Najbolji .htaccess isječci za poboljšanje sigurnosti WordPressa

Sigurnost WordPressa jedan je od najvažnijih potkopanih čimbenika među početnicima blogerima. U instalaciji WordPressa bez nadzora, postoji nekoliko potencijalnih ranjivosti koje ostaju bez nadzora. Većina vodiča za instalaciju WordPress-a objašnjava brz i jednostavan način implementacije WordPress-a u nekoliko minuta. Ali propuštaju nekoliko važnih sigurnosnih čimbenika. Na primjer, pregledavanje direktorija i korištenje korisničkog imena ‘admin’ smatraju se ozbiljnim sigurnosnim prazninama. Danas ćemo pogledati 10 .htaccess isječke koda koji će vam pomoći poboljšati sigurnost vašeg bloga WordPress. Prije nego što započnemo, pogledajmo što je htaccess datoteka.


Što je .htaccess datoteka?

Datoteka htaccess je izborna konfiguracijska datoteka koju će internetski poslužitelj Apache tumačiti za svaku mapu. U tu datoteku možete pohraniti različite postavke kao što su: lozinka zaštititi direktorij, blokirati IP adrese, blokirati datoteku ili mapu iz javnog pristupa itd. Tradicionalno, .htaccess datoteka je prisutna u osnovnom instalacijskom direktoriju WordPressa. Ona zadano sprema strukturu trajne veze.

SAVJET: Prije nego što započnete s vodičem, provjerite sigurnosnu kopiju trenutne .htaccess datoteke (ako postoji) u usluzi pohrane u oblaku poput Dropboxa. Ovo će se vratiti na posljednju poznatu radnu .htaccess datoteku ako određeni isječak koda probije vašu web lokaciju. Započnimo.

1. Blokirajte loše Botove

loši botovi

Jedna od najboljih upotreba .htaccess datoteke je njezina sposobnost uskraćivanja više IP adresa u pristupu vašoj web lokaciji. To je korisno ako blokirate poznate neželjene pošte i druge izvore sumnjivog ili zlonamjernog pristupa. Kod je:

# Blokirajte jednu ili više IP adresa.
# Zamijenite IP_ADDRESS_ * s IP-om koji želite blokirati


narediti dopustiti, zanijekati
odbiti od IP_ADDRESS_1
odbiti od IP_ADDRESS_2
dopustiti od svih

Tamo gdje je IP_ADDRESS_1 prvi IP kojem želite spriječiti pristup svojoj web lokaciji. Možete dodati koliko želite IP-ova. Bez obzira na to što korisnički agenti (preglednici) koriste ove IP adrese, neće moći pristupiti jednoj datoteci s vašeg poslužitelja. Web poslužitelj će automatski uskratiti sav pristup.

2. Onemogući pregledavanje direktorija

wordpress htaccess hack onemogućuje pregledavanje direktorija

Ovo je jedan od najoštrijih nedostataka sigurnosti na mjestu WordPress. Web poslužitelj Apache prema zadanim postavkama omogućuje pregledavanje direktorija. To znači da sve datoteke i mape unutar korijenske mape (koja se ponekad naziva i kućni direktorij) web poslužitelja mogu biti dostupne posjetiteljima. To ne želite jer ne želite da ljudi pregledavaju vaše prijenose medija ili datoteke tema ili dodataka.

Ako nasumično odaberem 10 osobnih ili poslovnih web stranica s WordPressom, od njih 6-8 neće biti onemogućeno pregledavanje direktorija. Ovo dopušta bilo tko lako njuškati okolo wp-sadržaja / prijenosa mapu ili bilo koju drugu mapu koja nema zadanu postavku index.php datoteka. Zapravo, snimka zaslona s jedne stranice mog klijenta prije nego što sam preporučio ispravku. Isječak koda za onemogućavanje pretraživanja direktorija:

# Onemogući pregledavanje direktorija
Opcije Sve -Indexes

3. Dopusti samo odabrane datoteke iz wp-sadržaja

shutterstock_108312266

Kao što znate wp-sadržaja mapa sadrži najviše vaših tema, dodataka i svih prijenosa medija. Sigurno ne želite da mu ljudi pristupaju bez ograničenja. Osim onemogućavanja pretraživanja direktorija, možete zabraniti i pristup svim vrstama datoteka, osim nekoliko. U biti, datoteke možete selektivno deblokirati kao JPG, PDF, DOCX, CSS, JS, itd. I ostatak je odbiti. Da biste to učinili, zalijepite isječak koda u svoju .htaccess datoteku:

# Onemogući pristup svim vrstama datoteka osim sljedećih
Naručite odbiti, dopustiti
Negirajte od svih

Dopusti od svih

Morate stvoriti novu .htaccess datoteku s kodom i zalijepiti je u wp-sadržaja mapu. Ne stavljajte ovo u direktorij osnovne instalacije – inače neće funkcionirati. Na popis možete dodati bilo koju vrstu datoteke tako što ćete dodati ‘|’ nakon ‘rar’. Gornji popis sadrži potrebne datoteke – XML, CSS i JavaScript, uobičajene formate slika i dokumenata i na kraju najčešće korištene arhive..

4. Ograničite sav pristup na wp-uključuje

shutterstock_135573032

wp-uključuje mapu sadrži samo datoteke koje su nužno potrebne za pokretanje jezgre verzije WordPressa – jedna bez dodataka ili tema. Ne zaboravite da je zadana tema još uvijek u wp-sadržaja / teme imenik. Dakle, nijedan posjetitelj (uključujući vas) ne bi trebao zahtijevati pristup sadržaju wp-uključivati mapu. Možete onemogućiti pristup pomoću sljedećeg isječka koda:

# Blokiraj wp-uključuje mapu i datoteke

Učitajte ponovoEngine uključeno
RewriteBase /
RewriteRule ^ wp-admin / uključuje / - [F, L]
RewriteRule! ^ Wp-include / - [S = 3]
RewriteRule ^ wp-uključuje / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-include / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-Includes / theme-compat / - [F, L]

5. Dopusti samo odabranim IP adresama pristup wp-administratoru

shutterstock_140373169

wp-admin mapa sadrži datoteke potrebne za pokretanje WordPress nadzorne ploče. U većini slučajeva posjetitelji ne trebaju pristup nadzornoj ploči WordPress, osim ako ne žele registrirati račun. Dobra sigurnosna mjera je omogućiti samo nekoliko odabranih IP adresa za pristup wp-admin mapu. Možete dozvoliti IP adrese osoba kojima je potreban pristup nadzornoj ploči WordPressa – urednika, suradnika i ostalih administratora. Ovaj isječak koda omogućuje pristup samo fiksnim IP-ovima wp-admin mapu i uskraćuje pristup ostatku svijeta.

# Ograniči prijavu i administratora po IP-u

narediti zanijekati, dopustiti
zanijekati od svih
dopustiti od 302.143.54.102
dopustiti s IP_ADDRESS_2

Obavezno napravite novu .htaccess datoteku i zalijepite je u mapu wp-admin, a ne u osnovnu instalacijsku mapu. Ako je ovo potonje, nitko osim vas neće moći pregledavati vašu web lokaciju – čak ni tražilice! To sigurno ne želite. Nekoliko nedostataka ove mjere je sljedeće:

  • Ako vaša web lokacija dozvoljava ili promovira nova registracija korisnika, bilo bi gotovo nemoguće pratiti broj korisnika. Na primjer, na WPExplorer, ako želite preuzeti naše fenomenalne besplatne teme, tada se morate registrirati.
  • Ljudi s dinamične IP adrese (uglavnom korisnici ADSL širokopojasne mreže koji koriste PPP ili PPPoE protokole) mijenjaju njihove IP adrese svaki put kada se odjave i prijave na svoj davatelj internetskih usluga. Sigurno bi bilo nepraktično pratiti sve te IP adrese i dodavati ih u htaccess datoteku.
  • Mobilna širokopojasna mreža: Bez obzira jeste li na 3G ili 4G, vaša IP adresa ovisi o trenutačnom mobilnom tornju na koji ste povezani. Recite da putujete – vaš će se IP neprekidno mijenjati sa svakim nekoliko kilometara koji se krećete od izvora. Ponovo je, praćenje htaccess datoteke gotovo nemoguće.
  • Javne Wi-Fi žarišne točke: Korištenje vjerodajnica prilikom povezivanja s Internetom putem javne Wi-Fi žarišne točke nije veliko, jer dijete s malenim softverom može izvući svaki tip koji upišete. Da ne spominjemo, svaki Wi-Fi žarišni točak imat će jedinstvenu IP adresu.

Srećom, svi ovi nedostaci (osim prvog) mogu se otkloniti pomoću VPN-a. Ako postavite VPN za povezivanje koristeći samo jednu IP adresu, možete ga jednostavno dodati u svoju htaccess datoteku i svi će vaši problemi biti riješeni.

6. Zaštitite wp-config.php i .htaccess od svih

wordpress-ecommerce-security-trgovačkih-tips

wp-config.php datoteka sadrži najosjetljivije pristupne vjerodajnice vaše web lokacije WordPress. Među ostalim postavkama sadrži naziv baze podataka i pristupne vjerodajnice i razne druge kritične podatke. Ni pod kojim uvjetima ne želite da drugi ljudi pregledavaju ovu datoteku. I naravno, želite onemogućiti javni pristup izvoru sve te sigurnosti – the .htaccess datoteka sama. Možete onemogućiti pristup wp-config.php sa sljedećim kodom:

# Zabrani pristup wp-config.php datoteci

narediti dopustiti, zanijekati
zanijekati od svih

Da biste onemogućili pristup svim htaccess datotekama (sjetite se nekih mogu biti u wp-administratoru i drugim mapama), koristite ovaj isječak koda:

# Zabranite pristup svim .htaccess datotekama

narediti dopustiti, zanijekati
zanijekati od svih
udovolji svima

7. Zabranite hotlinking slike

slika brzo povezivanje

Jedan od najsjajnijih hakova .htaccess datoteka, ovaj šalje scrapers za sadržaj koji trče repom među nogama. Kada netko koristi sliku vaše web lokacije, vašu propusnost trošite i većinu vremena vam čak nije pripisana. Ovaj isječak koda uklanja taj problem i šalje ovu sliku kada se otkrije vruća veza.

# Sprječite skriptu hotlinkinga slike. Zadnji URL zamijenite bilo kojom slikovnom vezom koju želite.
Prepiši ponovo
PrepišiCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Omogući predmemoriranje pretraživača

popis web-preglednika

Poznat i kao predmemoriranje na strani klijenta, ovaj .htaccess hack omogućuje uključivanje preporučenih opcija predmemoriranja preglednika za vaše web mjesto WordPress. Možete je koristiti i u drugim projektima – HTML web lokacijama itd.

# Postavljanje predmemoriranja preglednika

ExpiresActive On
ExpiresByType image / jpg "pristup 1 godina"
ExpiresByType image / jpeg "pristup 1 godina"
ExpiresByType image / gif "pristup 1 godina"
ExpiresByType image / png "pristup 1 godina"
ExpiresByType text / css "pristup 1 mjesec"
ExpiresByType aplikacija / pdf "pristup 1 mjesec"
ExpiresByType text / x-javascript "pristup 1 mjesec"
IstečeByType aplikacija / x-shockwave-flash "pristup 1 mjesec"
ExpiresByType image / x-icon "pristup 1 godina"
IstječePodređeno "pristup 2 dana"

9. Preusmjeravanje na stranicu za održavanje

shutterstock_93288208

Kada migrirate web hostere ili obavljate neki zadatak održavanja, preporučuje se stvoriti statičku HTML datoteku “dolje za održavanje” kako biste obavijestili svoje posjetitelje da je web mjesto u fazi nadogradnje ili održavanja. Jednostavno izradite datoteku održavanja.html (ili bilo koje drugo ime datoteke) i prenesite je u osnovni WordPress instalacijski direktorij. Zalijepite sljedeći isječak u svoju .htaccess datoteku. Nakon što je operacija završena, obavezno izbrišite ili komentirajte ove retke da biste se vratili na cjelokupni rad. Možete komentirati dodavanjem znaka “#” na početku svakog retka.

# Preusmjerite sav promet na datoteku održavanja.html
Prepiši ponovo
RewriteCond% {REQUEST_URI}! /Maintenance.html$
PrepišiCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Prilagođene stranice pogrešaka

404 predložak

Možete i .htaccess datoteku konfigurirati prilagođene stranice o pogrešci prilagođene korisnicima za pogreške poput 403, 404 i 500. Nakon što pripremite stranicu s pogreškama – recimo pogreška.html, prenesite je u osnovni instalacijski direktorij WordPress. Zatim dodajte sljedeći isječak koda u datoteku .htaccess kako biste omogućili prilagođenu stranicu pogreške:

# Prilagođena stranica za pogreške za pogreške 403, 404 i 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Zaključak:

Danas smo naučili neke od najboljih cool hataccess hakova kako bismo ojačali vašu WordPress web lokaciju. Predlažem vam da isprobate svaki modul jedan po jedan, dok uzimate sigurnosne kopije .htaccess datoteke prije i nakon testiranja svakog modula. To je zato što je .htaccess datoteka vrlo kritična. Znak koji nedostaje ili je pogrešno postavljen ‘Može uništiti integritet vaše web lokacije. Ako pristupite nadzornoj ploči WordPress-a često u pokretu, preporučuje se ne dopuštati selektivne IP adrese wp-admin mapa.

Za vas – što mislite o ovom postu? Mislite li da je to vrijedno problema s uređivanjem htaccess datoteke? Znate li za bolji sigurnosni savjet? Voljeli bismo čuti od vas.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map