Najlepšie útržky .htaccess na zlepšenie zabezpečenia WordPress

Zabezpečenie WordPress je jedným z najviac narušených faktorov medzi začínajúcimi blogermi. Pri inštalácii WordPress bez dozoru existuje niekoľko potenciálnych zraniteľností, ktoré zostanú bez dozoru. Väčšina inštalačných príručiek WordPress vysvetľuje rýchly a ľahký spôsob nasadenia WordPress v priebehu niekoľkých minút. Chýba im však niekoľko dôležitých bezpečnostných faktorov. Napríklad vážne prehliadanie adresárov a používanie používateľského mena „admin“ sa považujú za vážne bezpečnostné medzery. Dnes sa pozrieme na 10 útržkov kódu .htaccess, ktoré pomôžu zvýšiť bezpečnosť vášho blogu WordPress. Skôr ako začneme, poďme sa rýchlo pozrieť, čo je súbor htaccess.


Čo je súbor .htaccess?

Súbor htaccess je voliteľný konfiguračný súbor, ktorý má webový server Apache interpretovať pre každý adresár. Do tohto súboru môžete uložiť rôzne nastavenia, ako napríklad: chrániť priečinok pomocou hesla, blokovať adresy IP, blokovať súbor alebo priečinok pred verejným prístupom atď. Súbor .htaccess sa tradične nachádza v základnom inštalačnom adresári WordPress. Štandardne ukladá štruktúru permalinku.

TIP: Skôr ako začnete s tutoriálom, nezabudnite si zazálohovať aktuálny súbor .htaccess (ak je k dispozícii) v službe cloudového úložiska, ako je Dropbox. Ak sa na vašom webe vyskytne určitý zlomok kódu, vráti sa späť na posledný známy pracovný súbor .htaccess. Poďme začať.

1. Blokujte zlé roboty

zlé roboty

Jedným z najlepších spôsobov použitia súboru .htaccess je jeho schopnosť zakázať prístup na vaše stránky viacerým IP adresám. Je to užitočné pri blokovaní známych spamerov a iného pôvodu podozrivého alebo škodlivého prístupu. Kód je:

# Zablokujte jednu alebo viac IP adries.
# Nahraďte IP_ADDRESS_ * IP, ktorú chcete zablokovať


zakázať, zakázať
odmietnuť z adresy IP_ADDRESS_1
odmietnuť z adresy IP_ADDRESS_2
dovoliť zo všetkých

Kde IP_ADDRESS_1 je prvá adresa IP, ktorej chcete zabrániť v prístupe na vaše stránky. Môžete pridať ľubovoľný počet adries IP. Bez ohľadu na to, čo používatelia (prehľadávače) používajú tieto adresy IP, nebudú mať prístup k jednému súboru zo servera. Webový server automaticky odmietne všetok prístup.

2. Vypnite prehľadávanie adresárov

wordpress htaccess hack vypnúť prehliadanie adresárov

Toto je jedna z najhorších bezpečnostných nedostatkov na webe WordPress. Webový server Apache štandardne umožňuje prehľadávanie adresárov. To znamená, že všetky súbory a priečinky vo vnútri koreňového adresára (niekedy nazývaného domovský adresár) webového servera sú prístupné a prístupné pre návštevníkov. To nechcete, pretože nechcete, aby ľudia prehliadali vaše mediálne súbory alebo súbory tém alebo doplnkov.

Ak náhodne vyberiem 10 osobných alebo firemných webových stránok so systémom WordPress, 6-8 z nich nebude mať zakázané prehľadávanie adresárov. Toto povoľuje niekto ľahko čuchať okolo wp-content / uploads priečinok alebo iný priečinok, ktorý nemá predvolený index.php file. Snímka obrazovky, ktorú vidíte, pochádza z jednej z webových stránok môjho klienta predtým, ako som ju odporučila. Útržok kódu na zakázanie prehľadávania adresárov:

# Zakázať prehľadávanie adresárov
Možnosti Všetky - Indexy

3. Povoliť iba vybrané súbory z obsahu wp

shutterstock_108312266

Ako viete wp-content priečinok obsahuje najviac vašich motívov, doplnkov a všetkých odovzdaných médií. Určite nechcete, aby k nemu ľudia pristupovali bez obmedzení. Okrem zakázania prehľadávania adresárov môžete tiež zakázať prístup k všetkým typom súborov, okrem niekoľkých. V podstate môžete selektívne odblokovať súbory ako JPG, PDF, DOCX, CSS, JS atď. A odopierať zvyšné súbory. Vložte tento útržok kódu do súboru .htaccess:

# Zakáže prístup k všetkým typom súborov okrem nasledujúcich
Objednávka odmietnuť, povoliť
Odmietnuť zo všetkých

Povoliť od všetkých

Musíte vytvoriť nový súbor .htaccess s kódom a vložiť ho do wp-content zložky. Neumiestňujte to do základného inštalačného adresára – inak to nebude fungovať. Do zoznamu môžete tiež pridať akýkoľvek typ súboru pridaním znaku „|“ za „rar“. Vyššie uvedený zoznam obsahuje potrebné súbory – XML, CSS a JavaScript, bežné formáty obrázkov a dokumentov a nakoniec najpoužívanejšie archívne formáty.

4. Obmedzte všetok prístup na wp-include

shutterstock_135573032

priečinok wp obsahuje iba súbory, ktoré sú nevyhnutne potrebné na spustenie hlavnej verzie programu WordPress – jedného bez doplnkov alebo tém. Pamätajte, že predvolená téma sa stále nachádza v wp-content / téma adresár. Žiadny návštevník (vrátane vás) by preto nemal vyžadovať prístup k obsahu internetu wp-zahŕňajú zložky. Prístup môžete zakázať pomocou nasledujúceho útržku kódu:

# Blokovať wp - obsahuje priečinok a súbory

PrepísaťEngine zapnuté
PrepísaťBase /
RewriteRule ^ wp-admin / obsahuje / - [F, L]
RewriteRule! ^ Wp-obsahuje / - [S = 3]
RewriteRule ^ wp - obsahuje / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp - obsahuje / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-include / theme-kompatibil / - [F, L]

5. Povoliť prístup iba vybraným IP adresám wp-admin

shutterstock_140373169

wp-admin priečinok obsahuje súbory potrebné na spustenie informačného panela WordPress. Vaši návštevníci vo väčšine prípadov nepotrebujú prístup k dashboardu WordPress, pokiaľ si nechcú zaregistrovať účet. Dobré bezpečnostné opatrenie je umožniť prístup iba niekoľkým vybraným IP adresám wp-admin zložky. Môžete povoliť adresy IP ľudí, ktorí potrebujú prístup k dashboardu WordPress – editorom, prispievateľom a iným správcom. Tento útržok kódu umožňuje prístup iba na pevné adresy IP wp-admin a zakáže prístup do zvyšku sveta.

# Obmedzte prihlásenie a správu pomocou IP

zakázať, dovoliť
popierať zo všetkých
povoliť od 302,143,54,102
povoliť od IP_ADDRESS_2

Uistite sa, že ste vytvorili nový súbor .htaccess a prilepili ho do priečinka wp-admin, nie do základného inštalačného adresára. Ak je to posledný uvedený, nikto okrem vás nebude môcť prehľadávať vaše stránky – dokonca ani vyhľadávacie nástroje! Určite to nechcete. Niekoľko pádov tohto opatrenia je takéto:

  • Ak vaše stránky povoľujú alebo propagujú registrácia nového používateľa, Bolo by takmer nemožné sledovať počet používateľov. Napríklad vo WPExplorer, ak si chcete stiahnuť naše úžasné témy zadarmo, musíte sa zaregistrovať.
  • Ľudia s dynamické IP adresy (väčšinou používatelia širokopásmového pripojenia ADSL používajúci protokoly PPP alebo PPPoE) majú svoje adresy IP zmenené vždy, keď sa odhlásia a prihlásia k poskytovateľovi internetových služieb. Určite by bolo nepraktické sledovať všetky tieto adresy IP a pridať ich do súboru htaccess.
  • Mobilné širokopásmové pripojenie: Či už ste na 3G alebo 4G, vaša IP adresa závisí od aktuálnej mobilnej veže, ku ktorej ste pripojení. Povedzme, že cestujete – vaša adresa IP sa bude neustále meniť s každým pár kilometrov, ktoré odídete z miesta pôvodu. Sledovanie súboru htaccess je opäť takmer nemožné.
  • Verejné prístupové body Wi-Fi: Používanie poverení pri pripojení na internet pomocou verejného hotspotu Wi-Fi je veľké, nie, pretože dieťa s malým softvérom môže extrahovať každú zadanú postavu. Nehovoriac o tom, každý hotspot Wi-Fi bude mať jedinečnú IP adresu.

Našťastie všetky tieto nevýhody (okrem prvej) sa dajú napraviť pomocou VPN. Ak nastavíte pripojenie VPN pomocou jedinej adresy IP, môžete ju jednoducho pridať do súboru htaccess a všetky vaše problémy sa vyriešia..

6. Chráňte súbory wp-config.php a .htaccess pred každým

wordpress-komercie-security-shopping-tipy

wp-config.php súbor obsahuje najcitlivejšie prístupové poverenia vášho webu WordPress. Obsahuje okrem iného nastavenia názov databázy a prístupové údaje a rôzne ďalšie dôležité údaje. Za žiadnych okolností nechcete, aby sa do tohto súboru nahliadli iní ľudia. A samozrejme, že chcete zakázať prístup verejnosti k zdroju všetkého tohto zabezpečenia – .htaccess samotný súbor. Prístup môžete zakázať wp-config.php s týmto nasledujúcim kódom:

# Zakázať prístup k súboru wp-config.php

zakázať, zakázať
popierať zo všetkých

Ak chcete zakázať prístup ku všetkým súborom htaccess (pamätajte, že niektoré sa môžu nachádzať vo wp-admin a ďalších priečinkoch), použite tento útržok kódu:

# Zakázať prístup ku všetkým súborom .htaccess

zakázať, zakázať
popierať zo všetkých
uspokojiť všetkých

7. Odmietnuť horúce odkazy na obrázky

image-hotlinking

Jeden z najchladnejších hackov so súbormi .htaccess, tento posiela škrabky s obsahom, ktoré majú chvost medzi nohami. Keď niekto použije obrázok vašej stránky, vaša šírka pásma sa spotrebuje a väčšinu času za ňu nemáte ani kredit. Tento útržok kódu eliminuje tento problém a po zistení horúceho odkazu odošle tento obrázok.

# Zabráňte skriptu na prepojenie s obrázkami. Nahraďte poslednú adresu URL akýmkoľvek odkazom na obrázok, ktorý chcete.
PrepíšteEngine on
PrepíšteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Povoľte vyrovnávaciu pamäť prehliadača

zoznam webových prehliadačov

Tento hacker, ktorý sa nazýva aj ukladanie do vyrovnávacej pamäte na strane klienta, s povolením odporúčaných možností ukladania do vyrovnávacej pamäte prehliadača pre váš web WordPress. Dalo by sa použiť aj v iných projektoch – HTML stránky, atď.

# Nastavenie vyrovnávacej pamäte prehliadača

Platnosť končí
ExpiresByType image / jpg "access 1 year"
ExpiresByType image / jpeg „prístup 1 rok“
ExpiresByType image / gif "access 1 year"
ExpiresByType image / png "access 1 year"
ExpiresByType text / css "prístup 1 mesiac"
ExpiresByType application / pdf "access 1 month"
ExpiresByType text / x-javascript "prístup 1 mesiac"
ExpiresByType application / x-shockwave-flash "access 1 month"
ExpiresByType image / x-icon "access 1 year"
Vyprší Predvolený "prístup 2 dni"

9. Presmerujte na stránku Údržba

shutterstock_93288208

Pri migrácii webhostov alebo vykonávaní nejakej údržby sa vždy odporúča vytvoriť statický súbor HTML „down for maintenance“, ktorý informuje vašich návštevníkov o tom, že web prechádza aktualizáciou alebo údržbou. Jednoducho vytvorte súbor maintenance.html (alebo akýkoľvek iný názov súboru) a nahrajte ho do základného inštalačného adresára WordPress. Vložte nasledujúci útržok do súboru .htaccess. Po dokončení operácie nezabudnite tieto riadky odstrániť alebo komentovať, aby ste sa vrátili k celkovej činnosti. Môžete komentovať pridaním znaku „#“ na začiatok každého riadku.

# Presmerovať všetok prenos do súboru maintenance.html
PrepíšteEngine on
PrepíšteCond% {REQUEST_URI}! /Maintenance.html$
PrepíšteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Vlastné chybové stránky

404 šablóna

Súbor .htaccess môžete tiež nakonfigurovať užívateľsky príjemné vlastné chybové stránky na chyby, ako sú napríklad chyby 403, 404 a 500. Keď pripravíte svoju chybovú stránku – povedzme error.html, nahrajte ju do svojho základného inštalačného adresára WordPress. Potom do svojho súboru .htaccess pridajte nasledujúci útržok kódu, aby ste povolili stránku vlastných chýb:

# Stránka vlastnej chyby pre chyby 403, 404 a 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

záver:

Dnes sme sa naučili niektoré z najúžasnejších hackerov na posilnenie vášho webu WordPress. Navrhujem, aby ste si vyskúšali každý modul jeden po druhom, pričom ste si zálohovali súbor .htaccess pred a po testovaní každého modulu. Je to preto, že súbor .htaccess je veľmi kritický. Chýba znak „#“ alebo je nesprávne umiestnený“Môže zničiť integritu vašich stránok. Ak pristupujete k svojmu dashboardu WordPress často na cestách, odporúčame vám nepovoliť selektívne adresy IP wp-admin zložka.

Záleží na vás – aký je váš názor na tento príspevok? Myslíte si, že to stojí za problémy s úpravou súboru htaccess? Poznáte lepšiu bezpečnostnú tip? Radi by sme vás počuli.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map