Geriausi .htaccess fragmentai, skirti pagerinti „WordPress“ saugumą

„WordPress“ saugumas yra vienas iš labiausiai neigiamų veiksnių pradedančiųjų tinklaraštininkų tarpe. Neprižiūrimoje „WordPress“ diegimo programoje yra nemažai galimų pažeidžiamumų, kurie paliekami be priežiūros. Daugelyje „WordPress“ diegimo vadovėlių paaiškinamas greitas ir lengvas būdas įdiegti „WordPress“ per kelias minutes. Tačiau jie praleidžia keletą svarbių saugumo veiksnių. Pvz., Katalogų naršymas ir „admin“ vartotojo vardo naudojimas yra laikomi rimtais saugumo trūkumais. Šiandien apžvelgsime 10 .htaccess kodo fragmentų, kurie padės pagerinti jūsų „WordPress“ tinklaraščio saugumą. Prieš pradėdami, trumpai apžvelkime, kas yra „htaccess“ failas.


Kas yra .htaccess failas?

„Htaccess“ failas yra pasirenkamas kiekvienos katalogo „Apache“ žiniatinklio serverio konfigūracijos failas, skirtas aiškinti. Tame faile galite saugoti įvairius parametrus, tokius kaip: slaptažodžiu apsaugokite katalogą, blokuokite IP, blokuokite failą ar aplanką nuo viešos prieigos ir kt. Paprastai .htaccess failas yra pagrindiniame „WordPress“ diegimo kataloge. Pagal numatytuosius nustatymus ji saugo nuolatinių nuorodų struktūrą.

PATARIMAS: Prieš pradėdami su mokymo programa, būtinai sukurkite dabartinio .htaccess failo (jei jo yra) atsarginę kopiją saugyklų debesyje paslaugoje, pavyzdžiui, „Dropbox“. Tai reikalinga grįžti prie paskutinio žinomo veikiančio .htaccess failo, jei tam tikras kodo fragmentas sulaužys jūsų svetainę. Pradėkime.

1. Blokuokite blogus robotus

blogi botai

Vienas iš geriausių .htaccess failo panaudojimo būdų yra galimybė neleisti keliems IP adresams patekti į jūsų svetainę. Tai naudinga užblokuojant žinomus šlamšto platintojus ir kitas įtartinos ar kenkėjiškos prieigos priežastis. Kodas yra:

# Užblokuokite vieną ar daugiau IP adresų.
# Pakeiskite IP_ADDRESS_ * IP, kurį norite blokuoti


įsakymas leisti, paneigti
paneigti iš IP_ADDRESS_1
paneigti iš IP_ADDRESS_2
leisti iš visų

Kur IP_ADDRESS_1 yra pirmasis IP, kuriam norite neleisti patekti į jūsų svetainę. Galite pridėti tiek IP, kiek norite. Nesvarbu, kokie vartotojų agentai (naršyklės) 0 naudoja šiuos IP adresus, jie negalės pasiekti vieno failo iš jūsų serverio. Žiniatinklio serveris automatiškai uždraus prieigą.

2. Išjunkite katalogų naršymą

hack išjungti katalogų naršymą

Tai yra viena iš labiausiai pažeistų saugumo klaidų „WordPress“ svetainėje. Pagal numatytuosius nustatymus „Apache“ žiniatinklio serveris įgalina katalogų naršymą. Tai reiškia, kad visi failai ir aplankai, esantys žiniatinklio serverio šakniniame kataloge (kartais vadinamame namų direktorija), yra įtraukiami į lankytojų sąrašą ir yra prieinami. Jūs to nenorite, nes nenorite, kad žmonės naršytų jūsų įkeltus daugialypės terpės failus arba jūsų temos ar papildinių failus.

Jei atsitiktinai pasirinksiu 10 asmeninių ar verslo svetainių, kuriose veikia „WordPress“, 6-8 iš jų nebus išjungtas katalogų naršymas. Tai leidžia bet kas lengvai uostyti wp-turinys / įkėlimai aplanką ar bet kurį kitą katalogą, kuriame nėra numatytųjų indeksas.php byla. Tiesą sakant, ekrano kopija, kurią matote, yra iš vienos mano kliento svetainės, prieš man rekomenduodant taisymą. Kodo fragmentas, skirtas išjungti katalogų naršymą:

# Išjungti katalogų naršymą
Parinktys Visos -Indexes

3. Leisti tik pasirinktus failus iš wp-turinio

shutterstock_108312266

Kaip žinote wp-turinys aplanke yra daugiausiai jūsų temų, papildinių ir visų įkeltų laikmenų. Jūs tikrai nenorite, kad žmonės juo galėtų naudotis be apribojimų. Be to, kad neleidžiate naršyti katalogų, taip pat galite atsisakyti visų tipų failų prieigos, išskyrus kelis. Iš esmės galite pasirinktinai atblokuoti failus, tokius kaip JPG, PDF, DOCX, CSS, JS ir kt., Ir paneigti juos iš visų kitų. Norėdami tai padaryti, įklijuokite šį kodo fragmentą į .htaccess failą:

# Išjunkite prieigą prie visų tipų failų, išskyrus šiuos
Užsakymas paneigti, leisti
Neigti iš visų

Leisti iš visų

Turite sukurti naują .htaccess failą su kodu ir įklijuoti jį į wp-turinys aplankas. Nedėkite to į bazinį diegimo katalogą – kitaip jis neveiks. Prie sąrašo taip pat galite pridėti bet kurį failo tipą, po „rar“ pridedami „|“. Aukščiau esančiame sąraše yra reikalingi failai – XML, CSS ir „JavaScript“, įprasti vaizdo ir dokumentų formatai bei galiausiai dažniausiai naudojami archyvų formatai..

4. Apribokite visą prieigą prie „wp-incl“

shutterstock_135573032

wp-aplankas yra tik tie failai, kurie yra būtini pagrindinei „WordPress“ versijai paleisti – vienas be jokių papildinių ar temų. Atminkite, kad numatytoji tema vis dar yra wp-turinys / tema katalogą. Taigi jokie lankytojai (įskaitant jus) neturėtų reikalauti prieigos prie wp-įtraukti aplankas. Galite išjungti prieigą naudodami šį kodo fragmentą:

# Blokuoti wp - aplanką ir failus

„RewriteEngine“ įjungta
„RewriteBase“
„RewriteRule“ ^ wp-admin / apima / - [F, L]
RewriteRule! ^ Wp-apima / - [S = 3]
„RewriteRule“ ^ wp apima / / ^ ^] + \. Php $ - [F, L]
„RewriteRule“ ^ wp-apima / js / tinymce / langs /.+ \. Php - [F, L]
„RewriteRule“ ^ wp-įeina / tema-compat / - [F, L]

5. „Wp-admin“ leisti tik pasirinktiems IP adresams

langinės sandėlyje_140373169

wp-admin aplanke yra failai, reikalingi „WordPress“ informacijos suvestinei paleisti. Daugeliu atvejų lankytojams nereikia prieigos prie „WordPress“ prietaisų skydelio, nebent jie nori užregistruoti sąskaitą. Tinkama saugumo priemonė yra leisti tik keliems pasirinktiems IP adresams pasiekti wp-admin aplankas. Galite leisti žmonių, kuriems reikalinga prieiga prie „WordPress“ prietaisų skydelio, redaktorius, bendraautorius ir kitus administratorius. Šis kodo fragmentas suteikia prieigą tik fiksuotiems IP wp-admin aplanką ir neleidžia patekti į likusį pasaulį.

# Ribokite prisijungimus ir administratorių naudodamiesi IP

užsakymas paneigti, leisti
neigti iš visų
leisti nuo 302.143.54.102
leisti nuo IP_ADDRESS_2

Įsitikinkite, kad sukūrėte naują .htaccess failą ir įklijuojate jį į „wp-admin“ aplanką, o ne į pagrindinį diegimo katalogą. Jei tai pastarasis, niekas, išskyrus jus, negalės naršyti jūsų svetainėje – net ne paieškos varikliai! Jūs to tikrai nenorite. Keletas šios priemonės kritimo atvejų yra šie:

  • Jei jūsų svetainė leidžia ar reklamuoja naujo vartotojo registracija, būtų beveik neįmanoma sekti vartotojų skaičių. Pvz., „WPExplorer“, jei norite atsisiųsti nuostabių nemokamų temų, turite prisiregistruoti.
  • Žmonės su dinaminius IP adresus (dažniausiai ADSL plačiajuosčio ryšio vartotojų, naudojančių PPP arba PPPoE protokolus), jų IP yra keičiami kiekvieną kartą, kai jie atsijungia ir prisijungia prie savo IPT. Be abejo, būtų nepraktiška sekti visus šiuos IP ir įtraukti juos į „htaccess“ failą.
  • Mobilusis plačiajuostis ryšys: Nesvarbu, ar naudojate 3G, ar 4G, jūsų IP adresas priklauso nuo dabartinio mobiliojo telefono bokšto, prie kurio esate prisijungę. Tarkime, kad keliaujate – jūsų IP bus nuolat keičiamas kas porą mylių nuo jūsų kilimo vietos. Vėl stebėti „htaccess“ failą yra beveik neįmanoma.
  • Viešos „Wi-Fi“ interneto prieigos taškai: Kredencialų naudojimas prisijungus prie interneto naudojant viešą „Wi-Fi“ viešosios interneto prieigos tašką yra didelis „ne“, nes vaikas, turintis mažą programinę įrangą, gali išskleisti kiekvieną jūsų įvestą ženklą. Jau neminint to, kiekvienas „Wi-Fi“ interneto prieigos taškas turės unikalų IP adresą.

Laimei, visus šiuos trūkumus (išskyrus pirmąjį) galima pašalinti naudojant VPN. Jei nustatysite, kad jūsų VPN prisijungtų naudodamas tik vieną IP adresą, tuomet galite tiesiog pridėti jį prie savo „htaccess“ failo ir visos jūsų problemos bus išspręstos..

6. Apsaugokite wp-config.php ir .htaccess nuo visų

„WordPress“, e-komercija, saugumas, apsipirkimas, patarimai

wp-config.php faile yra jautriausi jūsų „WordPress“ svetainės prieigos kredencialai. Jame, be kitų parametrų, yra duomenų bazės pavadinimas ir prieigos kredencialai bei įvairūs kiti svarbūs duomenys. Jokiomis aplinkybėmis nenorite, kad kiti žmonės žiūrėtų į šį failą. Ir, žinoma, norite išjungti visuomenės prieigą prie viso šio saugumo šaltinio – .htaccess pats failas. Galite išjungti prieigą prie wp-config.php su tokiu kodu:

# Atmeskite prieigą prie wp-config.php failo

įsakymas leisti, paneigti
neigti iš visų

Norėdami atsisakyti prieigos prie visų „htaccess“ failų (atsiminkite, kad kai kurie jų gali būti „wp-admin“ ir kituose aplankuose), naudokite šį kodo fragmentą:

# Atmeskite prieigą prie visų .htaccess failų

įsakymas leisti, paneigti
neigti iš visų
patenkinti visus

7. Atmesti vaizdo įrašo tiesioginį susiejimą

vaizdo susiejimas

Vienas iš nuostabiausių .htaccess failų nulaužimų, šis siunčia turinio grandiklius, bėgančius su uodega tarp kojų. Kai kas nors naudojasi jūsų svetainės vaizdu, jūsų pralaidumas sunaudojamas ir dažniausiai jums už tai net nereikia mokėti. Šis kodo fragmentas pašalina šią problemą ir siunčia šį vaizdą, kai aptinkama karštoji nuoroda.

# Neleiskite karšto vaizdo susiejimo scenarijaus. Pakeiskite paskutinį URL bet kokia norima vaizdo nuoroda.
„RewriteEngine“ įjungta
„RewriteCond% {HTTP_REFERER}! ^ $
„RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Jūsų svetainė.com [NC]
„RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
„RewriteRule“. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Įgalinkite naršyklės kaupimą

interneto naršyklių sąrašas

Šis „.htaccess“ įsilaužimas, dar vadinamas kliento talpyklos kaupimu, įgalina rekomenduojamas naršyklės talpyklos parinktis jūsų „WordPress“ svetainėje. Taip pat galėtumėte naudoti kituose projektuose – HTML svetainėse ir kt.

# Nustatykite naršyklės talpyklą

Galiojimo laikas pasibaigia
„ExpiresByType“ vaizdas / jpg „prieiga 1 metai“
„ExpiresByType“ vaizdas / jpeg „prieiga 1 metai“
„ExpiresByType“ vaizdas / gif „access 1 years“
„ExpiresByType“ vaizdas / png „prieiga per 1 metus“
ExpiresByType text / css "prieiga 1 mėn."
„ExpiresByType“ programa / pdf „prieiga per 1 mėnesį“
ExpiresByType text / x-javascript „access 1 month“
„ExpiresByType“ programa / „x-shockwave-flash“ „prieiga 1 mėn.“
„ExpiresByType“ vaizdas / „x“ piktograma „prieiga per 1 metus“
ExpiresDefault „access 2 days“

9. Nukreipkite į „Maintenance“ puslapį

shutterstock_93288208

Kai perkeliate žiniatinklio atvaizdus ar atlikote kai kurias priežiūros užduotis, visada rekomenduojama sukurti statinį HTML failą „neprižiūrimas“, kad lankytojai būtų informuoti apie tai, kad svetainė atnaujinama ar prižiūrima. Tiesiog sukurkite palaikymą.html failą (arba bet kurį kitą failo vardą) ir įkelkite jį į pagrindinį „WordPress“ diegimo katalogą. Įklijuokite šį fragmentą į .htaccess failą. Baigę operaciją, būtinai ištrinkite arba komentuokite šias eilutes, kad grįžtumėte į bendrą operaciją. Galite komentuoti pridėdami „#“ kiekvienos eilutės pradžioje.

# Visą srautą nukreipkite į failą maintenance.html
„RewriteEngine“ įjungta
„RewriteCond% {REQUEST_URI}! /Maintenance.html$“
„RewriteCond“% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
„RewriteRule $ / Maintenance.html“ [R = 302, L] 

10. Individualūs klaidų puslapiai

404 šablonas

Taip pat galite naudoti .htaccess failą, kad sukonfigūruotumėte patogius tinkintus klaidų puslapius, susijusius su tokiomis klaidomis kaip 403, 404 ir 500. Parengę klaidų puslapį, tarkime, error.html, įkelkite jį į savo pagrindinį „WordPress“ diegimo katalogą. Tada pridėkite šį kodo fragmentą prie .htaccess failo, kad įgalintumėte tinkintos klaidos puslapį:

# Individualus 403, 404 ir 500 klaidų puslapis
„ErrorDocument 404“ /error.html
„ErrorDocument 403“ /error.html
„ErrorDocument 500“ /error.html

Išvada:

Šiandien mes išmokome keletą nuostabiausių „htaccess“ įsilaužimų, kaip sustiprinti jūsų „WordPress“ svetainę. Aš siūlyčiau išbandyti kiekvieną modulį po vieną, prieš tai ir po kiekvieno modulio testavimo pasidarius .htaccess failo atsarginę kopiją. Taip yra todėl, kad .htaccess failas yra labai kritiškas. Trūksta „#“ simbolio arba netinkama „Gali sunaikinti jūsų svetainės vientisumą. Jei dažnai prieinate prie „WordPress“ informacijos suvestinės kelyje, rekomenduojama neįgalinti pasirinktinių IP wp-admin aplankas.

Tau priklauso – kaip imiesi šios pareigos? Ar manote, kad dėl to verta redaguoti „htaccess“ failą? Ar žinote geresnio saugumo patarimą? Mes norėtume išgirsti jus.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me