Kaitske oma WordPressi saiti .htaccessiga

Autor: Peter Berry

Loomise Kuupäev: 14 Juuli 2021

Värskenduse Kuupäev: 13 Mai 2024

Videot: Seal of the Living God - Book of Truth

Sisu

.Htaccess-faili konfigureerimine
Kaitske wp-config.php
Administraatori juurdepääs ainult teie IP-lt
Kehvade kasutajate keelamine
Katalooge ei sirvita
WP-sisule juurdepääsu takistamine
Individuaalne failikaitse
Kaitske .htaccess

WordPress on kahtlemata populaarseim CMS praegusel ajahetkel, kääbustades muid võimalusi nagu Joomla ja Drupal.

Kuigi see on WordPressi jaoks hea asi, on sellel nüüd väga suur ja aktiivne kogukond, kes panustab pistikprogramme, teemasid ja parandusi, kuid selle kasvuga on sellel ka halvad küljed ... Kui miski muutub nii suureks, leiavad inimesed võimalusi rünnata kõnealust CMS-i mis tahes põhjusel, mida nad õigeks peavad.

Meie töö WordPressi kasutajatena (lisaks panusele WordPressi kogukonda) on hoida oma installireklaamid inimeste eest, kellele me ei soovi oma saitidele juurde pääseda.

Meie WordPressi kaitsemehhanismide hõlbustamiseks on palju pistikprogramme, näiteks Login LockDown, mis salvestab IP-aadressi ja blokeerib need pärast määratud arvu sisselogimiskatseid, mis aitavad toore jõu rünnakute vastu.

Teine on WP turvaskannimine, mis kontrollib teie installi haavatavuste osas ja pakub välja võimalikke meetodeid selle leidmiseks.

Üks enim ignoreeritud meetodeid teie installi turvalisuse tagamiseks on installi värskendamine, kui värskendused on saadaval, mis tagab, et teie saidile rakendatakse kõik uusimad plaastrid ja parandused. (Võite ka failid readme.html ja license.txt juurkataloogist eemaldada, kuna need kuvavad teie installitud WordPressi versiooninumbrit.)

.Htaccess-faili konfigureerimine

Pistikprogrammide kõrval on .htaccess-faili võimalik teha mitmeid täiendusi, mis koos pistikprogrammide ja regulaarsete värskendustega tugevdavad teie saidi turvalisust ja pakuvad teile täiendavat kaitset.

Ma käsitlen mõnda neist, mis minu arvates kaitsevad mõningaid teie WordPressi installimise põhitõdesid ja näitan teile, kuidas ja kuhu koodijuppe lisada; te ei pea kasutama kõiki üksikuid, just see, mis teie arvates aitaks teie saiti kaitsta.

Tüüpiline WordPressi .htaccess-fail näeb välja selline:

# BEGIN WordPressIfModule mod_rewrite.c> RewriteEngine OnRewriteBase / RewriteRule ^ index .php $ - [L] RewriteCond% {REQUEST_FILENAME}! -FRewriteCond% {REQUEST_FILENAME}! -DRewriteRule. /index.php [L] / IfModule> # END WordPress

Ma soovitaksin .htaccess-faili mis tahes täiendused lisada pärast # LÕPP WordPress.

See tagab, et te ei riku ühtegi WordPressi põhist .htaccessi funktsiooni. Enne .htaccess-faili muutmist soovitan tungivalt varundada ja hoida kindlas kohas!

Kaitske wp-config.php

wp-config.php on fail teie juurkataloogis, mis salvestab teavet teie saidi kohta ja andmebaasi üksikasju, eriti seda faili ei tahaks me sattuda valedesse kätesse.

Lisage oma .htaccess-i failile wp-config.php juurdepääsu vältimiseks järgmine:

Failid wp-config.php> järjekord lubada, denydeny kõigist / Failid>

Administraatori juurdepääs ainult teie IP-lt

Saate piirata seda, kellel on juurdepääs teie administraatori kaustale IP-aadressi järgi. Selleks peate oma tekstiredaktoris looma uue .htaccess-faili ja üles laadima kausta wp-admin.

Järgmine koodilõik keelab kõigile juurdepääsu administraatori kaustale, välja arvatud teie IP-aadress, kuid pange tähele, et kui teil on dünaamiline IP, peate võib-olla seda faili regulaarselt muutma, vastasel juhul keelatakse teil endal juurdepääs!

order deny, allowallow alates 202.090.21.1 (asenda oma IP-aadressiga) deny all all

Kehvade kasutajate keelamine

Kui teil on sama IP-aadress, mis üritab teie sisule juurde pääseda või proovite oma administraatori lehti jõuliselt jõustada, võite selle lihtsa jupiga selle inimese keelata .htaccessi kasutamisel:

Piirang GET POST> telli luba, keeldu alates 202.090.21.1allow all / Limit>

See inimene ei pääse nüüd teie saidile juurde. Saate lisada rohkem, korrates keeldumisrida, näiteks:

Piirang GET POST> telli lubamine, keeldumine alates 202.090.21.1deny alates 204.090.21.2allow all / Limit>

Katalooge ei sirvita

Kuna WordPress on nüüd nii populaarne, teavad paljud inimesed WordPressi installimise struktuuri ja teavad, kust otsida, et teada saada, milliseid pistikprogramme võite kasutada või mis tahes muid faile, mis võivad teie saidi kohta liiga palju teavet anda, üks viis selle vastu võitlemiseks on kataloogide sirvimise vältimiseks.

# kataloogi sirvimineOptions All -Indexes

WP-sisule juurdepääsu takistamine

Kaust wp-content sisaldab pilte, teemasid ja pistikprogramme ning see on teie WordPressi installi väga oluline kaust, seega on mõistlik takistada kõrvaliste isikute juurdepääsu sellele.

Selleks on vaja oma .htaccess-faili, mis tuleb lisada kausta wp-content, see võimaldab kasutajatel näha pilte, CSS-i jne ..., kuid kaitseb olulisi PHP-faile:

Tellimuse keelamine, allowDeny kõigist failidest ". (Xml | css | jpe? G | png | gif | js) $"> Luba kõigist / Failid>

Individuaalne failikaitse

On teatud faile, mida võiksite kaitsta ükshaaval, selle asemel et blokeerida tervet kausta või valikut. Näidisekood näitab, kuidas takistate juurdepääsu .htaccess-failile ja viskate 403, kui keegi sellele juurde pääseb. Failinime saab muuta mis tahes failiks, mida soovite kaitsta:

# Kaitsta .htaccessfiles .htaccess = ""> järjekorda lubada, keelata kõik / failid>

Kaitske .htaccess

Tundub hullumeelsena, mis? Veedame nii palju aega muretsedes, kas meil on õiged pistikprogrammid ja parandused installitud, jätame tähelepanuta asjaolu, et .htaccess-fail on endiselt rünnaku jaoks avatud.

See koodilõik takistab põhimõtteliselt kõiki teie saidil mis tahes faile, mis algavad "hta", see kaitseb seda ja muudab selle mõnevõrra turvalisemaks.

Failid "^. * . ([Hh] [Tt] [Aa])"> järjekord lubada, keelduda allsatisfy all / Files>

Oleme käsitlenud, kuidas kasutajaid keelata, takistada kellelgi peale teie administraatori kausta juurdepääsu, kuidas vältida kataloogide sirvimist, kaitsta teie faili wp-config.php, kaitsta teie kausta wp-sisu, kaitsta üksikuid faile ja isegi kaitsta teie .htaccess-faili.

See koodilõikude loend pole sugugi ammendatud, saate teha mitmeid muid asju, mida saate oma saidi kaitsmiseks .htaccessi kaudu teha, kuid minu käsitletud üksused aitavad kaitsta teie saidil olevaid võtmefaile ja kaustu ning hoida neid uudishimulike pilkude eest.

Eelmine Artikkel