I migliori snippet .htaccess per migliorare la sicurezza di WordPress

La sicurezza di WordPress è uno dei fattori più minati tra i blogger principianti. In un’installazione di WordPress senza supervisione, ci sono alcune potenziali vulnerabilità che rimangono incustodite. La maggior parte dei tutorial di installazione di WordPress spiega un modo rapido e semplice per distribuire WordPress in pochi minuti. Ma mancano alcuni importanti fattori di sicurezza. Ad esempio, la navigazione nella directory e l’utilizzo del nome utente “admin” sono considerati gravi falle nella sicurezza. Oggi daremo un’occhiata a 10 frammenti di codice .htaccess che aiuteranno a migliorare la sicurezza del tuo blog WordPress. Prima di iniziare, diamo una rapida occhiata al file htaccess.


Qual è il file .htaccess?

Un file htaccess è un file di configurazione facoltativo che il server Web Apache deve interpretare, per ciascuna directory. È possibile memorizzare varie impostazioni in quel file come: proteggere con password una directory, bloccare IP, bloccare un file o una cartella dall’accesso pubblico, ecc. Tradizionalmente, il file .htaccess è presente nella directory di installazione di WordPress di base. Memorizza la struttura del permalink per impostazione predefinita.

MANCIA: Prima di iniziare con il tutorial, assicurati di eseguire il backup del file .htaccess corrente (se presente) in un servizio di archiviazione cloud come Dropbox. Questo serve per ripristinare l’ultimo file .htaccess funzionante, se un determinato frammento di codice rompe il tuo sito. Cominciamo.

1. Blocca i robot difettosi

robot cattivi

Uno dei migliori utilizzi del file .htaccess è la sua capacità di impedire a più indirizzi IP di accedere al tuo sito. Ciò è utile quando si bloccano spammer noti e altre origini di accesso sospetto o dannoso. Il codice è:

# Blocca uno o più indirizzi IP.
# Sostituisci IP_ADDRESS_ * con l'IP che vuoi bloccare


l'ordine consente, nega
negare da IP_ADDRESS_1
negare da IP_ADDRESS_2
consentire a tutti

Dove IP_ADDRESS_1 è il primo IP a cui desideri impedire l’accesso al tuo sito. Puoi aggiungere tutti gli IP che desideri. Indipendentemente dagli agenti utente (browser) utilizzati da questi indirizzi IP, non saranno in grado di accedere a un singolo file dal tuo server. Il server web negherà automaticamente qualsiasi accesso.

2. Disabilita la navigazione nella directory

wordpress htaccess hack disabilita la navigazione nella directory

Questo è uno dei difetti di sicurezza più indeboliti in un sito WordPress. Per impostazione predefinita, il server web Apache abilita la navigazione nella directory. Ciò significa che tutti i file e le cartelle all’interno della directory principale (a volte chiamata home directory) del server web sono in grado di essere accessibili e accessibili da un visitatore. Non lo vuoi perché non vuoi che le persone sfogliano i tuoi caricamenti multimediali o i tuoi file di temi o plugin.

Se scelgo casualmente 10 siti Web personali o aziendali che eseguono WordPress, 6-8 di essi non disabiliteranno la navigazione nella directory. Questo permette chiunque per annusare facilmente il wp-content / uploads cartella o qualsiasi altra directory che non ha l’impostazione predefinita index.php file. In effetti, lo screenshot che vedi proviene da uno dei siti del mio cliente, prima di raccomandare la correzione. Snippet di codice per disabilitare la navigazione nella directory:

# Disabilita la navigazione nella directory
Opzioni All -Indexes

3. Consenti solo i file selezionati da wp-content

shutterstock_108312266

Come sai il wp-content La cartella contiene il maggior numero di temi, plugin e tutti i caricamenti multimediali. Non vorrai certo che le persone accedano senza restrizioni. Oltre a disabilitare la navigazione nella directory, puoi anche negare l’accesso a tutti i tipi di file, salvarne alcuni. In sostanza, puoi sbloccare selettivamente file come JPG, PDF, DOCX, CSS, JS, ecc. E negare il resto. Per fare ciò, incolla questo snippet di codice nel tuo file .htaccess:

# Disabilita l'accesso a tutti i tipi di file tranne i seguenti
Ordine negare, consentire
Negato da tutti

Consenti a tutti

È necessario creare un nuovo file .htaccess con il codice e incollarlo nel file wp-content cartella. Non inserirlo nella directory di installazione di base, altrimenti non funzionerà. Puoi anche aggiungere qualsiasi tipo di file all’elenco aggiungendo un “|” dopo “rar”. L’elenco sopra contiene i file necessari: XML, CSS e JavaScript, i formati di immagine e documento comuni e infine i formati di archivio più utilizzati.

4. Limitare tutti gli accessi a wp-Includes

shutterstock_135573032

Il cartella wp-Includes contiene solo i file strettamente necessari per eseguire la versione principale di WordPress, uno senza plug-in o temi. Ricorda, il tema predefinito risiede ancora nel file wp-content / a tema directory. Pertanto, nessun visitatore (incluso te) dovrebbe richiedere l’accesso al contenuto di wp-include cartella. Puoi disabilitare l’accesso utilizzando questo frammento di codice seguente:

# Block wp-include cartelle e file

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / Includes / - [F, L]
RewriteRule! ^ Wp-Includes / - [S = 3]
RewriteRule ^ wp-Includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-Includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-Includes / theme-compat / - [F, L]

5. Consenti solo agli indirizzi IP selezionati di accedere a wp-admin

shutterstock_140373169

Il wp-admin La cartella contiene i file necessari per eseguire il dashboard di WordPress. Nella maggior parte dei casi, i tuoi visitatori non hanno bisogno di accedere alla dashboard di WordPress, a meno che non vogliano registrare un account. Una buona misura di sicurezza è abilitare l’accesso ad alcuni indirizzi IP selezionati wp-admin cartella. Puoi consentire gli IP delle persone che hanno bisogno di accedere alla dashboard di WordPress: editor, collaboratori e altri amministratori. Questo frammento di codice consente l’accesso solo agli IP fissi wp-admin cartella e nega l’accesso al resto del mondo.

# Limita accessi e amministrazione per IP

l'ordine nega, consenti
negato da tutti
consentire dal 302.143.54.102
consentire da IP_ADDRESS_2

Assicurati di creare un nuovo file .htaccess e incollarlo nella cartella wp-admin e non nella directory di installazione di base. Se è quest’ultimo, nessuno tranne te sarà in grado di navigare nel tuo sito, nemmeno i motori di ricerca! Certamente non lo vuoi. Un paio di inconvenienti di questa misura sono i seguenti:

  • Se il tuo sito lo consente o promuove Nuova registrazione utente, sarebbe quasi impossibile tenere traccia del numero di utenti. Ad esempio su WPExplorer, se vuoi scaricare i nostri fantastici temi gratuiti, devi registrarti.
  • Persone con indirizzi IP dinamici (per lo più utenti ADSL a banda larga che utilizzano i protocolli PPP o PPPoE) i loro IP vengono cambiati ogni volta che si disconnettono e accedono al proprio ISP. Certamente non sarebbe pratico tenere traccia di tutti questi IP e aggiungerli al file htaccess.
  • Banda larga mobile: Che tu sia su 3G o 4G, il tuo indirizzo IP dipende dall’attuale torre cellulare a cui sei connesso. Supponi di essere in viaggio: il tuo IP cambierà costantemente ogni paio di miglia che ti sposti dall’origine. Ancora una volta, tenere traccia del file htaccess è quasi impossibile.
  • Hotspot Wi-Fi pubblici: L’uso delle credenziali quando è collegato a Internet tramite un hotspot Wi-Fi pubblico è un grande no-no, dal momento che un bambino con un software piccolo può estrarre ogni personaggio che scrivi. Per non parlare, ogni hotspot Wi-Fi avrà un indirizzo IP univoco.

Per fortuna, tutti questi svantaggi (salva il primo), possono essere eliminati utilizzando una VPN. Se imposti la tua VPN per la connessione utilizzando un solo indirizzo IP, puoi semplicemente aggiungerla al tuo file htaccess e tutti i tuoi problemi saranno risolti.

6. Proteggi wp-config.php e .htaccess da tutti

wordpress-ecommerce-Security-shopping-punte

Il wp-config.php file contiene le credenziali di accesso più sensibili del tuo sito WordPress. Contiene il nome del database e le credenziali di accesso e vari altri dati critici, tra le altre impostazioni. In nessun caso vuoi che altre persone guardino questo file. E, naturalmente, si desidera disabilitare l’accesso pubblico alla fonte di tutta questa sicurezza: il .htaccess file stesso. È possibile disabilitare l’accesso a wp-config.php con questo codice seguente:

# Nega l'accesso al file wp-config.php

l'ordine consente, nega
negato da tutti

Per negare l’accesso a tutti i file htaccess (ricorda che alcuni potrebbero risiedere in wp-admin e altre cartelle), usa questo frammento di codice:

# Nega l'accesso a tutti i file .htaccess

l'ordine consente, nega
negato da tutti
soddisfare tutto

7. Nega collegamento a caldo delle immagini

image-hotlinking

Uno dei più interessanti hack di file .htaccess, questo fa in modo che i raschiatori di contenuti corrano con la coda tra le gambe. Quando qualcuno utilizza l’immagine del tuo sito, la tua larghezza di banda viene consumata e il più delle volte, non ti viene nemmeno accreditato. Questo frammento di codice elimina il problema e invia questa immagine quando viene rilevato un hotlink.

# Impedisci script hotlinking immagine. Sostituisci l'ultimo URL con qualsiasi link immagine che desideri.
RewriteEngine on
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Abilitare la memorizzazione nella cache del browser

elenco di browser web

Conosciuto anche come cache sul lato client, questo hack .htaccess abilita le opzioni di cache del browser consigliate per il tuo sito WordPress. Potresti anche usarlo in altri progetti – siti HTML, ecc.

# Imposta la memorizzazione nella cache del browser

Scade attivo
ExpiresByType image / jpg "accesso 1 anno"
ExpiresByType image / jpeg "accesso 1 anno"
ExpiresByType image / gif "accesso 1 anno"
ExpiresByType image / png "accesso 1 anno"
ExpiresByType text / css "accesso 1 mese"
ExpiresByType application / pdf "accesso 1 mese"
ExpiresByType text / x-javascript "accesso 1 mese"
Applicazione ExpiresByType / x-shockwave-flash "accesso 1 mese"
ExpiresByType image / x-icon "accesso 1 anno"
Scadenza predefinita "accesso 2 giorni"

9. Reindirizzare a una pagina di manutenzione

shutterstock_93288208

Quando esegui la migrazione di host web o esegui attività di manutenzione, è sempre consigliabile creare un file HTML statico “down for maintenance” per informare i tuoi visitatori che il sito Web è sottoposto a un’operazione di aggiornamento o manutenzione. Basta creare un file maintenance.html (o qualsiasi altro nome file) e caricarlo nella directory di installazione di WordPress di base. Incolla il seguente frammento nel tuo file .htaccess. Al termine dell’operazione, assicurarsi di eliminare o commentare queste righe per tornare all’operazione generale. Puoi commentare aggiungendo un “#” all’inizio di ogni riga.

# Reindirizza tutto il traffico al file maintenance.html
RewriteEngine on
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Pagine di errore personalizzate

Modello 404

Puoi anche il file .htaccess per configurare pagine di errore personalizzate facili da usare per errori come 403, 404 e 500. Dopo aver preparato la pagina di errore, diciamo error.html, caricalo nella directory di installazione di WordPress di base. Quindi aggiungi il seguente frammento di codice al tuo file .htaccess per abilitare la pagina di errore personalizzata:

# Pagina di errore personalizzata per gli errori 403, 404 e 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Conclusione:

Oggi abbiamo appreso alcuni dei migliori hack di htaccess per rafforzare il tuo sito WordPress. Ti suggerirei di provare ogni modulo uno per uno mentre esegui un backup del file .htaccess prima e dopo aver testato ciascun modulo. Questo perché il file .htaccess è molto critico. Un carattere “#” mancante o fuori posto ““Potrebbe distruggere l’integrità del tuo sito. Se accedi alla dashboard di WordPress spesso in viaggio, ti consigliamo di non abilitare IP selettivi per il tuo wp-admin cartella.

Da parte tua: qual è la tua opinione su questo post? Pensi che questo valga la pena modificare il file htaccess? Conosci un consiglio di sicurezza migliore? Ci piacerebbe avere tue notizie.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map