folderul wp-admin și nu în directorul de instalare de bază. Dacă este cel din urmă, nimeni, cu excepția faptului că vei putea să te răsfoiești pe site – nici măcar motoarele de căutare! Cu siguranță nu vrei asta. Câteva neajunsuri ale acestei măsuri sunt următoarele:

  • Dacă site-ul dvs. permite sau promovează înregistrarea utilizatorului nou, ar fi aproape imposibil să urmărim numărul de utilizatori. De exemplu la WPExplorer, dacă doriți să descărcați temele noastre minunate gratuite, trebuie să vă înregistrați.
  • Oameni cu Adrese IP dinamice (în mare parte utilizatorii de bandă largă ADSL care utilizează protocoale PPP sau PPPoE) au IP-urile modificate, de fiecare dată când se deconectează și se conectează la ISP-ul lor. Cu siguranță, nu ar fi practic să urmărești toate aceste IP-uri și să le adaugi la fișierul htaccess.
  • Banda transmisie mobila: Indiferent dacă sunteți pe 3G sau 4G, adresa dvs. IP depinde de turnul celular actual la care sunteți conectat. Spuneți că călătoriți – IP-ul dvs. se va schimba în mod constant la fiecare doi km pe care îl deplasați de la origine. Din nou, înregistrarea fișierului htaccess este aproape imposibilă.
  • Hotspot-uri publice Wi-Fi: Folosirea acredităților atunci când sunteți conectat la Internet folosind un hotspot Wi-Fi public este un no-no mare, deoarece un copil cu un software mic poate extrage fiecare personaj pe care îl introduceți. Nu mai vorbim, fiecare hotspot Wi-Fi va avea o adresă IP unică.

Din fericire, toate aceste dezavantaje (cu excepția primului), pot fi rectificate folosind un VPN. Dacă setați VPN-ul dvs. să se conecteze folosind o singură adresă IP, atunci puteți adăuga doar la fișierul dvs. htaccess și toate problemele dvs. vor fi rezolvate..

6. Protejați wp-config.php și .htaccess de toată lumea

WordPress-eCommerce-security-shopping-sfaturi

wp-config.php fișierul conține cele mai sensibile date de acces ale site-ului dvs. WordPress. Conține numele bazei de date și acreditările de acces și diverse alte date critice, printre alte setări. În niciun caz nu doriți ca alte persoane să se uite la acest fișier. Și, bineînțeles, doriți să dezactivați accesul public la sursa de securitate a tuturor acestor date – .htaccess dosar în sine. Puteți dezactiva accesul la wp-config.php cu următorul cod:

# Refuză accesul la fișierul wp-config.php

comanda permite, negă
negă din toate

Pentru a refuza accesul la toate fișierele htaccess (amintiți-vă că unele pot avea rezerve în folderele wp-admin și alte), utilizați acest fragment de cod:

# Refuză accesul la toate fișierele .htaccess

comanda permite, negă
negă din toate
satisface toate

7. Refuză imaginea hotlinking

image-hotlink

Unul dintre cele mai tari fișiere .htaccess, acesta trimite resturi de conținut care rulează cu coada între picioare. Când cineva folosește imaginea site-ului dvs., lățimea de bandă este consumată și, de cele mai multe ori, nu sunteți nici măcar credite pentru asta. Acest fragment de cod elimină acea problemă și trimite această imagine atunci când este detectat un link rapid.

# Prevenirea scriptului de conectare rapidă a imaginii. Înlocuiți ultima adresă URL cu orice legătură de imagine doriți.
ReescrieEngine activat
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ ^ Http (e)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ ^ Http (e)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Activați memorarea în cache a browserului

lista de browsere web

Cunoscut și sub denumirea de cache din partea clientului, acest .htaccess hack permite activarea opțiunilor de memorie în cache pentru browser-ul dvs. pentru site-ul dvs. WordPress. Puteți utiliza, de asemenea, în alte proiecte – site-uri HTML, etc.

# Configurarea memorie în cache a browserului

ExpiresActive On
ExpiresByType image / jpg "acces 1 an"
ExpiresByType image / jpeg "acces 1 an"
ExpiresByType image / gif "acces 1 an"
ExpiresByType image / png "acces 1 an"
ExpiresByType text / css "acces 1 lună"
Aplicația ExpiresByType / pdf "acces 1 lună"
ExpiresByType text / x-javascript "acces 1 lună"
Aplicația ExpirByType / x-shockwave-flash "acces 1 lună"
ExpiresByType imagine / pictograma x "acces 1 an"
ExpiriDefault "acces 2 zile"

9. Redirecționați către o pagină de întreținere

shutterstock_93288208

Când migrați webhosts sau efectuați o anumită sarcină de întreținere, este întotdeauna recomandat să creați un fișier HTML „jos pentru întreținere”, pentru a informa vizitatorii dvs. că site-ul web este în curs de actualizare sau operațiune de întreținere. Pur și simplu creați un fișier maintenance.html (sau orice alt nume de fișier) și încărcați-l în directorul de instalare WordPress de bază. Inserați următorul fragment în fișierul dvs. .htaccess. După terminarea operațiunii, asigurați-vă că ștergeți sau comentați aceste linii pentru a reveni la operația generală. Puteți să comentați adăugând un „#” la începutul fiecărei linii.

# Redirecționați tot traficul la fișierul maintenance.html
ReescrieEngine activat
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Pagini de eroare personalizate

Șablon 404

Puteți, de asemenea, fișierul .htaccess pentru a configura pagini de eroare personalizate ușor de utilizat pentru erori precum 403, 404 și 500. După ce ați pregătit pagina de eroare – să zicem eroare.html, încărcați-o în directorul de instalare WordPress de bază. Apoi adăugați următorul fragment de cod la fișierul dvs. .htaccess pentru a activa pagina de eroare personalizată:

# Pagina de eroare personalizată pentru erorile 403, 404 și 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Concluzie:

Astăzi am aflat unele dintre cele mai tari hatt-uri de tip htaccess pentru consolidarea site-ului dvs. WordPress. V-aș sugera să încercați fiecare modul unul câte unul în timp ce luați o copie de rezervă a fișierului .htaccess înainte și după testarea fiecărui modul. Acest lucru se datorează faptului că fișierul .htaccess este foarte critic. Un caracter „#” lipsă sau înlocuit greșit„Ar putea distruge integritatea site-ului dvs. Dacă accesați tabloul de bord WordPress în mod frecvent, este recomandat să nu activați IP-uri selective pentru dvs. wp-admin pliant.

Peste tine – ce părere ai despre această postare? Credeți că asta merită să editați fișierul htaccess? Știți de un sfat mai bun de securitate? Ne-am bucura sa primim vesti de la tine.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me