Melhores trechos de .htaccess para melhorar a segurança do WordPress

A segurança do WordPress é um dos fatores mais prejudicados entre os blogueiros iniciantes. Em uma instalação não supervisionada do WordPress, existem algumas vulnerabilidades em potencial que são deixadas sem supervisão. A maioria dos tutoriais de instalação do WordPress explica uma maneira rápida e fácil de implantar o WordPress em minutos. Mas eles perdem alguns fatores importantes de segurança. Por exemplo, a navegação no diretório e o uso do nome de usuário “admin” são considerados graves brechas de segurança. Hoje, veremos 10 trechos de código .htaccess que ajudarão a melhorar a segurança do seu blog WordPress. Antes de começarmos, vamos analisar rapidamente o que é o arquivo htaccess.


O que é o arquivo .htaccess?

Um arquivo htaccess é um arquivo de configuração opcional para o servidor da web Apache interpretar, para cada diretório. Você pode armazenar várias configurações nesse arquivo, como: proteger um diretório com senha, bloquear IPs, bloquear um arquivo ou pasta do acesso público, etc. Tradicionalmente, o arquivo .htaccess está presente no diretório de instalação básico do WordPress. Ele armazena a estrutura do permalink por padrão.

GORJETA: Antes de iniciar o tutorial, faça backup do arquivo .htaccess atual (se presente) em um serviço de armazenamento em nuvem como o Dropbox. Isso é para reverter para o último arquivo .htaccess em funcionamento conhecido, se um determinado snippet de código interromper o site. Vamos começar.

1. Bloquear Bots Ruins

bots ruins

Um dos melhores usos do arquivo .htaccess é a capacidade de impedir que vários endereços IP acessem seu site. Isso é útil ao bloquear spammers conhecidos e outras origens de acesso suspeito ou malicioso. O código é:

# Bloquear um ou mais endereços IP.
# Substitua IP_ADDRESS_ * pelo IP que você deseja bloquear


ordem permitir, negar
negar de IP_ADDRESS_1
negar de IP_ADDRESS_2
permitir de todos

Onde IP_ADDRESS_1 é o primeiro IP que você deseja impedir de acessar seu site. Você pode adicionar quantos IPs desejar. Independentemente dos agentes do usuário (navegadores) 0 que esses endereços IP usam, eles não poderão acessar um único arquivo do seu servidor. O servidor da web negará automaticamente todo acesso.

2. Desativar navegação no diretório

wordpress htaccess hack desativar navegação no diretório

Essa é uma das falhas de segurança mais prejudicadas em um site WordPress. Por padrão, o servidor da web Apache permite a navegação no diretório. Isso significa que todos os arquivos e pastas dentro do diretório raiz (às vezes chamado de diretório inicial) do servidor da web podem ser alistados e acessíveis por um visitante. Você não deseja isso porque não deseja que as pessoas naveguem pelos envios de mídia ou pelos arquivos de tema ou plug-in.

Se escolher aleatoriamente 10 sites pessoais ou comerciais que executam o WordPress, 6-8 deles não terão a navegação no diretório desativada. Isso permite alguém farejar facilmente o wp-content / uploads pasta ou qualquer outro diretório que não tenha o padrão index.php Arquivo. Na verdade, a captura de tela que você vê é de um site do meu cliente, antes de eu recomendar a correção. Fragmento de código para desativar a navegação no diretório:

# Desativar navegação no diretório
Opções Todos -Indexes

3. Permitir apenas arquivos selecionados do conteúdo wp

shutterstock_108312266

Como você conhece o conteúdo wp A pasta contém mais temas, plugins e todos os envios de mídia. Você certamente não deseja que as pessoas acessem sem restrições. Além de desativar a navegação no diretório, você também pode negar o acesso a todos os tipos de arquivo, exceto alguns. Em essência, você pode desbloquear seletivamente arquivos como JPG, PDF, DOCX, CSS, JS etc., e negar o restante. Para fazer isso, cole este trecho de código no seu arquivo .htaccess:

# Desative o acesso a todos os tipos de arquivo, exceto os seguintes
Pedido negado, permitir
Negar de todos

Permitir de todos

Você deve criar um novo arquivo .htaccess com o código e colá-lo no diretório conteúdo wp pasta. Não coloque isso no diretório de instalação base; caso contrário, não funcionará. Você também pode adicionar qualquer tipo de arquivo à lista anexando um ‘|’ depois de ‘rar’. A lista acima contém os arquivos necessários – XML, CSS e JavaScript, formatos comuns de imagem e documento e, finalmente, os formatos de arquivo mais utilizados.

4. Restrinja todo o acesso ao wp-includes

shutterstock_135573032

o pasta wp-includes contém apenas os arquivos estritamente necessários para executar a versão principal do WordPress – uma sem plugins ou temas. Lembre-se de que o tema padrão ainda reside no wp-content / theme diretório. Portanto, nenhum visitante (incluindo você) deve exigir acesso ao conteúdo do wp-include pasta. Você pode desativar o acesso usando este seguinte snippet de código:

# Bloquear pasta e arquivos wp-includes

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / includes / - [F, L]
RewriteRule! ^ Wp-includes / - [S = 3]
RewriteRule ^ wp-inclui / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-inclui / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]

5. Permita que apenas os endereços IP selecionados acessem wp-admin

shutterstock_140373169

o wp-admin A pasta contém os arquivos necessários para executar o painel do WordPress. Na maioria dos casos, seus visitantes não precisam acessar o painel do WordPress, a menos que desejem registrar uma conta. Uma boa medida de segurança é permitir que apenas alguns endereços IP selecionados acessem o wp-admin pasta. Você pode permitir os IPs das pessoas que precisam acessar o painel do WordPress – editores, colaboradores e outros administradores. Esse trecho de código permite que apenas IPs fixos acessem o wp-admin pasta e nega acesso ao resto do mundo.

# Limitar logins e administrador por IP

ordem negar, permitir
negar a todos
permitir a partir de 302.143.54.102
permitir de IP_ADDRESS_2

Certifique-se de criar um novo arquivo .htaccess e cole-o na pasta wp-admin e não no diretório de instalação base. Se for o último, ninguém, exceto você, poderá navegar no seu site – nem mesmo nos mecanismos de pesquisa! Você certamente não quer isso. Algumas quedas dessa medida são as seguintes:

  • Se o seu site permitir ou promover Registo de novo utilizador, seria quase impossível acompanhar o número de usuários. Por exemplo, no WPExplorer, se você deseja baixar nossos incríveis temas gratuitos, você deve se registrar.
  • Pessoas com endereços IP dinâmicos (principalmente usuários de banda larga ADSL usando protocolos PPP ou PPPoE) têm seus IPs alterados sempre que fazem logout e login no seu provedor de serviços de Internet. Certamente seria impraticável acompanhar todos esses IPs e adicioná-los ao arquivo htaccess.
  • Banda larga móvel: Seja em 3G ou 4G, seu endereço IP depende da torre de celular atual à qual você está conectado. Digamos que você esteja viajando – seu IP mudará constantemente a cada dois quilômetros que você se move da origem. Mais uma vez, acompanhar o arquivo htaccess é quase impossível.
  • Pontos de acesso Wi-Fi públicos: Usar credenciais quando conectado à Internet usando um ponto de acesso Wi-Fi público é um grande não-não, pois uma criança com um pequeno software pode extrair todos os caracteres que você digita. Sem mencionar, cada ponto de acesso Wi-Fi terá um endereço IP exclusivo.

Felizmente, todas essas desvantagens (exceto a primeira), podem ser corrigidas usando uma VPN. Se você configurar sua VPN para conectar-se usando apenas um único endereço IP, basta adicioná-lo ao seu arquivo htaccess e todos os seus problemas serão resolvidos.

6. Proteja wp-config.php e .htaccess de todos

wordpress-ecommerce-security-shopping-tips

o wp-config.php O arquivo contém as credenciais de acesso mais confidenciais do seu site WordPress. Ele contém o nome do banco de dados e credenciais de acesso e vários outros dados críticos, entre outras configurações. Sob nenhuma circunstância você deseja que outras pessoas procurem esse arquivo. E, é claro, você deseja desativar o acesso público à fonte de toda essa segurança – o .htaccess próprio arquivo. Você pode desativar o acesso a wp-config.php com este código a seguir:

# Negar acesso ao arquivo wp-config.php

ordem permitir, negar
negar a todos

Para negar o acesso a todos os arquivos htaccess (lembre-se de que alguns podem residir no wp-admin e em outras pastas), use este trecho de código:

# Negar acesso a todos os arquivos .htaccess

ordem permitir, negar
negar a todos
satisfazer a todos

7. Negar hotlinking de imagem

hotlink de imagem

Um dos mais legais hacks de arquivos .htaccess, este envia raspadores de conteúdo correndo com o rabo entre as pernas. Quando alguém usa a imagem do seu site, sua largura de banda está sendo consumida e, na maioria das vezes, você nem é creditado. Esse trecho de código elimina esse problema e envia essa imagem quando um hotlink é detectado.

# Impedir o script de hotlinking da imagem. Substitua o último URL por qualquer link de imagem desejado.
RewriteEngine em
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Ative o cache do navegador

lista de navegadores da web

Também conhecido como cache do lado do cliente, esse hack .htaccess habilita as opções recomendadas de cache do navegador para o seu site WordPress. Você também pode usá-lo em outros projetos – sites HTML, etc.

# Configuração do cache do navegador

ExpiresActive On
ExpiresByType image / jpg "acesse 1 ano"
ExpiresByType image / jpeg "acesso 1 ano"
ExpiresByType image / gif "acesso 1 ano"
ExpiresByType image / png "acesso 1 ano"
ExpiresByType text / css "acesso 1 mês"
ExpiresByType application / pdf "acesso 1 mês"
ExpiresByType text / x-javascript "acesso 1 mês"
Aplicativo ExpiresByType / x-shockwave-flash "acesso 1 mês"
ExpiresByType image / x-icon "access 1 year"
ExpiresDefault "access 2 days"

9. Redirecionar para uma página de Manutenção

shutterstock_93288208

Ao migrar webhosts ou executar alguma tarefa de manutenção, é sempre recomendável criar um arquivo HTML estático “em manutenção” para informar seus visitantes que o site está passando por uma operação de atualização ou manutenção. Simplesmente crie um arquivo maintenance.html (ou qualquer outro nome de arquivo) e faça o upload para o diretório de instalação básico do WordPress. Cole o seguinte trecho no seu arquivo .htaccess. Depois que a operação terminar, exclua ou comente essas linhas para voltar à operação geral. Você pode comentar adicionando um ‘#’ no início de cada linha.

# Redirecione todo o tráfego para o arquivo maintenance.html
RewriteEngine em
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Páginas de erro personalizadas

Modelo 404

Você também pode usar o arquivo .htaccess para configurar páginas de erro personalizadas amigáveis ​​para erros como 403, 404 e 500. Depois de preparar sua página de erro – digamos error.html, faça o upload para o diretório de instalação básico do WordPress. Em seguida, adicione o seguinte snippet de código ao seu arquivo .htaccess para ativar a página de erro personalizada:

# Página de erro personalizada para erros 403, 404 e 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Conclusão:

Hoje aprendemos alguns dos melhores hacks de htaccess para fortalecer seu site WordPress. Eu sugiro que você experimente cada módulo um por um enquanto faz um backup do arquivo .htaccess antes e depois de testar cada módulo. Isso ocorre porque o arquivo .htaccess é muito crítico. Um caractere “#” ausente ou extraviado “‘Pode destruir a integridade do seu site. Se você acessa seu painel do WordPress com frequência, é recomendável não ativar IPs seletivos para o seu wp-admin pasta.

Sobre você – qual sua opinião sobre esta postagem? Você acha que vale a pena tentar editar o arquivo htaccess? Você conhece uma dica de segurança melhor? Gostaríamos muito de ouvir de você.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map