Задаволены
- Наладжванне файла .htaccess
- Абараніце wp-config.php
- Доступ адміністратара толькі з вашага IP
- Забарона дрэнных карыстальнікаў
- Няма прагляду каталогаў
- Прадухіліць доступ да wp-кантэнту
- Індывідуальная абарона файлаў
- Абараніце .htaccess
WordPress, несумненна, з'яўляецца самай папулярнай сістэмай кіравання зместам на дадзены момант, перакрываючы іншыя варыянты, такія як Joomla і Drupal.
Нягледзячы на тое, што гэта добра для WordPress, цяпер у ім вельмі вялікая і актыўная супольнасць, якая ўносіць убудовы, тэмы і выпраўленні, але з гэтым ростам у яго цяпер ёсць і дрэнныя моманты ... Калі што-небудзь стане настолькі вялікім, людзі знойдуць спосабы атакаваць CMS па любой прычыне, якую яны лічаць патрэбнай.
Наша праца як карыстальнікаў WordPress (акрамя ўнясення ўкладу ў супольнасць WordPress) заключаецца ў забеспячэнні бяспекі нашых установак ад людзей, якім мы не хочам атрымліваць доступ да нашых сайтаў.
Існуе мноства убудоў, якія дапамагаюць узмацніць абарону WordPress, такія як Login LockDown, які запісвае IP-адрас і блакуе іх пасля зададзенай колькасці спроб уваходу, якія дапамагаюць супраць атакі грубай сілай.
Іншае - WP Security Scan, якое правярае ўсталёўку на наяўнасць уразлівасцяў і прапануе магчымыя метады выпраўлення ўсяго, што можа знайсці.
Адзін з найбольш ігнаруемых спосабаў захавання бяспекі ўсталёўкі - гэта абнаўленне ўсталёўкі, калі стануць даступныя абнаўленні, якія забяспечваюць прымяненне ўсіх найноўшых выпраўленняў і выпраўленняў на вашым сайце. (Вы таксама можаце выдаліць файлы readme.html і license.txt з каранёвага каталога, паколькі яны адлюстроўваюць нумар версіі WordPress, які вы ўсталявалі.)
Наладжванне файла .htaccess
Акрамя дадатковых модуляў, вы можаце ўнесці шэраг дапаўненняў у файл .htaccess, якія разам з убудовамі і рэгулярнымі абнаўленнямі ўзмоцняць бяспеку вашага сайта і дадуць вам дадатковы ўзровень абароны.
Я збіраюся ахапіць некалькі з іх, якія, на маю думку, абараняе некаторыя неабходныя рэчы ў вашай устаноўцы WordPress, і пакажу вам, як і куды дадаць фрагменты кода; вам не трэба выкарыстоўваць кожны асобны, усё, што вы адчуваеце, дапаможа вам абараніць ваш сайт.
Тыповы файл .htaccess WordPress выглядае аналагічна гэтаму:
# BEGIN WordPressIfModule mod_rewrite.c> RewriteEngine OnRewriteBase / RewriteRule ^ index .php $ - [L] RewriteCond% {REQUEST_FILENAME}! -FRewriteCond% {REQUEST_FILENAME}! -DRewriteRule. /index.php [L] / IfModule> # END WordPress
Я прапаную любыя дапаўненні ў файл .htaccess, якія будуць дададзены пасля # END WordPress.
Гэта забяспечыць вам парушэнне любой з функцый .htaccess на аснове WordPress. Перш чым уносіць змены ў файл .htaccess, настойліва раю зрабіць рэзервовую копію і захаваць у бяспечным месцы!
Абараніце wp-config.php
wp-config.php - гэта файл у вашым каранёвым каталогу, які захоўвае інфармацыю пра ваш сайт, а таксама звесткі пра базу дадзеных. У прыватнасці, гэты файл не хацеў бы трапляць у чужыя рукі.
У вашым .htaccess дадайце наступнае, каб прадухіліць доступ да файла wp-config.php:
Файлы wp-config.php> парадак дазволіць, адхіліць ад усіх / Файлы>
Доступ адміністратара толькі з вашага IP
Вы можаце абмежаваць, хто можа атрымаць доступ да вашай адміністратарскай тэчкі па IP-адрасе, для гэтага вам трэба будзе стварыць новы файл .htaccess у вашым тэкставым рэдактары і загрузіць у тэчку wp-admin.
Наступны фрагмент забараняе доступ да адміністратарскай тэчкі ўсім, за выключэннем вашага IP-адраса, але звярніце ўвагу, калі ў вас дынамічны IP, магчыма, вам давядзецца рэгулярна мяняць гэты файл, інакш вам адмовяць у доступе самастойна!
адмовіць у замове, дазволіць дазволіць ад 202.090.21.1 (замяніць вашым IP-адрасам) забараніць ад усіх
Забарона дрэнных карыстальнікаў
Калі ў вас адзін і той жа IP-адрас, які спрабуе атрымаць доступ да вашага змесціва альбо спрабуе жорстка прымяніць старонкі адміністратара, вы можаце забараніць гэтаму чалавеку выкарыстоўваць .htaccess з дапамогай гэтага простага фрагмента:
Абмежаваць GET POST> парадак дазволіць, адхіліць ад 202.090.21.1 дазволіць ад усіх / Абмежаваць>
Цяпер гэты чалавек не зможа атрымаць доступ да вашага сайта. Вы можаце дадаць больш, прайграўшы радок адмовы, напрыклад:
Абмежаваць GET POST> парадак дазволіць, адхіліць ад 202.090.21.1deny ад 204.090.21.2дазволіць ад усіх / Абмежаваць>
Няма прагляду каталогаў
Паколькі WordPress зараз настолькі папулярны, шмат хто ведае структуру ўстаноўкі WordPress і ведае, дзе шукаць, каб даведацца, якія ўбудовы вы можаце выкарыстоўваць, альбо любыя іншыя файлы, якія могуць даць занадта шмат інфармацыі пра ваш сайт, адзін са спосабаў барацьбы з гэтым для прадухілення прагляду каталогаў.
# прагляд каталогаўВарыянты Усе -Індэксы
Прадухіліць доступ да wp-кантэнту
Тэчка wp-content змяшчае выявы, тэмы і ўбудовы, і гэта вельмі важная тэчка ў вашай устаноўцы WordPress, таму мае сэнс прадухіліць доступ старонніх людзей да яе.
Для гэтага патрэбны вельмі ўласны файл .htaccess, які трэба дадаць у папку wp-content, ён дазваляе карыстальнікам бачыць выявы, CSS і г.д ... але абараняе важныя PHP-файлы:
Адмова ад замовы, дазвол адмоў ад усіх файлаў ". (Xml | css | jpe? G | png | gif | js) $"> Дазволіць ад усіх / Файлы>
Індывідуальная абарона файлаў
Ёсць пэўныя файлы, якія вы, магчыма, захочаце абараніць паасобку, а не блакаваць цэлую тэчку ці вылучэнне. Прыкладны фрагмент паказвае, як вы можаце перашкодзіць доступу да файла .htaccess, і выдасць 403, калі хто-небудзь з іх атрымае да яго доступ. Імя файла можна змяніць на любы файл, які вы хочаце абараніць:
# Абараніце .htaccessfiles .htaccess = ""> парадак дазволіць, адхіліць ад усіх / files>
Абараніце .htaccess
Гучыць вар'яцтва, га? Мы марнуем столькі часу на тое, каб усталяваць правільныя ўбудовы і выпраўленні, і мы не заўважаем таго, што файл .htaccess па-ранейшаму адкрыты для атакі.
Гэты фрагмент у асноўным спыняе прагляд любога файла на вашым сайце, які пачынаецца з "hta", гэта абароніць яго і зробіць некалькі бяспечней.
Файлы "^. * . ([Hh] [Tt] [Aa])"> парадак дазваляюць, адмаўляць ад усіхзадавальняць усіх / Файлы>
Мы разгледзелі, як забараніць карыстальнікам, забараніць доступ да вашай адміністратарскай тэчкі нікому, акрамя вас, як прадухіліць прагляд каталогаў, абарону файла wp-config.php, абарону папкі wp-кантэнт, абарону асобных файлаў і нават абарону файла .htaccess.
Гэты спіс фрагментаў ні ў якім разе не вычарпаны, ёсць шэраг іншых рэчаў, якія вы можаце зрабіць, каб абараніць свой сайт праз .htaccess, але разгледжаныя мной элементы дапамагаюць абараніць некаторыя ключавыя файлы і папкі на вашым сайце і захаваць іх. далей ад старонніх вачэй.