Beste .htaccess-kodebiter for å forbedre WordPress-sikkerhet

WordPress-sikkerhet er en av de mest undergravede faktorene blant nybegynnere bloggere. I en WordPress-installasjon uten tilsyn er det ganske mange potensielle sårbarheter som ikke blir overvåket. De fleste WordPress installasjonsveiledninger forklarer en rask og enkel måte å distribuere WordPress på få minutter. Men de går glipp av noen viktige sikkerhetsfaktorer. For eksempel blir katalogsurfing og bruk av ‘admin’ brukernavnet ansett som alvorlige sikkerhetsmåler. I dag skal vi ta en titt på 10. HTML-kodeutdrag som vil bidra til å forbedre WordPress-bloggens sikkerhet. La oss ta en rask titt på hva som er htaccess-filen før vi kommer i gang.


Hva er .htaccess-fil?

En htaccess-fil er en valgfri konfigurasjonsfil for Apache-webserveren å tolke, for hver katalog. Du kan lagre forskjellige innstillinger i denne filen, for eksempel: passordbeskytte en katalog, blokkere IP-er, blokkere en fil eller mappe fra offentlig tilgang, osv. Tradisjonelt er .htaccess-filen til stede i WordPress-basiskatalogen. Den lagrer permalinkstrukturen som standard.

TIPS: Før du begynner med opplæringen, må du sørge for å ta sikkerhetskopi av den gjeldende .htaccess-filen (hvis den er tilgjengelig) i en skylagringstjeneste som Dropbox. Dette er for å rulle tilbake til den sist kjente fungerende .htaccess-filen, hvis en viss kodebit bryter nettstedet ditt. La oss begynne.

1. Blokker dårlige roboter

dårlige roboter

En av de beste bruksområdene av .htaccess-filen er dens evne til å nekte flere IP-adresser fra å få tilgang til nettstedet ditt. Dette er nyttig når du blokkerer kjente spammere og andre opphav til mistenkelig eller ondsinnet tilgang. Koden er:

# Blokker en eller flere IP-adresser.
# Erstatt IP_ADDRESS_ * med IP-en du vil blokkere


ordre tillate, nekt
nekt fra IP_ADDRESS_1
nekt fra IP_ADDRESS_2
tillat fra alle

Hvor IP_ADDRESS_1 er den første IP-en du vil forhindre tilgang til nettstedet ditt. Du kan legge til så mange IP-er du vil. Uansett hvilke brukeragenter (nettlesere) disse IP-adressene bruker, vil de ikke kunne få tilgang til en eneste fil fra serveren din. Webserveren vil automatisk nekte all tilgang.

2. Deaktiver katalogsøking

wordpress htaccess hack deaktiver katalogsøking

Dette er en av de mest undergravede sikkerhetsfeilene på et WordPress-nettsted. Som standard aktiverer Apache-webserveren katalogsøking. Dette betyr at alle filer og mapper i rotkatalogen (noen ganger kalt hjemmekatalogen) til webserveren er verifisert og tilgjengelige av en besøkende. Du vil ikke ha det fordi du ikke vil at folk surfer gjennom medieopplastningene dine eller temaene eller plugin-filene.

Hvis jeg tilfeldig velger 10 personlige eller bedriftsnettsteder som kjører WordPress, vil 6-8 av dem ikke ha kataloglesing deaktivert. Dette tillater hvem som helst å lett snuse rundt wp-innhold / opplasting mappen eller andre kataloger som ikke har standard index.php fil. Faktisk er skjermbildet du ser fra et av kundens nettsted, før jeg anbefalte løsningen. Kodebit for å deaktivere katalogsøking:

# Deaktiver katalogsøking
Valg alle -indekser

3. Tillat bare valgte filer fra wp-innhold

shutterstock_108312266

Som du vet wp-innhold mappen inneholder mest temaer, plugins og alle mediaopplastinger. Du ønsker absolutt ikke at folk skal få tilgang til det uten begrensninger. I tillegg til å deaktivere katalogsøking, kan du også nekte tilgang til alle filtyper, lagre noen få. I hovedsak kan du selektivt fjerne blokkering av filer som JPG, PDF, DOCX, CSS, JS, etc. og nekte fra resten. For å gjøre dette, lim inn denne kodebiten i .htaccess-filen:

# Deaktiver tilgang til alle filtyper, bortsett fra følgende
Ordre nekte, tillat
Nekt fra alle

Tillat fra alle

Du må opprette en ny .htaccess-fil med koden og lime den inn i wp-innhold mappe. Ikke legg dette i basen for installasjonskatalogen – ellers fungerer det ikke. Du kan også legge til hvilken som helst filtype i listen ved å legge til en ‘|’ etter ‘rar’. Listen over inneholder de nødvendige filene – XML, CSS og JavaScript, vanlige bilde- og dokumentformater og til slutt de mest brukte arkivformatene.

4. Begrens all tilgang til wp-inkluderer

shutterstock_135573032

De wp-inkluderer mappe inneholder bare filene som er strengt nødvendig for å kjøre kjerneversjonen av WordPress – en uten plugins eller temaer. Husk at standardtemaet fremdeles ligger i wp-content / tema katalogen. Derfor skal ingen besøkende (inkludert deg) kreve tilgang til innholdet i wp-inkludere mappe. Du kan deaktivere tilgang ved å bruke dette følgende kodebiten:

# Blokker wp-inkluderer mappe og filer

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / inkluderer / - [F, L]
RewriteRule! ^ Wp-inkluderer / - [S = 3]
RewriteRule ^ wp-inkluderer / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-inkluderer / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-inkluderer / tema-kompatibel / - [F, L]

5. La bare valgte IP-adresser få tilgang til wp-admin

shutterstock_140373169

De wp-admin mappen inneholder filene som kreves for å kjøre WordPress-dashbordet. I de fleste tilfeller trenger de besøkende ikke tilgang til WordPress-oversikten, med mindre de vil registrere en konto. Et godt sikkerhetstiltak er å gjøre det mulig for bare noen få utvalgte IP-adresser å få tilgang til wp-admin mappe. Du kan tillate IP-adressene til folk som trenger tilgang til WordPress-dashbordet – redaktører, bidragsytere og andre administratorer. Dette kodebiten gir bare faste IP-er tilgang til wp-admin mappe og nekter tilgang til resten av verden.

# Begrens pålogginger og admin via IP

ordre nekte, tillat
nekte fra alle
tillate fra 302.143.54.102
tillat fra IP_ADDRESS_2

Forsikre deg om at du oppretter en ny .htaccess-fil og limer den inn i wp-admin-mappen og ikke i basen for installasjonsmappen. Hvis det er det siste, er det ingen andre enn du som vil kunne bla gjennom nettstedet – ikke engang søkemotorer! Det vil du absolutt ikke. Et par underganger av dette tiltaket er som følger:

  • Hvis nettstedet ditt tillater eller promoterer ny brukerregistrering, det vil være nesten umulig å følge med på antall brukere. For eksempel på WPExplorer, hvis du vil laste ned de fantastiske gratis temaene, må du registrere deg.
  • Mennesker med dynamiske IP-adresser (for det meste ADSL-bredbåndsbrukere som bruker PPP- eller PPPoE-protokoller) har IP-ene endret seg, hver gang de logger seg ut og logger seg på ISP-en. Det ville absolutt være upraktisk å holde rede på alle disse IP-ene og legge dem til htaccess-filen.
  • Mobilt bredbånd: Enten du er på 3G eller 4G, avhenger IP-adressen din av gjeldende celletårn du er koblet til. Si at du reiser – IP-en din vil endres kontinuerlig med hvert par mil du flytter fra opprinnelsen. Igjen, det er nesten umulig å holde oversikt over htaccess-filen.
  • Offentlige Wi-Fi-hotspots: Å bruke legitimasjon når du er koblet til Internett ved å bruke et offentlig Wi-Fi-hotspot, er et stort nei-nei, siden et barn med en liten programvare kan trekke ut alle tegn du skriver. For ikke å nevne, hvert Wi-Fi-hotspot vil ha en unik IP-adresse.

Heldigvis kan alle disse ulempene (lagre den første) rettes opp ved hjelp av en VPN. Hvis du angir VPN-en din til å koble til ved hjelp av bare en enkelt IP-adresse, kan du bare legge den til i htaccess-filen, og alle problemene dine vil bli løst.

6. Beskytt wp-config.php og .htaccess fra alle

wordpress-e-handel-security-kjøpe-tips

De wp-config.php filen inneholder de mest følsomme tilgangsinformasjonene på ditt WordPress-nettsted. Den inneholder databasenavn og tilgangsinformasjon og diverse andre kritiske data, blant andre innstillinger. Under ingen omstendigheter vil du at andre skal se nærmere på denne filen. Og selvfølgelig vil du deaktivere offentlig tilgang til kilden til all denne sikkerheten – .htaccess filen selv. Du kan deaktivere tilgang til wp-config.php med denne koden:

# Nekt tilgang til wp-config.php-fil

ordre tillate, nekt
nekte fra alle

For å nekte tilgang til alle htaccess-filer (husk at noen kan ligge i wp-admin og andre mapper), bruk dette kodebiten:

# Nekt tilgang til alle .htaccess-filer

ordre tillate, nekt
nekte fra alle
tilfredsstille alle

7. Avvis hotkobling til bilde

image-hotlinking

En av de kuleste .htaccess-filene, denne sender innholdsskrapere som kjører med halen mellom beina. Når noen bruker nettstedets bilde, forbrukes båndbredden din, og for det meste blir du ikke engang kreditert for det. Denne kodebiten fjerner problemet og sender dette bildet når det oppdages en hurtigkobling.

# Hindre hurtigkoblingsskript for bilder. Bytt ut den siste nettadressen med en hvilken som helst bildekobling.
RewriteEngine on
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Aktiver hurtigbufring av nettleseren

liste over nettlesere

Dette .htaccess-hacket, også kjent som caching på klientsiden, aktiverer de anbefalte nettleserbufferalternativene for ditt WordPress-nettsted. Du kan også bruke den i andre prosjekter – HTML-nettsteder osv.

# Konfigurer hurtigbufring av nettleseren

Utløper Aktiv på
ExpiresByType image / jpg "tilgang 1 år"
ExpiresByType image / jpeg "tilgang 1 år"
ExpiresByType image / gif "tilgang 1 år"
ExpiresByType image / png "tilgang 1 år"
ExpiresByType tekst / css "tilgang 1 måned"
ExpiresByType-applikasjon / pdf "tilgang 1 måned"
ExpiresByType tekst / x-javascript "tilgang 1 måned"
ExpiresByType-applikasjon / x-shockwave-flash "tilgang 1 måned"
ExpiresByType image / x-icon "tilgang 1 år"
UtløperFeil "tilgang 2 dager"

9. Viderekobling til en vedlikeholdsside

shutterstock_93288208

Når du migrerer webhosts eller utfører noen vedlikeholdsoppgave, anbefales det alltid å lage en statisk HTML-fil “down for maintenance” for å informere de besøkende om at nettstedet gjennomgår en oppgradering eller vedlikeholdsoperasjon. Bare opprett en vedlikehold.html-fil (eller et hvilket som helst annet filnavn) og last den opp til basiskatalogen for WordPress. Lim inn følgende utdrag i .htaccess-filen. Når operasjonen er over, må du huske å slette eller kommentere disse linjene for å gå tilbake til den generelle driften. Du kan kommentere ved å legge til et ‘#’ i begynnelsen av hver linje.

# Viderekobl all trafikk til filen maintenance.html
RewriteEngine on
RewriteCond% {REQUEST_URI}! / Underholdning.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Tilpassede feilsider

404 mal

Du kan også .htaccess-filen for å konfigurere brukervennlige tilpassede feilsider for feil som f.eks. 403, 404 og 500. Når du har utarbeidet feilsiden din – la oss si error.html, kan du laste den opp til din WordPress-installasjonskatalog. Legg deretter til følgende kodebit i .htaccess-filen for å aktivere den tilpassede feilsiden:

# Egendefinert feilside for feil 403, 404 og 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Konklusjon:

I dag har vi lært noen av de kuleste htaccess hacks for å styrke WordPress-nettstedet ditt. Jeg vil anbefale deg å prøve ut hver modul én etter én mens du tar en sikkerhetskopi av .htaccess-filen før og etter å ha testet hver modul. Dette er fordi .htaccess-filen er veldig kritisk. Manglende ‘#’ karakter eller feilplassert ‘Kan ødelegge nettstedets integritet. Hvis du går inn på WordPress-oversikten ofte mens du er på farten, anbefales det ikke å aktivere selektive IP-er til din wp-admin mappe.

Over til deg – hva tar du for dette innlegget? Tror du dette er verdt bryet med å redigere htaccess-filen? Vet du om et bedre sikkerhetstips? Vi vil gjerne høre fra deg.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map