Bestu .htaccess smáatriðin til að bæta WordPress öryggi

WordPress öryggi er einn af mestu grafnuðu þáttunum meðal nýliði bloggara. Í WordPress uppsetningu án eftirlits, það eru töluvert af mögulegum veikleikum sem eru eftirlitslausar. Flestar leiðbeiningar um uppsetningar WordPress útskýra fljótleg og auðveld leið til að dreifa WordPress á nokkrum mínútum. En þeir sakna nokkurra mikilvægra öryggisþátta. Sem dæmi má nefna að vafra um skrár og nota notandanafn „stjórnanda“ eru talin alvarleg öryggisgat. Í dag ætlum við að kíkja á 10. Aðgangs kóða kóða sem munu hjálpa til við að bæta öryggi WordPress bloggsins þíns. Áður en við byrjum, skulum líta fljótt á hvað er htaccess skráin.


Hvað er .htaccess skráin?

Htaccess skrá er valfrjáls uppsetningarskrá fyrir Apache vefþjóninn til að túlka, fyrir hverja skrá. Þú getur geymt ýmsar stillingar í þeirri skrá, svo sem: vernda skrá með lykilorði, lokað fyrir IP-tölur, lokað fyrir skrá eða möppu fyrir aðgang almennings osfrv. Hefð er .htaccess skráin í grunn uppsetningarskránni WordPress. Það geymir permalink uppbyggingu sjálfgefið.

Ábending: Gakktu úr skugga um að taka afrit af núverandi .htaccess skrá (ef til staðar) í skýgeymsluþjónustu eins og Dropbox. Þetta er til að snúa aftur til síðustu þekktu .htaccess skrár sem þekkt er, ef ákveðinn kóðabrot brýtur síðuna þína. Byrjum.

1. Lokaðu slæmum vélum

slæmar vélmenni

Ein besta notkun á .htaccess skránni er geta þess til að neita mörgum IP-tölum um aðgang að vefsvæðinu þínu. Þetta er gagnlegt þegar þú hindrar þekkt ruslpóst og annan uppruna grunsamlegs eða illgjarns aðgangs. Kóðinn er:

# Lokaðu fyrir eitt eða fleiri IP tölu.
# Skiptu um IP_ADDRESS_ * fyrir þann IP sem þú vilt loka á


röð leyfa, neita
hafnað frá IP_ADDRESS_1
hafnað frá IP_ADDRESS_2
leyfi frá öllum

Þar sem IP_ADDRESS_1 er fyrsta IP sem þú vilt koma í veg fyrir að fá aðgang að vefsvæðinu þínu. Þú getur bætt við eins mörgum IP-tölum sem þú vilt. Sama hvaða umboðsmenn notenda (vafrar) þessar IP netföng nota, þeir munu ekki geta fengið aðgang að einni skrá frá netþjóninum þínum. Vefþjónninn neitar sjálfkrafa um allan aðgang.

2. Slökkva á skráarskoðun

wordpress htaccess hakk slökkt á vefskoðun

Þetta er einn af mest grafið undan öryggisgöllum á WordPress vefsvæði. Sjálfgefið gerir Apache vefþjóninn kleift að vafra um möppur. Þetta þýðir að allar skrár og möppur í rótaskránni (stundum kölluð heimanafnaskrá) netþjónsins eru fær og aðgengileg af gesti. Þú vilt ekki það vegna þess að þú vilt ekki að fólk vafri um margmiðlunarupphal eða þemu- eða viðbótarskrár.

Ef af handahófi vel ég 10 persónulegar vefsíður eða fyrirtæki sem keyra WordPress, þá eru 6-8 þeirra ekki með vafra í möppum. Þetta gerir kleift hver sem er til að þefa auðveldlega um wp-innihald / innsendingar möppu eða önnur skrá sem ekki er sjálfgefin index.php skjal. Reyndar er skjámyndin sem þú sérð frá vefsíðu viðskiptavinar míns áður en ég mælti með lagfæringunni. Kóðabrot til að slökkva á vafra í möppu:

# Slökkva á vefskoðun
Valkostir allir-Vísir

3. Leyfa aðeins valdar skrár frá wp-innihaldi

shutterstock_108312266

Eins og þú veist wp-innihald möppan inniheldur mest þemu, viðbætur og allt margmiðlunarupphal. Þú vilt örugglega ekki að fólk hafi aðgang að því án takmarkana. Auk þess að slökkva á vafra í möppum geturðu einnig hafnað aðgangi að öllum skráartegundum, vistað nokkrar. Í meginatriðum geturðu valið að opna skrár eins og JPG, PDF, DOCX, CSS, JS, osfrv. Og hafnað frá afganginum. Til að gera þetta skaltu líma þennan kóða í .htaccess skrána:

# Slökkva á aðgangi að öllum skráategundum nema eftirfarandi
Pöntun hafnað, leyfðu
Neita frá öllu

Leyfa frá öllu

Þú verður að búa til nýja .htaccess skrá með kóðanum og líma hana í wp-innihald möppu. Ekki setja þetta í grunnuppsetningarskrána – annars virkar það ekki. Þú getur líka bætt hvaða skráargerð sem er við listann með því að bæta við ‘|’ á eftir ‘rar’. Listinn hér að ofan inniheldur nauðsynlegar skrár – XML, CSS og JavaScript, algeng mynd- og skjalasnið og að lokum mest notuðu skjalasafnið..

4. Takmarka allan aðgang að wp-include

shutterstock_135573032

The wp-inniheldur möppu inniheldur aðeins þær skrár sem eru stranglega nauðsynlegar til að keyra kjarnaútgáfuna af WordPress – ein án viðbóta eða þema. Mundu að sjálfgefna þemað er enn í wp-innihald / þema Skrá. Þannig að enginn gestur (þ.m.t. þú) ætti að krefjast aðgangs að innihaldi wp-fela í sér möppu. Þú getur gert aðganginn óvirkan með eftirfarandi kóða kóða:

# Lokaðu wp-inniheldur möppu og skrár

Umrita vél á
RewriteBase /
RewriteRule ^ wp-admin / inniheldur / - [F, L]
RewriteRule! ^ Wp-include / - [S = 3]
RewriteRule ^ wp-include / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-include / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-include / theme-compat / - [F, L]

5. Leyfa aðeins valdar IP-tölur að fá aðgang wp-admin

shutterstock_140373169

The wp-admin möppan inniheldur skrárnar sem þarf til að keyra WordPress mælaborðið. Í flestum tilvikum þurfa gestir þínir ekki aðgang að stjórnborðinu í WordPress, nema þeir vilji skrá reikning. Góð öryggisráðstöfun er að gera aðeins nokkrum völdum IP-tölum kleift að fá aðgang að wp-admin möppu. Þú getur leyft IP-tölu fólks sem þarfnast aðgangs að WordPress mælaborðinu – ritstjórar, framlagsmenn og aðrir umsjónarmenn. Þessi kóðauppstreymi leyfir aðeins föstum IP-tölum aðgang að wp-admin möppu og neitar aðgangi að heiminum.

# Takmarkaðu innskráningar og admin með IP

röð neita, leyfa
neita frá öllu
leyfi frá 302.143.54.102
leyfi frá IP_ADDRESS_2

Gakktu úr skugga um að búa til nýja .htaccess skrá og líma hana í wp-admin möppuna en ekki grunnuppsetningarskrána. Ef það er hið síðarnefnda, þá mun enginn nema þú geta vafrað um síðuna þína – ekki einu sinni leitarvélar! Þú vilt örugglega ekki það. Nokkur fall af þessari ráðstöfun er sem hér segir:

  • Ef síða þín leyfir eða kynnir ný notendaskráning, það væri nær ómögulegt að fylgjast með fjölda notenda. Til dæmis hjá WPExplorer, ef þú vilt hala niður ógnvekjandi ókeypis þemunum þínum, þá verðurðu að skrá þig.
  • Fólk með kvik IP tölur (aðallega ADSL breiðbandsnotendur sem nota PPP eða PPPoE samskiptareglur) hafa IP-tölur sínar breytt, í hvert skipti sem þeir skrá sig út og skrá sig inn á ISP sinn. Vissulega væri það óhagkvæmt að fylgjast með öllum þessum IP-tölum og bæta þeim við htaccess skrána.
  • Hreyfanlegur breiðband: Hvort sem þú ert á 3G eða 4G, fer IP-tölu þín eftir núverandi farsímaturni sem þú ert tengdur við. Segðu að þú sért að ferðast – IP mun breytast stöðugt með hverjum kílómetra sem þú flytur frá uppruna. Aftur, næstum því ómögulegt að fylgjast með htaccess skránni.
  • Opinber Wi-Fi netkerfi: Að nota persónuskilríki þegar það er tengt við internetið með því að nota opinberan Wi-Fi netkerfi er stórt nei þar sem barn með örlítinn hugbúnað getur dregið úr sérhverjum staf sem þú slærð inn. Svo ekki sé minnst á, hver Wi-Fi netkerfi mun hafa einstakt IP-tölu.

Sem betur fer er hægt að bæta alla þessa galla (vista fyrsta) með VPN. Ef þú stillir VPN þinn á að tengjast aðeins með einu IP-tölu, þá geturðu bara bætt því við htaccess skrána, og öll vandamál þín verða leyst.

6. Verndaðu wp-config.php og .htaccess frá öllum

wordpress-ecommerce-öryggi-versla-ráð

The wp-config.php skjalið inniheldur næmustu aðgangsskilríki WordPress vefsvæðisins. Það inniheldur heiti gagnagrunnsins og aðgangsskírteini og ýmis önnur mikilvæg gögn, meðal annarra stillinga. Undir engum kringumstæðum viltu að aðrir skoði þessa skrá. Og auðvitað viltu slökkva á aðgangi almennings að upptökum alls þessa öryggis – .htaccess skjalið sjálft. Þú getur gert aðgang að óvirkan wp-config.php með þessum eftirfarandi kóða:

# Neitaðu aðgangi að wp-config.php skránni

röð leyfa, neita
neita frá öllu

Til að hafna aðgangi að öllum htaccess skrám (mundu að sumar kunna að vera í wp-admin og öðrum möppum), notaðu þennan kóða bút:

# Neita aðgangi að öllum .htaccess skrám

röð leyfa, neita
neita frá öllu
fullnægja öllum

7. Neitaðu myndtengingu

mynd-hotlinking

Einn svalasti .htaccess skráhakkur, þessi sendir efniskrapur sem keyra með skottið á milli fótanna. Þegar einhver notar mynd vefsins er bandbreiddin þín neytt og oftast er ekki einu sinni lögð áhersla á hana. Þessi kóðauppstreymi eyðir því vandamáli og sendir þessa mynd þegar hotlink greinist.

# Koma í veg fyrir sniðmát handrit myndar. Skiptu síðustu slóðinni út fyrir hvaða myndatengil sem þú vilt.
Umrita vél áfram
Umskrifa% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Virkja skyndiminni vafra

listi yfir vafra

Þetta .htaccess hakk er einnig þekkt sem skyndiminni skyndiminni og gerir kleift að ráðleggja valmöguleika vafra fyrir skyndiminni fyrir WordPress síðuna þína. Þú getur líka notað það í öðrum verkefnum – HTML síður osfrv.

# Setja upp skyndiminni vafrans

Rennur út Virkur On
Rennur útByType mynd / jpg "aðgangur 1 ár"
Rennur útByType mynd / jpeg "aðgangur 1 ár"
Rennur út myndartími / gif "aðgangur 1 ár"
Rennur útByType mynd / png "aðgangur 1 ár"
Rennur útByType texti / css "aðgangur 1 mánuður"
Rennur út umsókn um gerð / pdf „aðgangur 1 mánuður“
Rennur útByType texti / x-javascript "aðgangur 1 mánuður"
Rennur útByType forrit / x-shockwave-flash "aðgangur 1 mánuður"
Rennur út myndartákn / x-táknið „aðgangur 1 ár“
Rennur út Rofi "aðgangur 2 dagar"

9. Beina á viðhalds síðu

shutterstock_93288208

Þegar þú ert að flytja vefhýsi eða framkvæma eitthvert viðhaldsverkefni er alltaf mælt með því að búa til truflanir HTML „skjal til viðhalds“ til að upplýsa gesti þína um að vefsíðan gangi undir uppfærslu eða viðhaldsaðgerð. Búðu einfaldlega til viðhald.html skrá (eða önnur skráanafn) og settu hana inn í grunn WordPress uppsetningarskrána. Límdu eftirfarandi bút í .htaccess skrána. Þegar aðgerðinni er lokið, vertu viss um að eyða þessum orðum eða gera athugasemdir við þær til að fara aftur í heildaraðgerðina. Þú getur skrifað athugasemdir með því að bæta við „#“ í byrjun hverrar línu.

# Beina allri umferð yfir í maintenance.html skrá
Umrita vél áfram
Umskrifa% {REQUEST_URI}! / Viðhald.html$
Umskrifa% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Sérsniðnar villusíður

404 sniðmát

Þú getur líka .htaccess skrána til að stilla notendavænar sérsniðnar villusíður fyrir villur eins og 403, 404 og 500. Þegar þú hefur undirbúið villusíðuna þína – við skulum segja error.html skaltu hlaða henni upp í grunn uppsetningarskrá WordPress. Bættu síðan við eftirfarandi kóðaútgáfu við .htaccess skrána þína til að gera sérsniðna villusíðu virka:

# Sérsniðin villusíða fyrir villu 403, 404 og 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Niðurstaða:

Í dag höfum við lært af flottustu htaccess járnum til að styrkja WordPress síðuna þína. Ég legg til að þú prófir hverja einingu í einu á meðan þú tekur afrit af .htaccess skránni fyrir og eftir að prófa hverja einingu. Þetta er vegna þess að .htaccess skráin er mjög mikilvæg. „#“ Staf eða vantar „Gæti eyðilagt heiðarleika vefsins þíns. Ef þú nálgast WordPress stjórnborðið þitt oft á ferðinni er mælt með því að virkja ekki sértæka IP-tölu fyrir þig wp-admin möppu.

Yfir til þín – hvað tekur þú við þessari færslu? Telur þú að þetta sé þess virði að vandræði sé að breyta htaccess skránni? Veistu um betra öryggisábending? Við viljum gjarnan heyra frá þér.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map