Абараніце свой сайт WordPress з дапамогай .htaccess

Аўтар: Peter Berry

Дата Стварэння: 14 Ліпень 2021

Дата Абнаўлення: 13 Травень 2024

Абараніце свой сайт WordPress з дапамогай .htaccess - Творчы

Задаволены

Наладжванне файла .htaccess
Абараніце wp-config.php
Доступ адміністратара толькі з вашага IP
Забарона дрэнных карыстальнікаў
Няма прагляду каталогаў
Прадухіліць доступ да wp-кантэнту
Індывідуальная абарона файлаў
Абараніце .htaccess

WordPress, несумненна, з'яўляецца самай папулярнай сістэмай кіравання зместам на дадзены момант, перакрываючы іншыя варыянты, такія як Joomla і Drupal.

Нягледзячы на тое, што гэта добра для WordPress, цяпер у ім вельмі вялікая і актыўная супольнасць, якая ўносіць убудовы, тэмы і выпраўленні, але з гэтым ростам у яго цяпер ёсць і дрэнныя моманты ... Калі што-небудзь стане настолькі вялікім, людзі знойдуць спосабы атакаваць CMS па любой прычыне, якую яны лічаць патрэбнай.

Наша праца як карыстальнікаў WordPress (акрамя ўнясення ўкладу ў супольнасць WordPress) заключаецца ў забеспячэнні бяспекі нашых установак ад людзей, якім мы не хочам атрымліваць доступ да нашых сайтаў.

Існуе мноства убудоў, якія дапамагаюць узмацніць абарону WordPress, такія як Login LockDown, які запісвае IP-адрас і блакуе іх пасля зададзенай колькасці спроб уваходу, якія дапамагаюць супраць атакі грубай сілай.

Іншае - WP Security Scan, якое правярае ўсталёўку на наяўнасць уразлівасцяў і прапануе магчымыя метады выпраўлення ўсяго, што можа знайсці.

Адзін з найбольш ігнаруемых спосабаў захавання бяспекі ўсталёўкі - гэта абнаўленне ўсталёўкі, калі стануць даступныя абнаўленні, якія забяспечваюць прымяненне ўсіх найноўшых выпраўленняў і выпраўленняў на вашым сайце. (Вы таксама можаце выдаліць файлы readme.html і license.txt з каранёвага каталога, паколькі яны адлюстроўваюць нумар версіі WordPress, які вы ўсталявалі.)

Наладжванне файла .htaccess

Акрамя дадатковых модуляў, вы можаце ўнесці шэраг дапаўненняў у файл .htaccess, якія разам з убудовамі і рэгулярнымі абнаўленнямі ўзмоцняць бяспеку вашага сайта і дадуць вам дадатковы ўзровень абароны.

Я збіраюся ахапіць некалькі з іх, якія, на маю думку, абараняе некаторыя неабходныя рэчы ў вашай устаноўцы WordPress, і пакажу вам, як і куды дадаць фрагменты кода; вам не трэба выкарыстоўваць кожны асобны, усё, што вы адчуваеце, дапаможа вам абараніць ваш сайт.

Тыповы файл .htaccess WordPress выглядае аналагічна гэтаму:

# BEGIN WordPressIfModule mod_rewrite.c> RewriteEngine OnRewriteBase / RewriteRule ^ index .php $ - [L] RewriteCond% {REQUEST_FILENAME}! -FRewriteCond% {REQUEST_FILENAME}! -DRewriteRule. /index.php [L] / IfModule> # END WordPress

Я прапаную любыя дапаўненні ў файл .htaccess, якія будуць дададзены пасля # END WordPress.

Гэта забяспечыць вам парушэнне любой з функцый .htaccess на аснове WordPress. Перш чым уносіць змены ў файл .htaccess, настойліва раю зрабіць рэзервовую копію і захаваць у бяспечным месцы!

Абараніце wp-config.php

wp-config.php - гэта файл у вашым каранёвым каталогу, які захоўвае інфармацыю пра ваш сайт, а таксама звесткі пра базу дадзеных. У прыватнасці, гэты файл не хацеў бы трапляць у чужыя рукі.

У вашым .htaccess дадайце наступнае, каб прадухіліць доступ да файла wp-config.php:

Файлы wp-config.php> парадак дазволіць, адхіліць ад усіх / Файлы>

Доступ адміністратара толькі з вашага IP

Вы можаце абмежаваць, хто можа атрымаць доступ да вашай адміністратарскай тэчкі па IP-адрасе, для гэтага вам трэба будзе стварыць новы файл .htaccess у вашым тэкставым рэдактары і загрузіць у тэчку wp-admin.

Наступны фрагмент забараняе доступ да адміністратарскай тэчкі ўсім, за выключэннем вашага IP-адраса, але звярніце ўвагу, калі ў вас дынамічны IP, магчыма, вам давядзецца рэгулярна мяняць гэты файл, інакш вам адмовяць у доступе самастойна!

адмовіць у замове, дазволіць дазволіць ад 202.090.21.1 (замяніць вашым IP-адрасам) забараніць ад усіх

Забарона дрэнных карыстальнікаў

Калі ў вас адзін і той жа IP-адрас, які спрабуе атрымаць доступ да вашага змесціва альбо спрабуе жорстка прымяніць старонкі адміністратара, вы можаце забараніць гэтаму чалавеку выкарыстоўваць .htaccess з дапамогай гэтага простага фрагмента:

Абмежаваць GET POST> парадак дазволіць, адхіліць ад 202.090.21.1 дазволіць ад усіх / Абмежаваць>

Цяпер гэты чалавек не зможа атрымаць доступ да вашага сайта. Вы можаце дадаць больш, прайграўшы радок адмовы, напрыклад:

Абмежаваць GET POST> парадак дазволіць, адхіліць ад 202.090.21.1deny ад 204.090.21.2дазволіць ад усіх / Абмежаваць>

Няма прагляду каталогаў

Паколькі WordPress зараз настолькі папулярны, шмат хто ведае структуру ўстаноўкі WordPress і ведае, дзе шукаць, каб даведацца, якія ўбудовы вы можаце выкарыстоўваць, альбо любыя іншыя файлы, якія могуць даць занадта шмат інфармацыі пра ваш сайт, адзін са спосабаў барацьбы з гэтым для прадухілення прагляду каталогаў.

# прагляд каталогаўВарыянты Усе -Індэксы

Прадухіліць доступ да wp-кантэнту

Тэчка wp-content змяшчае выявы, тэмы і ўбудовы, і гэта вельмі важная тэчка ў вашай устаноўцы WordPress, таму мае сэнс прадухіліць доступ старонніх людзей да яе.

Для гэтага патрэбны вельмі ўласны файл .htaccess, які трэба дадаць у папку wp-content, ён дазваляе карыстальнікам бачыць выявы, CSS і г.д ... але абараняе важныя PHP-файлы:

Адмова ад замовы, дазвол адмоў ад усіх файлаў ". (Xml | css | jpe? G | png | gif | js) $"> Дазволіць ад усіх / Файлы>

Індывідуальная абарона файлаў

Ёсць пэўныя файлы, якія вы, магчыма, захочаце абараніць паасобку, а не блакаваць цэлую тэчку ці вылучэнне. Прыкладны фрагмент паказвае, як вы можаце перашкодзіць доступу да файла .htaccess, і выдасць 403, калі хто-небудзь з іх атрымае да яго доступ. Імя файла можна змяніць на любы файл, які вы хочаце абараніць:

# Абараніце .htaccessfiles .htaccess = ""> парадак дазволіць, адхіліць ад усіх / files>

Абараніце .htaccess

Гучыць вар'яцтва, га? Мы марнуем столькі часу на тое, каб усталяваць правільныя ўбудовы і выпраўленні, і мы не заўважаем таго, што файл .htaccess па-ранейшаму адкрыты для атакі.

Гэты фрагмент у асноўным спыняе прагляд любога файла на вашым сайце, які пачынаецца з "hta", гэта абароніць яго і зробіць некалькі бяспечней.

Файлы "^. * . ([Hh] [Tt] [Aa])"> парадак дазваляюць, адмаўляць ад усіхзадавальняць усіх / Файлы>

Мы разгледзелі, як забараніць карыстальнікам, забараніць доступ да вашай адміністратарскай тэчкі нікому, акрамя вас, як прадухіліць прагляд каталогаў, абарону файла wp-config.php, абарону папкі wp-кантэнт, абарону асобных файлаў і нават абарону файла .htaccess.

Гэты спіс фрагментаў ні ў якім разе не вычарпаны, ёсць шэраг іншых рэчаў, якія вы можаце зрабіць, каб абараніць свой сайт праз .htaccess, але разгледжаныя мной элементы дапамагаюць абараніць некаторыя ключавыя файлы і папкі на вашым сайце і захаваць іх. далей ад старонніх вачэй.

Папярэдняя Артыкул