Bästa .htaccess-utdrag för att förbättra WordPress-säkerheten

WordPress-säkerhet är en av de mest underminerade faktorerna bland nybörjare. I en WordPress-installation utan övervakning finns det en hel del potentiella sårbarheter som lämnas obevakade. De flesta av WordPress-installationshandböckerna förklarar ett snabbt och enkelt sätt att distribuera WordPress på några minuter. Men de missar några viktiga säkerhetsfaktorer. Exempelvis betraktas katalogsökning och användarnamnet ‘admin’ som allvarliga säkerhetsslingor. Idag kommer vi att titta på 10. Kodkodavsnitt som hjälper dig att förbättra din WordPress-bloggs säkerhet. Låt oss ta en snabb titt på vad som är htaccess-filen innan vi börjar.


Vad är den .htaccess-fil?

En htaccess-fil är en valfri konfigurationsfil för Apache-webbservern att tolka, för varje katalog. Du kan lagra olika inställningar i den filen, till exempel: lösenordsskydda en katalog, blockera IP: er, blockera en fil eller mapp från allmän tillgång, osv. Traditionellt sett finns .htaccess-filen i baskatalogen för WordPress. Den lagrar permalänkstrukturen som standard.

DRICKS: Innan du börjar med självstudien, se till att säkerhetskopiera den nuvarande .htaccess-filen (om den finns) i en molnlagringstjänst som Dropbox. Detta är för att rulla tillbaka till den senaste kända fungerande .htaccess-filen, om ett visst kodavsnitt bryter din webbplats. Låt oss börja.

1. Blockera dåliga bots

dåliga bots

En av de bästa användningarna av .htaccess-filen är dess förmåga att förneka flera IP-adresser från att komma åt din webbplats. Detta är användbart när du blockerar kända spammare och andra ursprung till misstänkt eller skadlig åtkomst. Koden är:

# Blockera en eller flera IP-adresser.
# Byt ut IP_ADDRESS_ * med den IP-kod du vill blockera


beställ tillåta, förneka
avvisa från IP_ADDRESS_1
avvisa från IP_ADDRESS_2
tillåta från alla

Där IP_ADDRESS_1 är den första IP som du vill förhindra att komma åt din webbplats. Du kan lägga till så många IP-adresser du vill ha. Oavsett vilka användaragenter (webbläsare) som dessa IP-adresser använder, kommer de inte att kunna komma åt en enda fil från din server. Webbservern avvisar automatiskt all åtkomst.

2. Inaktivera katalogsökning

wordpress htaccess hack inaktivera katalogsökning

Detta är en av de mest underminerade säkerhetsfelarna på en WordPress-webbplats. Som standard aktiverar Apache-webbservern katalogsökning. Detta innebär att alla filer och mappar i rotkatalogen (ibland kallad hemmakatalogen) på webbservern är listade och tillgängliga av en besökare. Du vill inte ha det för att du inte vill att personer som bläddrar i dina mediauppladdningar eller dina tema- eller plugin-filer.

Om jag slumpmässigt väljer 10 personliga eller affärswebbplatser som kör WordPress, har 6-8 av dem inte katalogsökning inaktiverad. Det här tillåter någon att lätt snusa runt wp-content / uppladdningar mapp eller någon annan katalog som inte har standard index.php fil. Faktum är att skärmdumpen du ser kommer från en av min klients webbplats innan jag rekommenderade fixen. Kodavsnitt för att inaktivera katalogsökning:

# Inaktivera katalogsökning
Alternativ Alla -index

3. Tillåt endast valda filer från wp-innehåll

shutterstock_108312266

Som du känner till wp-innehåll mappen innehåller de flesta dina teman, plugins och alla mediauppladdningar. Du vill verkligen inte att folk ska komma åt det utan begränsningar. Förutom att inaktivera katalogsökning kan du också neka åtkomst till alla filtyper, spara några. I huvudsak kan du selektivt ta bort blockering av filer som JPG, PDF, DOCX, CSS, JS, etc. och förneka från resten. Gör detta genom att klistra in det här kodavsnittet i din .htaccess-fil:

# Inaktivera åtkomst till alla filtyper utom följande
Beställ neka, tillåt
Förneka allt

Tillåt från alla

Du måste skapa en ny .htaccess-fil med koden och klistra in den i wp-innehåll mapp. Placera inte detta i basinstallationskatalogen – annars fungerar det inte. Du kan också lägga till valfri filtyp i listan genom att lägga till en ‘|’ efter ‘rar’. Listan ovan innehåller nödvändiga filer – XML, CSS och JavaScript, vanliga bild- och dokumentformat och slutligen de mest använda arkivformaten.

4. Begränsa all åtkomst till wp-inkluderar

shutterstock_135573032

De wp-inkluderar mappen innehåller endast de filer som är absolut nödvändiga för att köra kärnversionen av WordPress – en utan plugins eller teman. Kom ihåg att standardtemaet fortfarande finns i wp-innehåll / tema katalogen. Därför bör ingen besökare (inklusive dig) kräva tillgång till innehållet i wp-inkluderar mapp. Du kan inaktivera åtkomst med följande kodavsnitt:

# Blockera wp-innehåller mapp och filer

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / inkluderar / - [F, L]
RewriteRule! ^ Wp-inkluderar / - [S = 3]
RewriteRule ^ wp-inkluderar / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-include / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-include / theme-compat / - [F, L]

5. Tillåt endast valda IP-adresser att få åtkomst till wp-admin

shutterstock_140373169

De wp-admin mappen innehåller de filer som krävs för att köra WordPress-instrumentpanelen. I de flesta fall behöver dina besökare inte tillgång till WordPress-instrumentpanelen, såvida de inte vill registrera ett konto. En bra säkerhetsåtgärd är att bara några få utvalda IP-adresser ska få åtkomst till wp-admin mapp. Du kan tillåta IP: er för de människor som behöver tillgång till WordPress-instrumentpanelen – redaktörer, bidragsgivare och andra administratörer. Det här kodavsnittet tillåter endast fasta IP: er att komma åt wp-admin och nekar åtkomst till resten av världen.

# Begränsa inloggningar och admin via IP

beställ neka, tillåt
förneka från alla
tillåt från 302.143.54.102
tillåt från IP_ADDRESS_2

Se till att du skapar en ny .htaccess-fil och klistra in den i wp-admin-mappen och inte i basinstallationskatalogen. Om det är det senare kommer ingen utom du att kunna surfa på din webbplats – inte ens sökmotorer! Du vill verkligen inte ha det. Ett par fall av denna åtgärd är följande:

  • Om din webbplats tillåter eller marknadsför ny användarregistrering, det skulle vara nästan omöjligt att hålla reda på antalet användare. Till exempel på WPExplorer, om du vill ladda ner våra fantastiska gratis teman, måste du registrera dig.
  • Personer med dynamiska IP-adresser (mestadels ADSL-bredbandsanvändare som använder PPP- eller PPPoE-protokoll) har sina IP-adresser ändrats, varje gång de loggar ut och loggar in på sin ISP. Visst skulle det vara opraktiskt att hålla reda på alla dessa IP-adresser och lägga till dem i htaccess-filen.
  • Mobilt bredband: Oavsett om du är på 3G eller 4G beror din IP-adress på det nuvarande celltornet du har anslutit till. Säg att du reser – din IP kommer att ständigt förändras med varje kilometer som du flyttar från ursprunget. Återigen är det nästan omöjligt att hålla reda på htaccess-filen.
  • Offentliga Wi-Fi-hotspots: Att använda referenser när du är ansluten till Internet med en offentlig Wi-Fi-hotspot är ett stort nej, eftersom ett barn med en liten programvara kan extrahera alla tecken du skriver. För att inte tala, varje Wi-Fi-hotspot har en unik IP-adress.

Tack och lov kan alla dessa nackdelar (spara den första) korrigeras med hjälp av en VPN. Om du ställer in ditt VPN för att ansluta med bara en enda IP-adress kan du bara lägga till den i din htaccess-fil, och alla dina problem kommer att lösas.

6. Skydda wp-config.php och .htaccess från alla

wordpress-e-handel-security-shoppingtips

De wp-config.php filen innehåller de mest känsliga åtkomstinformationen på din WordPress-webbplats. Den innehåller databasnamn och åtkomstuppgifter och olika andra kritiska data, bland andra inställningar. Under inga omständigheter vill du att andra ska undersöka den här filen. Och naturligtvis vill du inaktivera allmänhetens tillgång till källan till all denna säkerhet – .htaccess fil själv. Du kan inaktivera åtkomst till wp-config.php med följande kod:

# Neka åtkomst till filen wp-config.php

beställ tillåta, förneka
förneka från alla

Använd det här kodavsnittet för att neka åtkomst till alla htaccess-filer (kom ihåg att vissa kan finnas i wp-admin och andra mappar):

# Neka åtkomst till alla .htaccess-filer

beställ tillåta, förneka
förneka från alla
tillfredsställa alla

7. Neka Image Hotlinking

bild-hotlinking

En av de coolaste .htaccess-filhackarna, den här skickar innehållsskrapor som kör med svansen mellan benen. När någon använder din webbplats bild konsumeras din bandbredd och för det mesta krediteras du inte ens den. Det här kodavsnittet eliminerar det problemet och skickar den här bilden när en hotlink upptäcks.

# Förhindra hotlinking-skript för bild. Byt ut den senaste URL: n med vilken bildlänk du vill ha.
RewriteEngine on
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Aktivera webbläsarcache

lista över webbläsare

Också känt som klientsidan caching, detta .htaccess-hack med aktiverar de rekommenderade webbläsarens cachningsalternativ för din WordPress-webbplats. Du kan också använda det i andra projekt – HTML-webbplatser osv.

# Konfigurera webbläsarens cache

ExpiresActive On
ExpiresByType image / jpg "åtkomst 1 år"
ExpiresByType image / jpeg "access 1 year"
ExpiresByType-bild / gif "åtkomst 1 år"
ExpiresByType image / png "åtkomst 1 år"
ExpiresByType text / css "åtkomst 1 månad"
ExpiresByType-applikation / pdf "åtkomst 1 månad"
ExpiresByType text / x-javascript "åtkomst 1 månad"
ExpiresByType-applikation / x-shockwave-flash "åtkomst 1 månad"
ExpiresByType image / x-icon "åtkomst 1 år"
Utgår Defekt "åtkomst 2 dagar"

9. Omdirigera till en underhållssida

shutterstock_93288208

När du migrerar webbhotell eller utför någon underhållsuppgift, rekommenderas det alltid att skapa en statisk HTML-fil “down for maintenance” för att informera dina besökare om att webbplatsen genomgår en uppgraderings- eller underhållsoperation. Skapa helt enkelt en maintenance.html-fil (eller något annat filnamn) och ladda upp den till baskatalogen för WordPress. Klistra in följande utdrag i din .htaccess-fil. När åtgärden är över, se till att radera eller kommentera dessa rader för att gå tillbaka till övergripande operation. Du kan kommentera genom att lägga till ett ‘#’ i början av varje rad.

# Omdirigera all trafik till filen maintenance.html
RewriteEngine on
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Anpassade felsidor

404 mall

Du kan också .htaccess-filen för att konfigurera användarvänliga anpassade felsidor för fel som 403, 404 och 500. När du har förberett din felsida – låt oss säga error.html, ladda upp den till din baskatalog för WordPress-installation. Lägg sedan till följande kodavsnitt i din .htaccess-fil för att aktivera den anpassade felsidan:

# Anpassad felsida för fel 403, 404 och 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Slutsats:

Idag har vi lärt oss några av de coolaste htaccess-hackarna för att stärka din WordPress-webbplats. Jag föreslår att du testar varje modul en efter en medan du tar en säkerhetskopia av .htaccess-filen före och efter testning av varje modul. Detta beror på att .htaccess-filen är mycket kritisk. Ett “#” -karaktär saknas eller felaktig ““Kan förstöra din webbplats integritet. Om du öppnar din WordPress-instrumentpanel ofta när du är på språng, rekommenderas det att du inte aktiverar selektiva IP-adresser till din wp-admin mapp.

Över dig – vad tar du med det här inlägget? Tror du att det här är värt besväret att redigera htaccess-filen? Känner du till ett bättre säkerhetstips? Vi skulle älska att höra från dig.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map