A legjobb .htaccess-részletek a WordPress biztonságának javításához

A kezdő bloggerek körében a WordPress biztonság az egyik leginkább aláásott tényező. A felügyelet nélküli WordPress telepítésben nagyon sok potenciális biztonsági rés van, amelyek felügyelet nélkül maradnak. A legtöbb WordPress telepítési útmutató ismerteti a WordPress gyors és egyszerű telepítését néhány perc alatt. De kihagynak néhány fontos biztonsági tényezőt. Például a könyvtárban való böngészés és az „admin” felhasználónév használata súlyos biztonsági réseknek tekinthető. Ma áttekintjük a 10 .htaccess-kódrészletet, amelyek javítják a WordPress-blog biztonságát. Mielőtt elkezdenénk, vessünk egy rövid pillantást arra, hogy mi a htaccess fájl.


Mi az a .htaccess fájl?

A htaccess fájl opcionális konfigurációs fájl az Apache webszerver számára az egyes könyvtárak értelmezésére. A fájlban különféle beállításokat tárolhat, például: jelszóval védhet egy könyvtárat, blokkolhatja az IP-ket, blokkolhat egy fájlt vagy mappát a nyilvános hozzáféréstől stb. Hagyományosan az .htaccess fájl jelen van az alap WordPress telepítési könyvtárban. Alapértelmezés szerint az állandó link struktúráját tárolja.

TIPP: Mielőtt elkezdené az oktatóprogramot, feltétlenül készítsen biztonsági másolatot az aktuális .htaccess fájlról (ha van) egy felhőalapú tárolási szolgáltatásban, például a Dropboxban. Ezzel vissza kell térni az utolsó ismert működő .htaccess fájlhoz, ha egy bizonyos kódrészlet tönkre teszi a webhelyet. Kezdjük.

1. Blokkolja a rossz botokat

rossz botok

A .htaccess fájl egyik legjobb felhasználása az a képesség, hogy megtagadja több IP-cím hozzáférését a webhelyéhez. Ez akkor hasznos, ha blokkolja az ismert spamküldőket és a gyanús vagy rosszindulatú hozzáférés egyéb eredetét. A kód:

# Blokkoljon egy vagy több IP-címet.
# Cserélje ki az IP_ADDRESS_ * helyet a blokkolni kívánt IP-re


rendelés engedélyezni, tagadni
tagadni IP_ADDRESS_1
tagadni IP_ADDRESS_2-től
engedélyezze az összeset

Ahol az IP_ADDRESS_1 az első olyan IP, amelyet megakadályozni szeretne a webhelyéhez való hozzáférés során. Felvehet annyi IP-t, amelyet szeretne. Nem számít, milyen felhasználói ügynököket (böngészőket) 0 használnak ezek az IP-címek, nem tudnak egyetlen fájlt elérni a szerveren. A webszerver automatikusan megtagadja az összes hozzáférést.

2. Kapcsolja ki a Könyvtár böngészést

WordPress htaccess hack letiltja a könyvtár böngészést

Ez a WordPress webhely egyik leginkább aláásott biztonsági hibája. Alapértelmezés szerint az Apache webszerver lehetővé teszi a könyvtár böngészést. Ez azt jelenti, hogy a webszerver gyökérkönyvtárában (amelyet néha otthoni könyvtárnak) tartalmaznak minden fájlt és mappát a látogató számára elérhetővé és hozzáférhetővé. Ezt nem akarja, mert nem akarja, hogy az emberek a média feltöltésein, a téma- vagy a plugin-fájlokon böngészjenek.

Ha véletlenszerűen 10 személyes vagy üzleti webhelyet választok, amelyek futtatják a WordPress programot, akkor 6-8 webhely közül nem lesz letiltva a könyvtár böngészés. Ez lehetővé teszi bárki hogy könnyen szimatolhassanak a wp-content / feltöltések mappába vagy bármely más könyvtárba, amely nem rendelkezik az alapértelmezett értékkel index.php fájlt. Valójában a képernyőképe, amelyet látsz, az egyik ügyfelem webhelyéről származik, még mielőtt javasoltam a javítást. Kódrészlet a könyvtár böngészés letiltásához:

# Tiltsa le a könyvtár böngészést
Opciók Összes -Index

3. Csak a kiválasztott fájlokat engedélyezze a wp-tartalomból

shutterstock_108312266

Mint tudod a wp-content mappában található a legtöbb a témád, a pluginok és az összes médiafeltöltés. Ön természetesen nem akarja, hogy az emberek korlátozások nélkül hozzáférhessenek ehhez. A könyvtári böngészés letiltása mellett megtagadhatja az összes fájltípus elérését is, kivéve néhányat. Lényegében szelektíven feloldhatja azokat a fájlokat, mint a JPG, PDF, DOCX, CSS, JS stb., És megtagadhatja a többitől. Ehhez illessze be ezt a kódrészletet a .htaccess fájlba:

# Kapcsolja ki az összes fájltípus elérését, kivéve a következőket
Rendelés tagadás, engedje meg
Mindenkit tagadni

Engedjen meg mindent

Hozzon létre egy új .htaccess fájlt a kóddal, és illessze be a wp-content mappába. Ne tegye ezt az alap telepítési könyvtárba – különben nem fog működni. Bármely fájltípust felvehet a listába, ha a „rar” után egy „|” szót csatol. A fenti lista tartalmazza a szükséges fájlokat – XML, CSS és JavaScript, általános kép- és dokumentumformátumokat, és végül a leggyakrabban használt archív formátumokat.

4. A teljes hozzáférést a wp-tartalmakra korlátozza

shutterstock_135573032

Az wp-incl mappája csak azokat a fájlokat tartalmazza, amelyek feltétlenül szükségesek a WordPress alapverziójának futtatásához – egyet pluginok vagy témák nélkül. Ne feledje, hogy az alapértelmezett téma továbbra is a wp-content / téma Könyvtár. Ezért egyetlen látogatónak (köztük önnek sem) nem szabad hozzáférést kérnie a WP-tartalmazzák mappába. A következő kódrészlettel letilthatja a hozzáférést:

# A wp blokkolása mappákat és fájlokat tartalmaz

RewriteEngine be
RewriteBase /
RewriteRule ^ wp-admin / tartalmazza / - [F, L]
RewriteRule! ^ Wp-include / - [S = 3]
RewriteRule ^ wp-tartalmazza / / ^ ^] + \. Php $ - [F, L]
RewriteRule ^ wp-include / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-include / theme-compat / - [F, L]

5. Csak a kiválasztott IP címek engedélyezése a wp-admin eléréséhez

shutterstock_140373169

Az wp-admin A mappa a WordPress irányítópultjának futtatásához szükséges fájlokat tartalmazza. A legtöbb esetben a látogatóknak csak akkor kell hozzáférniük a WordPress irányítópulthoz, ha fiókot akarnak regisztrálni. Egy jó biztonsági intézkedés az, ha csak néhány kiválasztott IP-címhez fér hozzá wp-admin mappába. Engedélyezheti a WordPress irányítópultjához hozzáférést igénylő emberek – szerkesztők, közreműködők és egyéb rendszergazdák – IP-jét. Ez a kódrészlet csak rögzített IP-k számára engedélyezi a wp-admin mappát, és megtagadja a hozzáférést a világ többi részéhez.

# Korlátozza a bejelentkezéseket és az adminot IP-n keresztül

megtagadni, engedélyezni
mindenki tagadja
engedje 302.143.54.102-ig
engedélyezze az IP_ADDRESS_2-től

Ne felejtsen el létrehozni egy új .htaccess fájlt, és illessze be a wp-admin mappába, és ne az alap telepítési könyvtárba. Ha ez utóbbi, akkor senki más, mint Ön, nem tud böngészni az Ön webhelyén – még a keresőmotorok sem! Ön természetesen nem akarja. Ennek az intézkedésnek néhány visszaesése a következő:

  • Ha webhelye engedélyezi vagy reklámozza új felhasználó regisztráció, szinte lehetetlen nyomon követni a felhasználók számát. Például a WPExplorer webhelyén, ha le szeretné tölteni a fantasztikus ingyenes témáinkat, akkor regisztrálnia kell.
  • Emberek dinamikus IP-címek (többnyire PPP vagy PPPoE protokollokat használó ADSL szélessávú felhasználók) megváltoztatják IP-jüket minden egyes kijelentkezéskor és az ISP-be történő bejelentkezéskor. Természetesen nem lenne praktikus nyomon követni ezeket az IP-ket, és hozzáadni azokat a htaccess fájlhoz.
  • Mobil szélessáv: Függetlenül attól, hogy 3G-n vagy 4G-n van, az IP-címe attól függ, hogy melyik mobiltelefon-toronyhoz csatlakozik. Mondja, hogy utazik – az Ön IP-je folyamatosan változik, amikor néhány kilométer távolságra van az eredeti helytől. A htaccess fájl nyomon követése szintén szinte lehetetlen.
  • Nyilvános Wi-Fi hozzáférési pontok: A hitelesítő adatok használata, ha nyilvános Wi-Fi hotspot segítségével csatlakozik az internethez, nagyszerű, nem-nem, mivel egy apró szoftverrel rendelkező gyerek minden beírt karaktert kibonthat. Nem is beszélve, hogy minden Wi-Fi hotspot egyedi IP-címmel rendelkezik.

Szerencsére ezeket a hátrányokat (kivéve az elsőt) VPN segítségével orvosolhatjuk. Ha úgy állítja be a VPN-t, hogy csak egyetlen IP-címmel csatlakozzon, akkor csak hozzá tudja adni a htaccess-fájlhoz, és minden probléma megoldódik..

6. Védje a wp-config.php-t és a .htaccess-t mindenkitől

wordpress-kereskedelmi-security-vásárlási tippeket

Az wp-config.php fájl tartalmazza a WordPress webhely legérzékenyebb hozzáférési hitelesítő adatait. Tartalmazza az adatbázis nevét, a hozzáférési hitelesítő adatokat és egyéb kritikus adatokat, többek között a beállításokat. Semmilyen körülmények között nem akarja, hogy mások vizsgálják meg ezt a fájlt. És természetesen le szeretné tiltani a nyilvános hozzáférést az összes biztonsági forráshoz – a .htaccess magát a fájlt. Letilthatja a hozzáférést a wp-config.php a következő kóddal:

# Megtagadja a wp-config.php fájlhoz való hozzáférést

rendelés engedélyezni, tagadni
mindenki tagadja

Az összes htaccess-fájlhoz való hozzáférés megtagadásához (ne feledje, hogy egyesek a wp-admin és más mappákban találhatók) használja ezt a kódrészletet:

# Megtagadja az összes .htaccess fájl elérését

rendelés engedélyezni, tagadni
mindenki tagadja
mindenkit kielégíteni

7. A kép forráshivatkozásának elutasítása

image-hotlinking

Az egyik legmenőbb .htaccess fájl-csapkod, ez a tartalomkaparókat a farkukkal a lábak között futtatja. Amikor valaki felhasználja a webhely képét, a sávszélességet elhasználják, és általában nem számítanak rá rá. Ez a kódrészlet kiküszöböli a problémát, és elküldi ezt a képet, amikor egy hotlink észlelésre kerül.

# A kép hotlinking szkriptének megakadályozása. Cserélje le az utolsó URL-t bármilyen kívánt linkre.
RewriteEngine be
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Engedélyezze a Böngésző gyorsítótárazását

böngészők listája

Más néven ügyféloldali gyorsítótár, ez a .htaccess hack, amely lehetővé teszi a WordPress webhelyének az ajánlott böngésző gyorsítótárazási lehetőségeit. Használhatja más projektekben – HTML oldalak, stb.

# A böngésző gyorsítótárazásának beállítása

Lejár
ExpiresByType image / jpg "hozzáférés 1 év"
ExpiresByType image / jpeg "hozzáférés 1 év"
ExpiresByType image / gif "hozzáférés 1 év"
ExpiresByType image / png "hozzáférés 1 év"
ExpiresByType text / css "hozzáférés 1 hónap"
ExpiresByType application / pdf "hozzáférés 1 hónap"
ExpiresByType text / x-javascript "hozzáférés 1 hónap"
ExpiresByType alkalmazás / x-shockwave-flash "hozzáférés 1 hónap"
ExpiresByType image / x-icon "hozzáférés 1 év"
ExpiresDefault "hozzáférés 2 nap"

9. Átirányítás a Karbantartás oldalra

shutterstock_93288208

A webszellemek áttelepítésekor vagy valamilyen karbantartási feladat elvégzésekor mindig ajánlott létrehozni egy statikus „karbantartás nélküli” HTML fájlt, amely tájékoztatja a látogatókat arról, hogy a webhely frissítésen vagy karbantartáson megy keresztül. Egyszerűen hozzon létre egy maintenance.html fájlt (vagy bármilyen más fájlnevet), és töltse fel az alap WordPress telepítési könyvtárba. Illessze be a következő részletet a .htaccess fájlba. A művelet befejezése után mindenképpen törölje vagy kommentálja ezeket a sorokat, hogy visszatérjen az általános művelethez. Kommentálhatja, ha minden sor elejére egy “#” szót fűz.

# Átirányítsa az összes forgalmat a maintenance.html fájlra
RewriteEngine be
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Egyéni hibaoldalak

404 sablon

A .htaccess fájl segítségével konfigurálhatja a felhasználóbarát, egyéni hibaoldalakat is, például 403, 404 és 500 hibákhoz. Miután elkészítette a hibaoldalt – mondjuk a error.html – töltse fel a WordPress alap telepítési könyvtárába. Ezután adja hozzá a következő kódrészletet a .htaccess fájljához az egyéni hibaoldal engedélyezéséhez:

# Egyéni hibaoldal a 403, 404 és 500 hibákhoz
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Következtetés:

Ma megtanultuk a legmenőbb htaccess-csapkod a WordPress-webhely megerősítéséhez. Azt javaslom, hogy kipróbáljon minden modult egyenként, miközben készítsen biztonsági másolatot a .htaccess fájlról az egyes modulok tesztelése előtt és után. Ennek oka az, hogy a .htaccess fájl nagyon kritikus. Hiányzó „#” karakter vagy rosszul elhelyezett „Tönkreteheti webhelye integritását. Ha gyakran használja a WordPress irányítópultját útközben, akkor javasoljuk, hogy ne engedélyezze a szelektív IP-ket a wp-admin mappa.

Neked kell átadnod – mi a véleményed erről a postráról? Gondolod, hogy megéri-e a htaccess fájl szerkesztésével kapcsolatos gondot? Tudsz egy jobb biztonsági tippet? Szeretnénk hallani felőled.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map