Parhaat .htaccess-katkelmat WordPress-tietoturvan parantamiseksi

WordPress-tietoturva on yksi altistuneimmista tekijöistä aloittelevien bloggaajien keskuudessa. Valvomattomassa WordPress-asennuksessa on melko vähän potentiaalisia haavoittuvuuksia, jotka jätetään valvontaan. Suurin osa WordPress-asennusohjeista selittää nopean ja helpon tavan asentaa WordPress muutamassa minuutissa. Mutta he unohtavat muutaman tärkeän turvallisuustekijän. Esimerkiksi hakemistojen selaamista ja järjestelmänvalvojan käyttäjänimen käyttämistä pidetään vakavina tietoturvaaukkoina. Tänään katsomme 10 .htaccess-koodinpätkää, jotka auttavat parantamaan WordPress-blogin turvallisuutta. Katsotaanpa ennen kuin aloitamme, mikä on htaccess-tiedosto.


Mikä on .htaccess-tiedosto?

Htaccess-tiedosto on valinnainen määritystiedosto, jonka avulla Apache-verkkopalvelin voi tulkita kutakin hakemistoa varten. Voit tallentaa tiedostoon erilaisia ​​asetuksia, kuten: suojata hakemistolla salasanalla, estää IP-osoitteita, estää tiedoston tai kansion julkiselta käytöltä jne. Perinteisesti .htaccess-tiedosto on läsnä WordPressin perusasennushakemistossa. Se tallentaa pysyvän linkin rakenteen oletuksena.

KÄRKI: Varmista ennen opetusohjelman aloittamista, että varmuuskopioi nykyinen .htaccess-tiedosto (jos sellainen on) pilvitallennuspalvelussa, kuten Dropbox. Tämä on palautus viimeiseen tunnettuun toimivaan .htaccess-tiedostoon, jos tietty koodinpätkä rikkoo sivustosi. Aloitetaanpa.

1. Estä huonot robotit

huonot robotit

Yksi .htaccess-tiedoston parhaista käyttötavoista on sen kyky estää useita IP-osoitteita pääsemästä sivustoosi. Tämä on hyödyllinen, kun estetään tunnettuja roskapostittajia ja muita epäilyttävien tai haitallisten pääsyjen lähteitä. Koodi on:

# Estä yksi tai useampi IP-osoite.
# Korvaa IP_ADDRESS_ * IP: llä, jonka haluat estää


jotta sallia, kieltää
kieltää osoitteesta IP_ADDRESS_1
kieltää osoitteesta IP_ADDRESS_2
sallia kaikista

Missä IP_ADDRESS_1 on ensimmäinen IP, jonka haluat estää pääsyä sivustoosi. Voit lisätä niin monta IP-osoitetta kuin haluat. Riippumatta siitä, mitä käyttäjän edustajia (selaimia) 0Nämä IP-osoite käyttää, he eivät voi käyttää yhtä tiedostoa palvelimelta. Verkkopalvelin estää kaiken käytön automaattisesti.

2. Poista hakemistoselaaminen käytöstä

Wordpress htaccess hack poista hakemistoselaaminen käytöstä

Tämä on yksi WordPress-sivuston heikentyneistä turvallisuusvirheistä. Apache-verkkopalvelin mahdollistaa oletuksena hakemistojen selaamisen. Tämä tarkoittaa, että kaikki verkkopalvelimen juurihakemiston (jota joskus kutsutaan kotihakemistoksi) sisältämät tiedostot ja kansiot otetaan käyttöön ja vierailija voi käyttää niitä. Et halua sitä, koska et halua ihmisten selailevan median lähettämiäsi aiheita tai laajennustiedostojasi.

Jos valitsen satunnaisesti 10 henkilökohtaista tai yrityssivustoa, joissa on WordPress, 6-8 heistä ei ole hakemistoselaamista poissa käytöstä. Tämä mahdollistaa kukaan helposti nuhauttaa wp-content / lisäykset kansio tai muu hakemisto, jolla ei ole oletusasetusta index.php tiedosto. Itse asiassa kuvakaappaus on peräisin yhdeltä asiakkaani sivustolta, ennen kuin suosittelin korjausta. Koodinpätkä hakemistoselauksen poistamiseksi käytöstä:

# Poista hakemistoselaaminen käytöstä
Asetukset Kaikki -Indexit

3. Salli vain valitut tiedostot wp-sisällöstä

shutterstock_108312266

Kuten tiedät wp-content -kansio sisältää eniten teemoja, laajennuksia ja kaikki median lataukset. Et todellakaan halua, että ihmiset käyttävät sitä ilman rajoituksia. Hakemiston selauksen poistamisen lisäksi voit myös estää kaikkien tiedostotyyppien pääsyn, tallentamalla muutama. Pohjimmiltaan voit estää valikoivasti tiedostojen, kuten JPG, PDF, DOCX, CSS, JS, jne., Estämisen muilta osin. Liitä tämä koodinpätkä .htaccess-tiedostoasi:

# Poista käytöstä kaikki tiedostotyypit paitsi seuraavat
Tilaa kieltää, sallia
Kieltävät kaikki

Salli kaikista

Sinun on luotava uusi .htaccess-tiedosto koodilla ja liitä se wp-content kansio. Älä aseta tätä perusasennushakemistoon – muuten se ei toimi. Voit lisätä luetteloon myös minkä tahansa tiedostotyypin lisäämällä ‘|’ ‘rar’: n jälkeen. Yllä oleva luettelo sisältää tarvittavat tiedostot – XML, CSS ja JavaScript, yleiset kuva- ja dokumenttimuodot ja lopulta eniten käytetyt arkistomuodot.

4. Rajoita kaikki käyttöoikeudet wp-sisältää

shutterstock_135573032

wp-sisältyy kansio sisältää vain tiedostot, jotka ovat ehdottoman välttämättömiä WordPressin ydinversion suorittamiseen – yksi ilman mitään laajennuksia tai teemoja. Muista, että oletusteema on edelleen wp-content / theme hakemistoon. Siksi kukaan vierailija (mukaan lukien sinut) ei saa vaatia pääsyä sivuston sisältöön WP-sisältävät kansio. Voit estää pääsyn käytöstä seuraavalla koodinpätkällä:

# Estä wp-sisältää kansion ja tiedostot

RewriteEngine päällä
RewriteBase /
RewriteRule ^ wp-admin / sisältää / - [F, L]
RewriteRule! ^ Wp-sisältää / - [S = 3]
RewriteRule ^ wp-sisältää / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-sisältää / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-sisältyy / teema-compat / - [F, L]

5. Salli vain valittujen IP-osoitteiden pääsy wp-adminiin

shutterstock_140373169

wp-admin -kansio sisältää WordPress-hallintapaneelin suorittamiseen tarvittavat tiedostot. Useimmissa tapauksissa vierailijat eivät tarvitse pääsyä WordPress-hallintapaneeliin, elleivät he halua rekisteröidä tiliä. Hyvä turvatoimenpide on antaa vain harvoille valituille IP-osoitteille pääsy wp-admin kansio. Voit sallia WordPress-hallintapaneeliin pääsyä tarvitsevien ihmisten – toimittajien, avustajien ja muiden järjestelmänvalvojien IP-osoitteet. Tämä koodinpätkä sallii vain kiinteiden IP-osoitteiden pääsyn wp-admin kansio ja estää pääsyn muualle maailmaan.

# Rajoita kirjautuminen ja järjestelmänvalvojan IP-osoite

tilata kieltää, sallia
kieltää kaikki
anna 302.143.54.102
salli IP_ADDRESS_2

Varmista, että luot uuden .htaccess-tiedoston ja liitä se wp-admin-kansioon etkä perusasennushakemistoon. Jos se on viimeksi mainittu, kukaan paitsi sinä ei voi selata sivustoasi – edes hakukoneet! Et todellakaan halua sitä. Muutaman pudonnut tämä toimenpide on seuraava:

  • Jos sivustosi sallii tai mainostaa uuden käyttäjän rekisteröinti, käyttäjien määrää olisi lähes mahdotonta seurata. Esimerkiksi WPExplorerissa, jos haluat ladata mahtavia ilmaisia ​​teemoja, sinun on rekisteröidyttävä.
  • Ihmiset, joilla on dynaamiset IP-osoitteet (Useimmiten PPP- tai PPPoE-protokollia käyttävät ADSL-laajakaistakäyttäjät) muuttavat IP-osoitteitaan joka kerta, kun he kirjautuvat ulos ja kirjautuvat palveluntarjoajaan. Varmasti olisi epäkäytännöllistä seurata kaikkia näitä IP: itä ja lisätä niitä htaccess-tiedostoon.
  • Mobiililaajakaistan: Käytitkö 3G- tai 4G-yhteyttä, IP-osoitteesi riippuu nykyisestä solutornista, johon olet yhteydessä. Sano, että matkustat – IP-osoitteesi muuttuu jatkuvasti parin mailin päässä, joka muutat lähtöpaikasta. Jälleen, htaccess-tiedoston seuraaminen on lähes mahdotonta.
  • Julkiset Wi-Fi-yhteyspisteet: Valtakirjojen käyttäminen, kun Internet-yhteys on muodostettu julkista Wi-Fi-yhteyspistettä käyttämällä, on suuri ei-ei, koska lapsi, jolla on pieni ohjelmisto, voi poimia kaikki kirjoittamasi merkit. Puhumattakaan, jokaisella Wi-Fi-yhteyspisteellä on yksilöivä IP-osoite.

Onneksi kaikki nämä haitat (paitsi ensimmäinen) voidaan korjata käyttämällä VPN: ää. Jos määrität VPN: n muodostamaan yhteyden vain yhdellä IP-osoitteella, voit lisätä sen vain htaccess-tiedostoosi, ja kaikki ongelmat ratkaistaan..

6. Suojaa wp-config.php ja .htaccess kaikilta

WordPress-verkkokaupan tietoturvaan ostos-vinkit

wp-config.php tiedosto sisältää WordPress-sivustosi arkaluontoisimmat käyttöoikeustiedot. Se sisältää tietokannan nimen ja käyttöoikeustiedot ja useita muita tärkeitä tietoja muun muassa. Älä missään tapauksessa halua muiden ihmisten tutkivan tätä tiedostoa. Ja tietysti haluat estää julkisen pääsyn kaiken tämän tietoturvan lähteeseen – .htaccess tiedosto itse. Voit estää pääsyn wp-config.php tällä seuraavalla koodilla:

# Estä pääsy wp-config.php-tiedostoon

jotta sallia, kieltää
kieltää kaikki

Voit estää pääsyn kaikkiin htaccess-tiedostoihin (muista, että jotkut saattavat sijaita wp-adminissa ja muissa kansioissa), käyttämällä tätä koodinpätkää:

# Estä pääsy kaikkiin .htaccess-tiedostoihin

jotta sallia, kieltää
kieltää kaikki
tyydyttää kaikki

7. Estä kuvan pikayhteys

image-hotlinking

Yksi hienoimmista .htaccess-tiedostohakereista, tämä lähettää sisältökaapureita, jotka juoksevat hännän kanssa jalkojensa välillä. Kun joku käyttää sivustosi kuvaa, kaistanleveys kulutetaan ja suurimman osan ajasta et edes hyvitä sitä. Tämä koodinpätkä eliminoi ongelman ja lähettää tämän kuvan, kun hotlink havaitaan.

# Estä kuvan hotlinking-skripti. Korvaa viimeinen URL millä tahansa haluamallasi kuvalinkillä.
RewriteEngine päälle
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Sinun verkkosivusto.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Ota selaimen välimuisti käyttöön

luettelo web-selaimista

Tämä .htaccess-hakkerointi, joka tunnetaan myös nimellä asiakaspuolen välimuisti, ottaa käyttöön suositellut selaimen välimuistivaihtoehdot WordPress-sivustollesi. Voit käyttää sitä myös muissa projekteissa – HTML-sivustoissa jne.

# Asenna selaimen välimuisti

Viimeinen voimassa
ExpiresByType image / jpg "käyttöoikeus 1 vuosi"
ExpiresByType image / jpeg "käyttöoikeus 1 vuosi"
ExpiresByType image / gif "käyttöoikeus 1 vuosi"
ExpiresByType image / png "käyttöoikeus 1 vuosi"
ExpiresByType text / css "käyttöoikeus 1 kuukausi"
ExpiresByType application / pdf "pääsy 1 kuukausi"
ExpiresByType text / x-javascript "access 1 month"
ExpiresByType-sovellus / x-shockwave-flash "käyttö 1 kuukausi"
ExpiresByType image / x-icon "käyttö 1 vuosi"
ExpiresDefault "käyttöoikeus 2 päivää"

9. Siirrä ylläpito-sivulle

shutterstock_93288208

Kun siirrät verkkosivuja tai suoritat joitain ylläpitotehtäviä, on aina suositeltavaa luoda staattinen “ylläpitoa varten” HTML-tiedosto, joka ilmoittaa kävijöillesi siitä, että verkkosivustoa päivitetään tai ylläpidetään. Luo vain maintenance.html-tiedosto (tai mikä tahansa muu tiedostonimi) ja lähetä se WordPressin perusasennushakemistoon. Liitä seuraava katkelma .htaccess-tiedostoon. Kun toimenpide on ohi, muista poistaa tai kommentoida nämä rivit palataksesi takaisin yleiseen toimintaan. Voit kommentoida lisäämällä ‘#’ kunkin rivin alkuun.

# Ohjaa koko liikenne ylläpito.html-tiedostoon
RewriteEngine päälle
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ / Maintenance.html [R = 302, L] 

10. Mukautetut virhesivut

404-malli

Voit myös .htaccess-tiedoston avulla määrittää käyttäjäystävälliset mukautetut virhesivut virheille, kuten 403, 404 ja 500. Kun olet valmistellut virhesivusi – sanotaan esimerkiksi error.html, lataa se WordPressin perusasennushakemistoon. Lisää sitten seuraava koodinpätkä .htaccess-tiedostoosi salliaksesi mukautetun virhesivun:

# Mukautettu virhesivu virheille 403, 404 ja 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

johtopäätös:

Tänään olemme oppineet joitain hienoimmista htaccess-hakkereista WordPress-sivustosi vahvistamiseksi. Ehdotan, että kokeilet kutakin moduulia yksi kerrallaan ottaen varmuuskopio .htaccess-tiedostosta ennen kunkin moduulin testaamista ja sen jälkeen. Tämä johtuu siitä, että .htaccess-tiedosto on erittäin kriittinen. Puuttuva # -merkki tai virheellisesti sijoitettu“Voi tuhota sivustosi eheyden. Jos käytät WordPress-hallintapaneelia usein tien päällä, on suositeltavaa olla ottamatta valikoivia IP-osoitteita käyttöön wp-admin kansio.

Sinulle – mikä on sinun vastuu tästä viestistä? Luuletko tämän olevan htaccess-tiedoston muokkaamisen vaivan arvoinen? Tiedätkö paremman turvallisuusvinkin? Haluaisimme kuulla sinusta.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map