Кращі фрагменти .htaccess для поліпшення безпеки WordPress

Безпека WordPress – один з найбільш підірваних факторів серед початківців блогерів. У непідконтрольній установці WordPress є досить багато потенційних вразливих ситуацій, які залишаються без нагляду. Більшість навчальних посібників із встановлення WordPress пояснюють швидкий та простий спосіб розгортання WordPress за лічені хвилини. Але вони пропускають кілька важливих факторів безпеки. Наприклад, перегляд каталогів та використання імені користувача “адміністратор” вважаються серйозними лазівками безпеки. Сьогодні ми подивимось на 10 фрагментів коду .htaccess, які допоможуть покращити безпеку вашого блогу WordPress. Перш ніж розпочати роботу, давайте коротко розберемося, що таке файл htaccess.


Що таке файл .htaccess?

Файл htaccess – це необов’язковий файл конфігурації для веб-сервера Apache для кожного каталогу. У цьому файлі ви можете зберігати різні параметри, такі як: захист паролем каталогу, блокування IP-адрес, блокування файлу чи папки з загальнодоступного доступу тощо. Традиційно файл .htaccess присутній у базовому каталозі встановлення WordPress. Він за замовчуванням зберігає структуру постійної посилання.

ПОРАДА: Перш ніж почати з підручника, переконайтесь, що резервне копіювання поточного .htaccess-файлу (якщо він є) у хмарній службі зберігання даних, як-от Dropbox. Це повернення до останнього відомого робочого .htaccess-файлу, якщо певний фрагмент коду порушує ваш сайт. Давайте почнемо.

1. Блокувати поганих ботів

погані боти

Одним з найкращих застосувань .htaccess-файлу є його здатність забороняти доступу до вашого веб-сайту декілька IP-адрес. Це корисно при блокуванні відомих спамерів та інших джерел підозрілого чи зловмисного доступу. Код такий:

# Блокуйте одну або кілька IP-адрес.
# Замініть IP_ADDRESS_ * на IP, який ви хочете заблокувати


замовлення дозволяють, заперечують
відхилити від IP_ADDRESS_1
відхилити від IP_ADDRESS_2
дозволяють від усіх

Де IP_ADDRESS_1 – це перший IP, якому ви хочете не допустити доступу до свого сайту. Ви можете додати скільки завгодно IP-адрес. Незалежно від того, які користувацькі агенти (браузери) використовують 0 цих IP-адрес, вони не зможуть отримати доступ до одного файлу з вашого сервера. Веб-сервер автоматично відмовить у доступі.

2. Вимкнути перегляд каталогів

wordpress htaccess hack відключити перегляд каталогів

Це один із найбільш підірваних недоліків безпеки на сайті WordPress. За замовчуванням веб-сервер Apache дозволяє переглядати каталог. Це означає, що всі файли та папки всередині кореневого каталогу (іноді його називають домашнім каталогом) веб-сервера можуть бути доступними та доступними відвідувачу. Ви цього не хочете, оскільки ви не хочете, щоб люди переглядали ваші медіа-завантаження або ваші теми чи файли плагінів.

Якщо я випадково виберу 10 особистих чи ділових веб-сайтів, на яких працює WordPress, у 6-8 з них не буде відключено перегляд каталогів. Це дозволяє будь-хто легко нюхати навколо wp-content / uploads папку чи будь-який інший каталог, у якого за замовчуванням немає index.php файл. Насправді знімок екрана з одного з сайтів мого клієнта, перш ніж я порекомендував його виправити. Фрагмент коду для відключення перегляду каталогів:

# Вимкнути перегляд каталогів
Параметри Усі -Індекси

3. Дозволити лише вибрані файли з wp-контенту

shutterstock_108312266

Як ви знаєте wp-контент папка містить найбільше ваших тем, плагінів та всіх завантажень медіа. Ви, звичайно, не хочете, щоб люди отримували доступ до нього без обмежень. Окрім відключення перегляду каталогів, ви також можете заборонити доступ до всіх типів файлів, зберегти кілька. По суті, ви можете вибірково розблокувати файли, такі як JPG, PDF, DOCX, CSS, JS тощо, і відмовити в інших. Для цього вставте цей фрагмент коду у файл .htaccess:

# Вимкнути доступ до всіх типів файлів, крім наступного
Наказ відмовити, дозволити
Заперечувати від усіх

Дозволити від усіх

Ви повинні створити новий .htaccess файл із кодом та вставити його у wp-контент папку. Не розміщуйте це в базовому каталозі встановлення – інакше воно не спрацює. Ви також можете додати будь-який тип файлу до списку, додавши “|” після “rar”. Наведений вище список містить необхідні файли – XML, CSS та JavaScript, загальні формати зображень та документів та нарешті найбільш використовувані формати архівів.

4. Обмежте весь доступ до Wp-включно

shutterstock_135573032

The wp-включає папку містить лише ті файли, які вкрай необхідні для запуску основної версії WordPress – один без плагінів чи тем. Пам’ятайте, що тема за замовчуванням все ще знаходиться в wp-content / тема каталог. Таким чином, жоден відвідувач (включаючи вас) не повинен вимагати доступу до вмісту wp-включати папку. Ви можете відключити доступ за допомогою цього фрагмента коду:

# Блок wp-включає папки та файли

ПереписатиEngine On
RewriteBase /
Перезаписати ^ wp-admin / включає / - [F, L]
RewriteRule! ^ Wp-include / - [S = 3]
Перезаписати ^ wp-включає / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-include / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-include / theme-compat / - [F, L]

5. Дозволити доступ до wp-admin лише до вибраних IP-адрес

shutterstock_140373169

The wp-admin Папка містить файли, необхідні для запуску інформаційної панелі WordPress. У більшості випадків відвідувачам не потрібен доступ до інформаційної панелі WordPress, якщо вони не хочуть зареєструвати обліковий запис. Хорошим заходом безпеки є надання доступу лише до декількох обраних IP-адрес wp-admin папку. Ви можете дозволити IP-адреси людей, яким потрібен доступ до інформаційної панелі WordPress – редакторів, дописувачів та інших адміністраторів. Цей фрагмент коду дозволяє отримати доступ до wp-admin папку та забороняє доступ до решти світу.

# Обмежити вхід та адміністрування по IP

замовити відмовити, дозволити
заперечувати від усіх
дозволяють з 302.143.54.102
дозволити з IP_ADDRESS_2

Переконайтеся, що ви створили новий .htaccess файл і вставити його в папку wp-admin, а не в основний каталог установки. Якщо це останнє, ніхто, крім вас, не зможе переглядати ваш сайт – навіть пошукові системи! Ти, звичайно, цього не хочеш. Пара таких заходів полягає в наступному:

  • Якщо ваш сайт дозволяє чи рекламує нова реєстрація користувача, відстежувати кількість користувачів було б майже неможливо. Наприклад, на WPExplorer, якщо ви хочете завантажити наші дивовижні безкоштовні теми, тоді вам доведеться зареєструватися.
  • Люди с динамічні IP-адреси (здебільшого користувачі широкосмугового ADSL, що використовують протоколи PPP або PPPoE), змінюють свої IP-адреси кожного разу, коли вони виходять із системи та входять у свій Інтернет-провайдер. Звичайно, було б недоцільно відслідковувати всі ці IP-адреси та додавати їх у файл htaccess.
  • Мобільний широкосмуговий: Незалежно від того, чи є ви в 3G або 4G, ваша IP-адреса залежить від поточної стільникової вежі, до якої ви підключені. Скажіть, що ви подорожуєте – ваш IP-код буде постійно змінюватися кожні кілька миль, які ви рухаєтесь від місця початку. Знову ж, відслідковувати файл htaccess майже неможливо.
  • Точки загального доступу до Wi-Fi: Використання облікових даних під час підключення до Інтернету за допомогою загальнодоступної точки доступу до Wi-Fi – це не велике значення, оскільки дитина з крихітним програмним забезпеченням може витягувати кожен тип символу. Не кажучи вже про те, що кожна точка доступу Wi-Fi матиме унікальну IP-адресу.

На щастя, всі ці недоліки (крім першого) можна усунути за допомогою VPN. Якщо ви встановите VPN для підключення, використовуючи лише одну IP-адресу, ви можете просто додати його у свій файл htaccess, і всі ваші проблеми будуть вирішені.

6. Захистіть wp-config.php та .htaccess від усіх

wordpress-електронна комерція-безпека-покупки-поради

The wp-config.php файл містить найбільш чутливі облікові дані вашого сайту WordPress. Серед інших параметрів він містить ім’я бази даних та облікові дані доступу та інші важливі дані. Ні в якому разі не хочете, щоб інші люди переглядали цей файл. І звичайно, ви хочете відключити доступ громадськості до джерела всієї цієї безпеки – .htaccess файл сам. Ви можете відключити доступ до wp-config.php із таким кодом:

# Заборонити доступ до файлу wp-config.php

замовлення дозволяють, заперечують
заперечувати від усіх

Щоб заборонити доступ до всіх файлів htaccess (пам’ятайте, що деякі можуть перебувати у wp-admin та інших папках), використовуйте цей фрагмент коду:

# Заборонити доступ до всіх файлів .htaccess

замовлення дозволяють, заперечують
заперечувати від усіх
задовольнити всіх

7. Заборонити гарячу посилання на зображення

зображення гарячої посилання

Один з найкрутіших хак-файлів .htaccess, цей надсилає скребки вмісту, що бігають хвостом між їх ніг. Коли хтось використовує зображення вашого веб-сайту, ваша пропускна здатність витрачається і більшу частину часу вам навіть не зараховують. Цей фрагмент коду усуває цю проблему і надсилає це зображення, коли виявляється гаряча посилання.

# Запобігання скрипту гарячої посилання на зображення. Замініть останню URL-адресу будь-яким потрібним посиланням на зображення.
ПерепишітьEngine на
ПерепишітьCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Увімкнути кешування браузера

список веб-браузерів

Також відомий як кешування на стороні клієнта, цей .htaccess хак із включенням рекомендованих параметрів кешування браузера для вашого сайту WordPress. Ви також можете використовувати його в інших проектах – HTML-сайтах тощо.

# Налаштування кешування браузера

Закінчуєтьсяактивним увімкнено
ExpiresByType image / jpg "доступ 1 рік"
ExpiresByType image / jpeg "доступ 1 рік"
ExpiresByType image / gif "доступ 1 рік"
ExpiresByType image / png "доступ 1 рік"
ExpiresByType text / css "доступ 1 місяць"
ExpiresByType заявка / pdf "доступ 1 місяць"
ExpiresByType text / x-javascript "доступ 1 місяць"
ExpiresByType додаток / x-shockwave-flash "доступ 1 місяць"
ExpiresByType image / x-icon "доступ 1 рік"
ЗакінчуєтьсяЗа замовчуванням "доступ 2 дні"

9. Перенаправлення на сторінку технічного обслуговування

shutterstock_93288208

Коли ви мігруєте веб-хостинги чи виконуєте якісь завдання технічного обслуговування, завжди рекомендується створити статичний HTML-файл “вниз для обслуговування”, щоб повідомити відвідувачів про те, що веб-сайт проходить операцію оновлення чи обслуговування. Просто створіть файл support.html (або будь-яке інше ім’я файлу) та завантажте його в базовий каталог встановлення WordPress. Вставте такий фрагмент у файл .htaccess. Після завершення операції обов’язково видаліть або прокоментуйте ці рядки, щоб повернутися до загальної операції. Ви можете коментувати, додавши знак “#” на початку кожного рядка.

# Перенаправити увесь трафік на файл support.html
ПерепишітьEngine на
ПерепишітьCond% {REQUEST_URI}! /Maintenance.html$
ПерепишітьCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Спеціальні сторінки помилок

404 шаблон

Ви також можете .htaccess файл налаштувати зручні користувальницькі сторінки помилок на помилки, такі як 403, 404 та 500. Після того, як ви підготували свою сторінку помилок – скажімо, помилка .html, завантажте її в базовий каталог установки WordPress. Потім додайте наступний фрагмент коду у файл .htaccess, щоб увімкнути користувацьку сторінку помилок:

# Спеціальна сторінка помилок для помилок 403, 404 та 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Висновок:

Сьогодні ми дізналися про кілька найкрутіших хак-хатів для зміцнення вашого сайту WordPress. Я б запропонував вам спробувати кожен модуль по черзі, роблячи резервну копію файлу .htaccess до і після тестування кожного модуля. Це тому, що файл .htaccess дуже критичний. Зниклий символ “#” або неправильно розміщений “Може знищити цілісність вашого веб-сайту. Якщо ви звертаєтесь до інформаційної панелі WordPress часто в дорозі, рекомендується не вмикати вибіркові IP-адреси до своїх wp-admin папку.

Над вами – що ви приймаєте за цю посаду? Як ви вважаєте, це варте клопоту з редагуванням файлу htaccess? Чи знаєте ви кращу пораду щодо безпеки? Ми хотіли б почути від вас.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map