W artykule:
- Co to jest .plik htaccess?
- 1. Blokuj Złe Boty
- 2. Wyłącz Przeglądanie Katalogów
- 3. Zezwalaj tylko na wybrane pliki z wp-content
- 4. Ogranicz cały dostęp do wp-includes
- 5. Zezwalaj tylko na wybrane adresy IP, aby uzyskać dostęp do wp-admin
- 6. Protect wp-config.php i .htaccess od każdego
- 7. Zablokuj Hotlinking Obrazu
- 8. Włącz Buforowanie Przeglądarki
- 9. Przekierowanie na stronę konserwacji
- 10. Niestandardowe Strony Błędów
Bezpieczeństwo WordPress jest jednym z najbardziej osłabionych czynników wśród początkujących blogerów. W nienadzorowanej instalacji WordPress istnieje sporo potencjalnych luk, które pozostają bez nadzoru. Większość samouczków instalacji WordPress wyjaśnia szybki i łatwy sposób wdrożenia WordPress w ciągu kilku minut. Ale pomijają kilka ważnych czynników bezpieczeństwa. Na przykład Przeglądanie katalogów i używanie nazwy użytkownika „admin” jest uważane za poważne luki w zabezpieczeniach. Dzisiaj przyjrzymy się 10 .fragmenty kodu htaccess, które pomogą poprawić bezpieczeństwo Twojego bloga WordPress. Zanim zaczniemy, rzućmy okiem na to, co to jest plik htaccess.
Co to jest .plik htaccess?
Plik htaccess jest opcjonalnym plikiem konfiguracyjnym dla serwera WWW Apache do interpretacji dla każdego katalogu. Możesz przechowywać różne ustawienia w tym Pliku, takie jak: ochrona katalogu hasłem, blokowanie adresów IP, blokowanie pliku lub folderu przed publicznym dostępem itp. Tradycyjnie .plik htaccess jest obecny w katalogu instalacyjnym Base WordPress. Domyślnie przechowuje strukturę permalink.
TIP: Zanim zaczniesz z samouczkiem, upewnij się, że wykonasz kopię zapasową bieżącego .plik htaccess (jeśli jest obecny) w usłudze przechowywania w chmurze, takiej jak Dropbox. Ma to na celu powrót do ostatniej znanej pracy .plik htaccess, jeśli określony fragment kodu zepsuje Twoją witrynę. Zaczynajmy.
1. Blokuj Złe Boty
Jednym z najlepszych zastosowań .plik htaccess to jego zdolność do odmawiania wielu adresów IP dostępu do witryny. Jest to przydatne podczas blokowania znanych spamerów i innych źródeł podejrzanego lub złośliwego dostępu. Kod jest:
# Zablokuj jeden lub więcej adresów IP.
# Zamień IP_ADDRESS_* na adres IP, który chcesz zablokować
< Limit GET POST>
order allow, deny
odmowa z IP_ADDRESS_1
odmowa z IP_ADDRESS_2
Zezwalaj ze wszystkich
< / Limit>
Gdzie IP_ADDRESS_1 jest pierwszym IP, który chcesz uniemożliwić dostęp do witryny. Możesz dodać dowolną liczbę adresów IP. Bez względu na to, jakich użytkowników (przeglądarek) używasz 0adresów IP, nie będą mogli uzyskać dostępu do pojedynczego pliku z twojego serwera. Serwer automatycznie odmówi dostępu.
2. Wyłącz Przeglądanie Katalogów
Jest to jedna z najbardziej podważonych wad bezpieczeństwa w witrynie WordPress. Domyślnie serwer Apache umożliwia przeglądanie katalogów. Oznacza to, że wszystkie pliki i foldery wewnątrz katalogu głównego (czasami nazywanego katalogiem domowym) serwera www są dostępne dla użytkownika. Nie chcesz tego, ponieważ nie chcesz, aby ludzie przeglądali Twoje przesłane multimedia lub pliki motywu lub wtyczki.
Jeśli losowo wybiorę 10 osobistych lub biznesowych stron internetowych z systemem WordPress, 6-8 z nich nie będzie miało wyłączonego przeglądania katalogów. Pozwala to na każdy aby łatwo powąchać wokół wp-content / uploads folder lub dowolny inny katalog, który nie ma domyślnego indeks.php plik. W rzeczywistości zrzut ekranu, który widzisz, pochodzi z jednej ze stron mojego klienta, zanim zaleciłem poprawkę. Fragment kodu, aby wyłączyć przeglądanie katalogów:
# Wyłącz Przeglądanie katalogów
Opcje Wszystkie-Indeksy
3. Zezwalaj tylko na wybrane pliki z wp-content
Jak wiesz wp-content folder zawiera najwięcej motywów, wtyczek i wszystkich przesłanych multimediów. Z pewnością nie chcesz, aby ludzie mieli do niego dostęp bez ograniczeń. Oprócz wyłączania przeglądania katalogów, możesz również odmówić dostępu do wszystkich typów plików, oszczędzając kilka. Zasadniczo możesz selektywnie odblokować pliki takie jak JPG, PDF, DOCX, CSS, JS itp. i zaprzeczać reszcie. Aby to zrobić, wklej ten fragment kodu do swojego .plik htaccess:
# Wyłącz dostęp do wszystkich typów plików z wyjątkiem następujących
Order deny, allow
Zaprzecz wszystkim
< Files ~ ".(xml|css|js / jpe?g|png|gif|pdf|docx|rtf|ODF|zip / rar)$">
Zezwalaj ze wszystkich
< / Files>
Musisz stworzyć nowy .plik htaccess z kodem i wklej go w wp-content folder. Nie umieszczaj tego w podstawowym katalogu instalacyjnym-w przeciwnym razie nie zadziała. Możesz również dodać dowolny typ pliku do listy, dodając ” / ” po „rar”. Powyższa lista zawiera niezbędne pliki-XML, CSS i JavaScript, popularne formaty obrazów i dokumentów oraz najczęściej używane formaty archiwów.
4. Ogranicz cały dostęp do wp-includes
Na wp-zawiera folder zawiera tylko pliki, które są absolutnie niezbędne do uruchomienia podstawowej wersji WordPress-one bez żadnych wtyczek lub motywów. Pamiętaj, że domyślny motyw nadal znajduje się w wp-content / theme katalog. W związku z tym żaden odwiedzający (w tym ty) nie powinien wymagać dostępu do treści wp-include folder. Możesz wyłączyć dostęp za pomocą poniższego fragmentu kodu:
# Blok wp-zawiera folder i pliki
< IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes / - [F, L]
RewriteRule !^wp-includes / - [s = 3]
RewriteRule ^wp-zawiera / [^ / ]+.php$ - [F, L]
RewriteRule ^wp-includes/js / tinymce / langs/.+.php - [F, L]
RewriteRule ^wp-includes / theme-compat / - [F, L]
< / IfModule>
5. Zezwalaj tylko na wybrane adresy IP, aby uzyskać dostęp do wp-admin
Na wp-admin folder zawiera pliki wymagane do uruchomienia Pulpitu nawigacyjnego WordPress. W większości przypadków odwiedzający nie potrzebują dostępu do pulpitu WordPress, chyba że chcą zarejestrować konto. Dobrym środkiem bezpieczeństwa jest umożliwienie dostępu tylko do kilku wybranych adresów IP wp-admin folder. Możesz zezwolić na adresy IP osób, które potrzebują dostępu do Pulpitu nawigacyjnego WordPress – redaktorów, współpracowników i innych administratorów. Ten fragment kodu umożliwia dostęp tylko do stałych adresów IP wp-admin folder i odmawia dostępu do reszty świata.
# Ogranicz logowania i admina przez IP
< Limit GET POST PUT>
order deny, allow
zaprzecz wszystkim
pozwól od 302.143.54.102
Zezwól z IP_ADDRESS_2
< / Limit>
Upewnij się, że tworzysz nowy .plik htaccess i wklej go w folderze wp-admin, a nie w podstawowym katalogu instalacyjnym. Jeśli jest to ten ostatni, nikt oprócz Ciebie nie będzie mógł przeglądać Twojej witryny-nawet wyszukiwarek! Na pewno tego nie chcesz. Kilka upadków tego środka jest następujące:
- Jeśli Twoja strona pozwala lub Promuje rejestracja nowego użytkownika, prawie niemożliwe byłoby śledzenie liczby użytkowników. Na przykład w WPExplorer, jeśli chcesz pobrać nasze niesamowite Darmowe motywy, musisz się zarejestrować.
- Osoby z dynamiczne adresy IP (głównie użytkownicy Internetu szerokopasmowego ADSL korzystający z protokołów PPP lub PPPoE) zmieniają swoje adresy IP za każdym razem, gdy wylogowują się i logują do swojego dostawcy usług internetowych. Z pewnością niepraktyczne byłoby śledzenie wszystkich tych adresów IP i dodawanie ich do pliku htaccess.
- Mobilny Internet szerokopasmowy: Niezależnie od tego, czy korzystasz z sieci 3G, czy 4G, Twój adres IP zależy od aktualnej wieży komórkowej, z którą jesteś połączony. Powiedzmy, że podróżujesz – Twoje IP będzie się stale zmieniać z każdą parą mil od miejsca pochodzenia. Ponownie, śledzenie pliku htaccess jest prawie niemożliwe.
- Publiczne Hotspoty Wi-Fi: Korzystanie z poświadczeń po połączeniu z Internetem za pomocą publicznego hotspotu Wi-Fi jest dużym Nie-Nie, ponieważ dziecko z małym oprogramowaniem może wyodrębnić każdą wpisaną postać. Nie wspominając o tym, że każdy hotspot Wi-Fi będzie miał unikalny adres IP.
Na szczęście wszystkie te wady (z wyjątkiem pierwszego) można naprawić za pomocą VPN. Jeśli skonfigurujesz VPN tak, aby łączył się tylko przy użyciu jednego adresu IP, możesz po prostu dodać go do pliku htaccess, a wszystkie problemy zostaną rozwiązane.
6. Protect wp-config.php i .htaccess od każdego
Na wp-config.php plik zawiera najbardziej wrażliwe poświadczenia dostępu Twojej witryny WordPress. Zawiera nazwę bazy danych i poświadczenia dostępu oraz różne inne krytyczne dane, między innymi ustawienia. Pod żadnym pozorem nie chcesz, żeby inni ludzie przeglądali te akta. I oczywiście, chcesz wyłączyć publiczny dostęp do źródła tego całego bezpieczeństwa – .htaccess sam plik. Możesz wyłączyć dostęp do wp-config.php z poniższym kodem:
# Odmowa dostępu do wp-config.plik php
< pliki wp-config.php>
order allow, deny
zaprzecz wszystkim
< / files>
Aby odmówić dostępu do wszystkich plików htaccess (pamiętaj, że niektóre mogą znajdować się w folderach wp-admin i innych), użyj tego fragmentu kodu:
# Deny access to all .pliki htaccess
< files ~"^.*.([Hh] [TT] [Aa])">
order allow, deny
zaprzecz wszystkim
zaspokoić wszystkie
< / files>
7. Zablokuj Hotlinking Obrazu
Jeden z najfajniejszych .htaccess włamuje się do plików, ten wysyła skrobaki treści z ogonem między nogami. Gdy ktoś używa obrazu Twojej witryny, twoja przepustowość jest zużywana i przez większość czasu nie jesteś nawet przypisany do tego. Ten fragment kodu eliminuje ten problem i wysyła ten obraz po wykryciu hotlinka.
# Zapobiec obraz hotlinking skrypt. Zastąp ostatni adres URL dowolnym linkiem do obrazu.
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER}! ^http(S)?://(www.)?yourwebsite.com [NC]
RewriteCond %{HTTP_REFERER}! ^http(S)?://(www.)?yourotherwebsite.com [NC]
RewriteRule .(jpg / jpeg|png / gif)$ http://i.imgur.com/MlQAH71.jpg [NC, R, L]
8. Włącz Buforowanie Przeglądarki
Znany również jako buforowanie po stronie klienta .htaccess hack z włącz zalecane opcje buforowania przeglądarki dla witryny WordPress. Możesz go również użyć w innych projektach-stronach HTML itp.
# Konfiguracja buforowania przeglądarki
< IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image / jpg "dostęp 1 rok"
ExpiresByType image / jpeg "dostęp 1 rok"
ExpiresByType image / gif "dostęp 1 rok"
ExpiresByType image / png "dostęp 1 rok"
ExpiresByType text / css "dostęp 1 miesiąc"
ExpiresByType application / pdf "dostęp 1 miesiąc"
ExpiresByType text / x-javascript "dostęp 1 miesiąc"
ExpiresByType application / x-shockwave-flash "dostęp 1 miesiąc"
ExpiresByType image / X-icon "dostęp 1 rok"
ExpiresDefault "Dostęp 2 dni"
< / IfModule>
9. Przekierowanie na stronę konserwacji
Podczas migracji webhostów lub wykonywania niektórych zadań konserwacyjnych zawsze zaleca się utworzenie statycznego pliku HTML „down for maintenance”, aby poinformować odwiedzających, że witryna jest w trakcie aktualizacji lub konserwacji. Po prostu utwórz konserwację.plik html (lub inna nazwa pliku) i przesłać go do podstawowego katalogu instalacyjnego WordPress. Wklej poniższy fragment do swojego .plik htaccess. Po zakończeniu operacji usuń lub skomentuj te linie, aby wrócić do ogólnej operacji. Możesz komentować, dodając ” # „na początku każdej linii.
# Przekieruj cały ruch na konserwację.plik html
RewriteEngine on
RewriteCond %{REQUEST_URI} !/ konserwacja.html$
RewriteCond %{REMOTE_ADDR} !^123.123.123.123
RewriteRule $ /maintenance.html [R =302, L]
10. Niestandardowe Strony Błędów
Można również .plik htaccess do konfiguracji przyjaznych dla użytkownika niestandardowych stron błędów dla błędów, takich jak 403, 404 i 500. Po przygotowaniu strony błędu-powiedzmy błąd.html, prześlij go do katalogu instalacyjnego WordPress. Następnie dodaj następujący fragment kodu do swojego .plik htaccess, aby włączyć niestandardową stronę błędu:
# Niestandardowa strona błędu dla błędów 403, 404 i 500
ErrorDocument 404 / error.html
ErrorDocument 403 / error.html
ErrorDocument 500 / error.html
Wniosek:
Dzisiaj nauczyliśmy się jednych z najfajniejszych hacków htaccess, aby wzmocnić Twoją witrynę WordPress. Proponuję wypróbować każdy moduł jeden po drugim, wykonując kopię zapasową .plik htaccess przed i po testowaniu każdego modułu. To dlatego, że.plik htaccess jest bardzo krytyczny. Brakujący znak ” # „lub zagubiony znak” < / IfModule> ” może zniszczyć integralność witryny. Jeśli często korzystasz z pulpitu WordPress w podróży, zaleca się, aby nie włączać selektywnych adresów IP wp-admin folder.
Do ciebie-jakie jest twoje zdanie na temat tego posta? Czy uważasz, że warto edytować plik htaccess? Znasz lepszą Radę Bezpieczeństwa? Chcielibyśmy usłyszeć od ciebie.