Bedste .htaccess-kodestykker til forbedring af WordPress-sikkerhed

WordPress-sikkerhed er en af ​​de mest underminerede faktorer blandt begynderbloggere. I en WordPress-installation, der ikke overvåges, er der en hel del potentielle sårbarheder, der efterlades uden opsyn. De fleste af WordPress-installationsvejledningerne forklarer en hurtig og nem måde at implementere WordPress på få minutter. Men de går glip af et par vigtige sikkerhedsfaktorer. For eksempel betragtes katalogsøgning og brug af ‘admin’-brugernavnet som alvorlige sikkerhedsløjfer. I dag skal vi se på 10 .htaccess-kodestykker, som vil hjælpe med at forbedre din WordPress-blogs sikkerhed. Før vi kommer i gang, lad os se hurtigt på, hvad der er htaccess-filen.


Hvad er .htaccess-fil?

En htaccess-fil er en valgfri konfigurationsfil, som Apache-webserveren kan fortolke for hvert bibliotek. Du kan gemme forskellige indstillinger i denne fil, såsom: adgangskodebeskytte et bibliotek, blokere IP’er, blokere en fil eller mappe mod offentlig adgang osv. Traditionelt findes .htaccess-filen i det basale WordPress-installationsmappe. Det gemmer permalink-strukturen som standard.

TIP: Inden du begynder med tutorial, skal du sørge for at sikkerhedskopiere den aktuelle .htaccess-fil (hvis den findes) i en cloud-lagringstjeneste som Dropbox. Dette er for at rulle tilbage til den sidst kendte, fungerende .htaccess-fil, hvis et bestemt kodestykker bryder dit websted. Lad os begynde.

1. Bloker dårlige bots

dårlige bots

En af de bedste anvendelser af .htaccess-filen er dens evne til at nægte flere IP-adresser fra at få adgang til dit websted. Dette er nyttigt, når du blokerer kendte spammere og andre oprindelser af mistænkelig eller ondsindet adgang. Koden er:

# Bloker en eller flere IP-adresser.
# Udskift IP_ADDRESS_ * med den IP, du vil blokere


ordre tillad, nægt
afvis fra IP_ADDRESS_1
afvis fra IP_ADDRESS_2
tilladelse fra alle

Hvor IP_ADDRESS_1 er den første IP, du vil forhindre i at få adgang til dit websted. Du kan tilføje så mange IP’er, du ønsker. Uanset hvilke brugeragenter (browsere) 0 disse IP-adresser bruger, vil de ikke kunne få adgang til en enkelt fil fra din server. Webserveren nægter automatisk al adgang.

2. Deaktiver browsersøgning

wordpress htaccess hak deaktivere browsing af kataloger

Dette er en af ​​de mest underminerede sikkerhedsfejl på et WordPress-sted. Som standard tillader Apache-webserveren katalogsøgning. Dette betyder, at alle filer og mapper inde i rodkataloget (sommetider kaldes hjemmekataloget) på webserveren er optaget og tilgængeligt af en besøgende. Det ønsker du ikke, fordi du ikke ønsker, at folk gennemser dine medie-uploads eller dine tema- eller plugin-filer.

Hvis jeg tilfældigt vælger 10 personlige eller forretningswebsteder, der kører WordPress, vil 6-8 af dem ikke have browservirksomhed deaktiveret. Dette tillader nogen som helst at let snuse rundt om wp-content / uploads mappe eller andet bibliotek, der ikke har standard index.php fil. Faktisk er det skærmbillede, du ser, fra et af min klients websted, før jeg anbefalede rettelsen. Kodestykker for at deaktivere katalogsøgning:

# Deaktiver browsersøgning
Valgmuligheder alle -indekser

3. Tillad kun valgte filer fra wp-indhold

shutterstock_108312266

Som du kender wp-indhold mappen indeholder mest dine temaer, plugins og alle medie uploads. Du ønsker bestemt ikke, at folk skal have adgang til det uden begrænsninger. Ud over at deaktivere katalogsøgning kan du også nægte adgang til alle filtyper og gemme nogle få. I bund og grund kan du selektivt fjerne blokering af filer som JPG, PDF, DOCX, CSS, JS osv. Og afvise fra resten. For at gøre dette, indsæt dette kodestykker i din .htaccess-fil:

# Deaktiver adgang til alle filtyper undtagen følgende
Bestil afvis, tillad
Afvis fra alle

Tillad fra alle

Du skal oprette en ny .htaccess-fil med koden og indsætte den i wp-indhold folder. Placer ikke dette i baseenhedsmappen – ellers fungerer det ikke. Du kan også tilføje en hvilken som helst filtype til listen ved at tilføje en ‘|’ efter ‘rar’. Ovenstående liste indeholder de nødvendige filer – XML, CSS og JavaScript, fælles billed- og dokumentformater og til sidst de mest anvendte arkivformater.

4. Begræns al adgang til wp-inkluderer

shutterstock_135573032

Det wp-inkluderer mappe indeholder kun de filer, der er strengt nødvendigt for at køre kerneversionen af ​​WordPress – en uden plugins eller temaer. Husk, at standardtemaet stadig findes i wp-content / tema vejviser. Ingen besøgende (inklusive dig) skal således kræve adgang til indholdet af wp-omfatter folder. Du kan deaktivere adgang ved hjælp af dette følgende kodestykket:

# Bloker wp-inkluderer mappe og filer

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / inkluderer / - [F, L]
RewriteRule! ^ Wp-inkluderer / - [S = 3]
RewriteRule ^ wp-inkluderer / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-inkluderer / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-inkluderer / tema-kompatibel / - [F, L]

5. Tillad kun valgte IP-adresser at få adgang til wp-admin

shutterstock_140373169

Det wp-admin mappen indeholder de filer, der kræves for at køre WordPress-dashboard. I de fleste tilfælde behøver dine besøgende ikke adgang til WordPress-betjeningspanelet, medmindre de vil registrere en konto. En god sikkerhedsforanstaltning er kun at give nogle få valgte IP-adresser adgang til wp-admin folder. Du kan tillade IP’erne til de mennesker, der har brug for adgang til WordPress-instrumentbrættet – redaktører, bidragydere og andre administratorer. Dette kodestykke giver kun faste IP’er adgang til wp-admin mappe og nægter adgang til resten af ​​verden.

# Begræns login og admin via IP

ordre afvis, tillad
benæg fra alle
tillad fra 302.143.54.102
tillad fra IP_ADDRESS_2

Sørg for, at du opretter en ny .htaccess-fil og indsætter den i wp-admin-mappen og ikke i basisinstallationsmappen. Hvis det er sidstnævnte, er det ingen, undtagen at du kan gennemse dit websted – ikke engang søgemaskiner! Det ønsker du bestemt ikke. Et par underfald af denne foranstaltning er som følger:

  • Hvis dit websted tillader eller promoverer ny brugerregistrering, det ville være næsten umuligt at holde styr på antallet af brugere. For eksempel på WPExplorer, hvis du vil downloade vores fantastiske gratis temaer, skal du registrere dig.
  • Mennesker med dynamiske IP-adresser (for det meste ADSL-bredbåndsbrugere, der bruger PPP- eller PPPoE-protokoller), har deres IP’er ændret sig, hver gang de logger ud og logger ind på deres internetudbyder. Bestemt ville det være upraktisk at holde styr på alle disse IP’er og tilføje dem til htaccess-filen.
  • Mobilt bredbånd: Uanset om du er på 3G eller 4G, afhænger din IP-adresse af det aktuelle celtårn, som du har forbindelse til. Lad os sige, at du rejser – din IP ændres konstant med hver kilometer, du flytter fra oprindelsen. Igen er det næsten umuligt at holde styr på htaccess-filen.
  • Offentlige Wi-Fi hotspots: Brug af legitimationsoplysninger, når der er forbindelse til Internettet ved hjælp af et offentligt Wi-Fi-hotspot, er et stort nej, da et barn med en lille software kan udtrække enhver karakter, du skriver. For ikke at nævne vil hvert Wi-Fi-hotspot have en unik IP-adresse.

Heldigvis kan alle disse ulemper (gem den første) rettes ved hjælp af en VPN. Hvis du indstiller din VPN til at oprette forbindelse ved hjælp af kun en enkelt IP-adresse, kan du bare tilføje den til din htaccess-fil, og alle dine problemer vil blive løst.

6. Beskyt wp-config.php og .htaccess fra alle

wordpress-ecommerce-security-shopping-tips

Det wp-config.php filen indeholder de mest følsomme adgangsoplysninger på dit WordPress-sted. Det indeholder databasens navn og adgangsoplysninger og forskellige andre kritiske data, blandt andre indstillinger. Under ingen omstændigheder vil du have andre mennesker, der undersøger denne fil. Og selvfølgelig vil du deaktivere offentlig adgang til kilden til al denne sikkerhed – .htaccess fil selv. Du kan deaktivere adgang til wp-config.php med denne følgende kode:

# Nægt adgang til filen wp-config.php

ordre tillad, nægt
benæg fra alle

For at nægte adgang til alle htaccess-filer (husk, at nogle kan opholde sig i wp-admin og andre mapper), skal du bruge dette kodestykket:

# Nægt adgang til alle .htaccess-filer

ordre tillad, nægt
benæg fra alle
tilfredsstille alle

7. Nægt billed hotlinking

billede-hotlinking

En af de fedeste .htaccess-filer hacks, denne sender indholdsskrabere, der kører med halen mellem deres ben. Når nogen bruger dit websteds image, forbruges din båndbredde og for det meste krediteres du ikke engang for det. Dette kodestykke fjerner problemet og sender dette billede, når der opdages en hotlink.

# Forhindr hotlink-script til billede. Erstat den sidste URL med ethvert billedlink, du ønsker.
RewriteEngine on
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Aktivér browsercache

liste over webbrowsere

Dette kendt som caching på klientsiden er dette .htaccess-hack med aktivering af de anbefalede indstillinger for browser-cache til dit WordPress-sted. Du kan også bruge det i andre projekter – HTML-websteder osv.

# Opsætning af cache-browser

Udløber Aktiv på
UdløberByType-billede / jpg "adgang 1 år"
UdløberByType-billede / jpeg "adgang 1 år"
UdløberBypype-billede / gif "adgang 1 år"
ExpiresByType image / png "adgang 1 år"
UdløberByType-tekst / css "adgang 1 måned"
ExpiresByType ansøgning / pdf "adgang 1 måned"
UdløberByType-tekst / x-javascript "adgang 1 måned"
ExpiresByType-applikation / x-shockwave-flash "adgang 1 måned"
UdløberByType-billede / x-ikonet "adgang 1 år"
Udløber Defekt "adgang 2 dage"

9. Omdiriger til en vedligeholdelsesside

shutterstock_93288208

Når du migrerer webhosts eller udfører en eller anden vedligeholdelsesopgave, anbefales det altid at oprette en statisk HTML-fil “down for maintenance” for at informere dine besøgende om, at webstedet gennemgår en opgradering eller vedligeholdelse. Opret blot en vedligeholdelse.html-fil (eller et hvilket som helst andet filnavn) og upload den til det basale WordPress-installationsmappe. Indsæt følgende uddrag i din .htaccess-fil. Når operationen er afsluttet, skal du sørge for at slette eller kommentere disse linjer for at gå tilbage til den samlede drift. Du kan kommentere ved at tilføje et ‘#’ i begyndelsen af ​​hver linje.

# Omdiriger al trafik til filen maintenance.html
RewriteEngine on
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Tilpassede fejlsider

404 skabelon

Du kan også .htaccess-filen til at konfigurere brugervenlige brugerdefinerede fejlsider for fejl såsom 403, 404 og 500. Når du har forberedt din fejlside – lad os sige error.html, upload den til din basale WordPress-installationsmappe. Føj derefter følgende kodestykker til din .htaccess-fil for at aktivere den tilpassede fejlside:

# Brugerdefineret fejlside til fejl 403, 404 og 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Konklusion:

I dag har vi lært nogle af de fedeste htaccess hacks til at styrke dit WordPress-sted. Jeg vil anbefale dig at prøve hvert modul en efter en, mens du tager en sikkerhedskopi af .htaccess-filen før og efter test af hvert modul. Dette er fordi .htaccess-filen er meget kritisk. Manglende ‘#’ karakter eller forkert placeret ‘‘Kunne ødelægge dit websteds integritet. Hvis du ofte åbner dit WordPress-dashboard under farten, anbefales det ikke at aktivere selektive IP’er til din wp-admin folder.

Over til dig – hvad tager du med dette indlæg? Tror du, at dette er umagen værd ved at redigere htaccess-filen? Kender du til et bedre sikkerhedstips? Vi vil meget gerne høre fra dig.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map