WordPressのセキュリティを改善するための最良の.htaccessスニペット

WordPressのセキュリティは、初心者のブロガーの間で最も損なわれている要素の1つです。監視されていないWordPressのインストールでは、無人のままになっている潜在的な脆弱性がかなりあります。ほとんどのWordPressインストールチュートリアルでは、数分でWordPressをデプロイする迅速で簡単な方法を説明しています。しかし、彼らはいくつかの重要なセキュリティ要因を見逃しています。たとえば、ディレクトリの閲覧と「admin」ユーザー名の使用は、深刻なセキュリティホールと見なされます。今日は、WordPressブログのセキュリティ向上に役立つ10個の.htaccessコードスニペットを見ていきます。始める前に、htaccessファイルとは何かをざっと見てみましょう.


.htaccessファイルは何ですか?

htaccessファイルは、ディレクトリごとに、Apache Webサーバーが解釈するオプションの設定ファイルです。そのファイルには、ディレクトリのパスワード保護、IPのブロック、ファイルまたはフォルダのパブリックアクセスのブロックなど、さまざまな設定を保存できます。従来、.htaccessファイルは、WordPressの基本インストールディレクトリにあります。デフォルトでパーマリンク構造を保存します.

ヒント: チュートリアルを始める前に、Dropboxなどのクラウドストレージサービスに現在の.htaccessファイル(存在する場合)をバックアップしてください。これは、特定のコードスニペットがサイトを破損した場合に、最後に動作することがわかっている.htaccessファイルにロールバックするためのものです。さぁ、始めよう.

1.悪いボットをブロックする

悪いボット

.htaccessファイルの最良の用途の1つは、複数のIPアドレスがサイトにアクセスするのを拒否する機能です。これは、既知のスパマーや、疑わしいまたは悪意のあるアクセスの他の発信元をブロックするときに役立ちます。コードは次のとおりです。

#1つ以上のIPアドレスをブロック.
#IP_ADDRESS_ *をブロックするIPに置き換えます


注文を許可、拒否
IP_ADDRESS_1から拒否
IP_ADDRESS_2から拒否
すべてから許可

ここで、IP_ADDRESS_1は、サイトへのアクセスを禁止する最初のIPです。必要な数のIPを追加できます。これらのIPアドレスが使用するユーザーエージェント(ブラウザー)に関係なく、サーバーから1つのファイルにアクセスすることはできません。ウェブサーバーはすべてのアクセスを自動的に拒否します.

2.ディレクトリの閲覧を無効にする

wordpress htaccess hackディレクトリ無効ブラウジング

これは、WordPressサイトで最も損なわれているセキュリティ欠陥の1つです。デフォルトでは、Apache Webサーバーはディレクトリの参照を有効にします。これは、Webサーバーのルートディレクトリ(ホームディレクトリと呼ばれることもある)内のすべてのファイルとフォルダーにアクセスでき、訪問者がアクセスできることを意味します。メディアアップロード、テーマ、プラグインファイルを閲覧してほしくないので、これは望ましくありません。.

WordPressを実行している10の個人またはビジネスWebサイトをランダムに選択した場合、そのうちの6〜8でディレクトリの参照が無効になりません。これにより 誰でも 周りを簡単に嗅ぐ wp-content / uploads デフォルトのないフォルダまたはその他のディレクトリ index.php ファイル。実際、表示されるスクリーンショットは、修正を推奨する前の、クライアントのサイトの1つからのものです。ディレクトリの閲覧を無効にするコードスニペット:

#ディレクトリの閲覧を無効にする
すべてのオプション-インデックス

3. wp-contentから選択したファイルのみを許可する

シャッターストック_108312266

ご存知のとおり wp-content フォルダには、ほとんどのテーマ、プラグイン、すべてのメディアアップロードが含まれています。制限なしに人々にアクセスしてほしくないのは確かです。ディレクトリの参照を無効にするだけでなく、すべてのファイルタイプのアクセスを拒否して、いくつかを保存することもできます。基本的に、JPG、PDF、DOCX、CSS、JSなどのファイルのブロックを選択的に解除して、残りのファイルを拒否できます。これを行うには、次のコードスニペットを.htaccessファイルに貼り付けます。

#以下を除くすべてのファイルタイプへのアクセスを無効にする
注文拒否、許可
すべてから拒否

すべてから許可

コードを使用して新しい.htaccessファイルを作成し、それを wp-content フォルダ。これをベースインストールディレクトリに配置しないでください。そうしないと機能しません。 「rar」の後に「|」を追加して、リストに任意のファイルタイプを追加することもできます。上記のリストには必要なファイルが含まれています– XML、CSSおよびJavaScript、一般的な画像とドキュメントのフォーマット、そして最後に最も使用されるアーカイブフォーマット.

4.すべてのアクセスをwp-includesに制限する

シャッターストック_135573032

wp-includesフォルダー WordPressのコアバージョンを実行するために厳密に必要なファイルのみが含まれています-プラグインやテーマがないもの。デフォルトのテーマは、 wp-content / theme ディレクトリ。したがって、訪問者(あなたを含む)は、 wp-include フォルダ。次のコードスニペットを使用してアクセスを無効にできます。

#wp-includesフォルダーとファイルをブロックする

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / includes /-[F、L]
RewriteRule!^ wp-includes /-[S = 3]
RewriteRule ^ wp-includes / [^ /] + \。php $-[F、L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \。php-[F、L]
RewriteRule ^ wp-includes / theme-compat /-[F、L]

5.選択したIPアドレスのみにwp-adminへのアクセスを許可する

シャッターストック_140373169

wp-admin フォルダには、WordPressダッシュボードの実行に必要なファイルが含まれています。ほとんどの場合、訪問者はアカウントを登録しない限り、WordPressダッシュボードにアクセスする必要はありません。優れたセキュリティ対策は、選択した少数のIPアドレスのみが wp-admin フォルダ。 WordPressダッシュボードへのアクセスが必要な人(編集者、寄稿者、その他の管理者)のIPを許可できます。このコードスニペットは、固定IPのみにアクセスを許可します wp-admin フォルダは、他の世界へのアクセスを拒否します.

#ログインと管理をIPで制限する

注文拒否、許可
すべてを否定する
302.143.54.102から許可
IP_ADDRESS_2から許可

新しい.htaccessファイルを作成し、ベースインストールディレクトリではなくwp-adminフォルダに貼り付けてください。後者の場合、あなた以外の誰もあなたのサイトを閲覧することができません-検索エンジンさえも!あなたは確かにそれを望んでいない。この測定のいくつかの落とし穴は次のとおりです。

  • サイトで許可または宣伝している場合 新規ユーザー登録, ユーザー数を追跡することはほぼ不可能です。たとえばWPExplorerで、無料の素晴らしいテーマをダウンロードしたい場合は、登録する必要があります.
  • と人々 動的IPアドレス (主にPPPまたはPPPoEプロトコルを使用するADSLブロードバンドユーザー)は、ログアウトしてISPにログインするたびに、IPが変更されます。確かに、これらすべてのIPを追跡し、htaccessファイルに追加することは実際的ではありません。.
  • モバイルブロードバンド: 3Gでも4Gでも、IPアドレスは現在接続しているセルタワーによって異なります。旅行しているとしましょう。IPは、出発地から数マイル移動するたびに常に変化します。繰り返しになりますが、htaccessファイルの追跡はほぼ不可能です.
  • 公共Wi-Fiホットスポット: 公共のWi-Fiホットスポットを使用してインターネットに接続しているときに資格情報を使用することは、大したことではありません。小さなソフトウェアを使用する子供は、入力したすべての文字を抽出できるためです。言うまでもなく、各Wi-Fiホットスポットには一意のIPアドレスがあります.

ありがたいことに、VPNを使用することで、これらすべての欠点(最初の欠点を保存)を修正できます。単一のIPアドレスのみを使用して接続するようにVPNを設定した場合は、それをhtaccessファイルに追加するだけで、すべての問題が解決されます.

6. wp-config.phpと.htaccessを誰からも保護する

wordpress-ecommerce-security-shopping-tips

wp-config.php ファイルには、WordPressサイトの最も機密性の高いアクセス認証情報が含まれています。これには、データベース名、アクセス資格情報、その他の重要なデータ、その他の設定が含まれています。どのような状況でも、このファイルを他の人に見られたくないでしょう。そしてもちろん、このすべてのセキュリティのソースへのパブリックアクセスを無効にします– .htaccess ファイル自体。へのアクセスを無効にすることができます wp-config.php この次のコードで:

#wp-config.phpファイルへのアクセスを拒否

注文を許可、拒否
すべてを否定する

すべてのhtaccessファイルへのアクセスを拒否するには(一部はwp-adminおよび他のフォルダーに存在する可能性があることに注意してください)、次のコードスニペットを使用します。

#すべての.htaccessファイルへのアクセスを拒否

注文を許可、拒否
すべてを否定する
すべてを満たす

7.画像のホットリンクを拒否する

画像のホットリンク

最もクールな.htaccessファイルハックの1つです。これは、コンテンツスクレーパーを、尾を脚の間に置いて実行します。誰かがあなたのサイトの画像を使用するとき、あなたの帯域幅は消費され、ほとんどの時間、あなたはそれのためにクレジットされていません。このコードスニペットはその問題を排除し、ホットリンクが検出されたときにこの画像を送信します.

#画像のホットリンクスクリプトを防止します。最後のURLを任意の画像リンクに置き換えます.
RewriteEngine on
RewriteCond%{HTTP_REFERER}!^ $
RewriteCond%{HTTP_REFERER}!^ http(s)?://(www \。)?yourwebsite.com [NC]
RewriteCond%{HTTP_REFERER}!^ http(s)?://(www \。)?yourotherwebsite.com [NC]
RewriteRule \。(jpg | jpeg | png | gif)$ http://i.imgur.com/MlQAH71.jpg [NC、R、L]

8.ブラウザキャッシュを有効にする

Webブラウザーのリスト

この.htaccessハックはクライアント側キャッシュとも呼ばれ、WordPressサイトに推奨されるブラウザーキャッシュオプションを有効にします。他のプロジェクト(HTMLサイトなど)でも使用できます。.

#ブラウザのキャッシュを設定する

ExpiresActive On
ExpiresByType image / jpg "アクセス1年"
ExpiresByType image / jpeg "アクセス1年"
ExpiresByType image / gif "アクセス1年"
ExpiresByType image / png "アクセス1年"
ExpiresByType text / css "アクセス1か月"
ExpiresByType application / pdf「アクセス1か月」
ExpiresByType text / x-javascript "アクセス1か月"
ExpiresByType application / x-shockwave-flash "アクセス1か月"
ExpiresByType image / x-icon "アクセス1年"
ExpiresDefault "アクセス2日"

9.メンテナンスページにリダイレクトします

シャッターストック_93288208

ウェブホストを移行したり、メンテナンスタスクを実行したりするときは、静的な「メンテナンスのためのダウン」HTMLファイルを作成して、訪問者にウェブサイトがアップグレードまたはメンテナンス作業中であることを通知することを常にお勧めします。単に、maintenance.htmlファイル(またはその他のファイル名)を作成し、WordPressの基本インストールディレクトリにアップロードします。次のスニペットを.htaccessファイルに貼り付けます。操作が終了したら、これらの行を削除またはコメント化して、全体の操作に戻ってください。各行の先頭に「#」を追加してコメント化できます.

#すべてのトラフィックをmaintenance.htmlファイルにリダイレクトします
RewriteEngine on
RewriteCond%{REQUEST_URI}!/maintenance.html$
RewriteCond%{REMOTE_ADDR}!^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302、L] 

10.カスタムエラーページ

404テンプレート

.htaccessファイルを使用して、403、404、500などのエラーに対してユーザーフレンドリーなカスタムエラーページを構成することもできます。エラーページを準備したら(たとえば、error.html)、それをベースのWordPressインストールディレクトリにアップロードします。次に、次のコードスニペットを.htaccessファイルに追加して、カスタムエラーページを有効にします。

#エラー403、404、500のカスタムエラーページ
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

結論:

今日、WordPressサイトを強化するための最もクールなhtaccessハックのいくつかを学びました。各モジュールのテストの前後に.htaccessファイルのバックアップを取りながら、各モジュールを1つずつ試してみることをお勧めします。これは、.htaccessファイルが非常に重要であるためです。 「#」文字が欠落しているか、正しく配置されていない’はサイトの整合性を破壊する可能性があります。外出先でWordPressダッシュボードに頻繁にアクセスする場合は、選択的なIPを有効にしないことをお勧めします。 wp-admin フォルダ.

皆さんへ–この投稿に対するあなたの見解は?これはhtaccessファイルを編集する手間がかかると思いますか?より良いセキュリティのヒントを知っていますか?あなたからの御一報をお待ちしています.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map