Pinakamagandang .htaccess Snippet upang Pagbutihin ang Security ng WordPress

Ang seguridad ng WordPress ay isa sa mga pinaka-undermined na kadahilanan sa gitna ng mga baguhang blogger. Sa isang hindi sinusubaybayan na pag-install ng WordPress, medyo may ilang mga potensyal na kahinaan na maiiwan nang hindi binabantayan. Karamihan sa mga tutorial sa pag-install ng WordPress ay nagpapaliwanag ng isang mabilis at madaling paraan upang mag-deploy ng WordPress sa ilang minuto. Ngunit napalampas nila ang ilang mahahalagang salik sa seguridad. Halimbawa, ang pag-browse sa direktoryo at paggamit ng username ng ‘admin’ ay itinuturing na mga malubhang loopholes ng seguridad. Ngayon ay titingnan namin ang 10 .htaccess code snippet na makakatulong na mapabuti ang seguridad ng iyong blog sa WordPress. Bago tayo magsimula, tingnan natin kung ano ang file ng htaccess.


Ano ang .htaccess file?

Ang isang file na htaccess ay isang opsyonal na file ng pagsasaayos para sa Apache web server upang bigyang kahulugan, para sa bawat direktoryo. Maaari kang mag-imbak ng iba’t ibang mga setting sa file na tulad ng: protektahan ang password sa isang direktoryo, i-block ang mga IP, i-block ang isang file o folder mula sa pampublikong pag-access, atbp Ayon sa kaugalian, ang .htaccess file ay naroroon sa direktoryo ng pag-install ng base WordPress. Inilalagay nito ang istruktura ng permalink nang default.

TIP: Bago ka magsimula sa tutorial, tiyaking i-backup ang kasalukuyang .htaccess file (kung naroroon) sa isang serbisyo sa pag-iimbak ng ulap tulad ng Dropbox. Ito ay upang bumalik sa huling kilalang gumaganang .htaccess file, kung ang isang tiyak na code snippet ay sumira sa iyong site. Magsimula tayo.

1. I-block ang Masamang Mga Bot

masamang bots

Ang isa sa mga pinakamahusay na paggamit ng .htaccess file ay ang kakayahang tanggihan ang maraming mga IP address mula sa pag-access sa iyong site. Ito ay kapaki-pakinabang kapag hinaharangan ang mga kilalang spammer at iba pang mga pinagmulan ng kahina-hinalang o nakakahamak na pag-access. Ang code ay:

# I-block ang isa o higit pang IP address.
# Palitan ang IP_ADDRESS_ * sa IP na nais mong harangan


payagan ang order, tanggihan
tanggihan mula sa IP_ADDRESS_1
tanggihan mula sa IP_ADDRESS_2
payagan mula sa lahat

Kung saan ang IP_ADDRESS_1 ang unang IP na nais mong pigilan mula sa pag-access sa iyong site. Maaari kang magdagdag ng maraming mga IP na gusto mo. Hindi mahalaga kung ano ang mga ahente ng gumagamit (browser) 0these IP address na ginagamit, hindi nila mai-access ang isang file mula sa iyong server. Ang webserver ay awtomatikong tanggihan ang lahat ng pag-access.

2. Huwag paganahin ang Pag-browse ng Directory

wordpress htaccess hack hindi paganahin ang pag-browse sa direktoryo

Ito ay isa sa mga pinaka-undermined na mga bahid ng seguridad sa isang WordPress site. Bilang default, pinapayagan ng Apache webserver ang pag-browse sa direktoryo. Nangangahulugan ito na ang lahat ng mga file at folder sa loob ng direktoryo ng ugat (kung minsan ay tinatawag na direktoryo ng tahanan) ng webserver ay nakalista at maa-access ng isang bisita. Hindi mo nais na dahil hindi mo nais ang mga tao na nagba-browse sa pamamagitan ng iyong mga pag-upload ng media o ang iyong tema o mga file ng plugin.

Kung sa random na pumili ako ng 10 mga personal o negosyo na website na tumatakbo sa WordPress, 6-8 sa kanila ay hindi pinagana ang pag-browse ng direktoryo. Pinapayagan nito sinuman upang madaling mag-sniff sa paligid ng wp-content / upload folder o anumang iba pang direktoryo na walang default index.php file. Sa katunayan, ang screenshot na nakikita mo ay mula sa isa sa site ng aking kliyente, bago ko inirerekumenda ang pag-aayos. Code ng snippet upang huwag paganahin ang pag-browse sa direktoryo:

# Huwag paganahin ang pag-browse sa direktoryo
Lahat ng Mga Pagpipilian sa Mga -Indexes

3. Payagan ang Mga Napiling Mga Files lamang mula sa wp-content

shutterstock_108312266

Tulad ng alam mo ang wp-nilalaman naglalaman ng folder ang karamihan sa iyong mga tema, plugin at lahat ng mga pag-upload ng media. Talagang hindi mo nais na mai-access ng mga tao nang walang mga paghihigpit. Bilang karagdagan sa hindi pagpapagana ng pag-browse sa direktoryo, maaari mo ring tanggihan ang pag-access sa lahat ng mga uri ng file, makatipid ng kaunti. Sa kakanyahan, maaari mong piliing i-unblock ang mga file tulad ng JPG, PDF, DOCX, CSS, JS, atbp at tanggihan mula sa iba. Upang gawin ito, i-paste ang snippet ng code na ito sa iyong .htaccess file:

# Huwag paganahin ang pag-access sa lahat ng mga uri ng file maliban sa mga sumusunod
Order tanggihan, payagan
Tumanggi mula sa lahat

Payagan mula sa lahat

Dapat kang lumikha ng isang bagong .htaccess file gamit ang code at i-paste ito sa wp-nilalaman folder. Huwag ilagay ito sa direktoryo ng pag-install ng base – kung hindi ito gagana. Maaari ka ring magdagdag ng anumang uri ng file sa listahan sa pamamagitan ng pagdadagdag ng isang ‘|’ pagkatapos ng ‘rar’. Ang listahan sa itaas ay naglalaman ng mga kinakailangang file – XML, CSS at JavaScript, karaniwang mga format ng imahe at dokumento at sa wakas ang pinaka-ginagamit na mga format ng archive.

4. Limitahan ang Lahat ng Pag-access sa wp-kasama

shutterstock_135573032

Ang wp-kasama ang folder naglalaman lamang ng mga file na mahigpit na kinakailangan upang patakbuhin ang pangunahing bersyon ng WordPress – isa nang walang anumang mga plugin o tema. Tandaan, ang default na tema ay nananatili pa rin sa wp-nilalaman / tema direktoryo. Kaya, walang bisita (kasama ka) ang dapat mangailangan ng pag-access sa nilalaman ng isama ang wp- folder. Maaari mong paganahin ang pag-access gamit ang sumusunod na code snippet:

# I-block ang wp-kasama ang folder at mga file

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / kasama ang / - [F, L]
RewriteRule! ^ Wp-kasama / - [S = 3]
RewriteRule ^ wp-kasama / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-kasama ang / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-kasama / tema-compat / - [F, L]

5. Payagan lamang ang Napiling Mga IP Address sa Pag-access sa wp-admin

shutterstock_140373169

Ang wp-admin ang folder ay naglalaman ng mga file na kinakailangan upang patakbuhin ang WordPress dashboard. Sa karamihan ng mga kaso, ang iyong mga bisita ay hindi nangangailangan ng pag-access sa WordPress dashboard, maliban kung nais nilang magrehistro ng isang account. Ang isang mahusay na panukalang panseguridad ay upang paganahin ang ilang mga napiling mga IP address upang ma-access ang wp-admin folder. Maaari mong pahintulutan ang mga IP ng mga taong nangangailangan ng pag-access sa WordPress dashboard – mga editor, nag-aambag at iba pang mga admin. Pinapayagan ng snippet ng code na ito ang mga nakapirming IP lamang na mai-access ang wp-admin folder at tinanggihan ang pag-access sa ibang bahagi ng mundo.

# Limitahan ang mga login at admin ng IP

order tanggihan, payagan
tanggihan mula sa lahat
payagan mula sa 302.143.54.102
payagan mula sa IP_ADDRESS_2

Tiyaking gumawa ka ng isang bagong .htaccess file at i-paste ito sa folder ng wp-admin at hindi ang direktoryo ng pag-install ng base. Kung ito ang huli, walang sinuman maliban sa magagawa mong i-browse sa site – hindi kahit na mga search engine! Tiyak na ayaw mo iyon. Ang ilang mga pagbagsak ng panukalang ito ay ang mga sumusunod:

  • Kung pinapayagan o nagpo-promote ang iyong site bagong pagpaparehistro ng gumagamit, ito ay halos imposible upang subaybayan ang bilang ng mga gumagamit. Halimbawa sa WPExplorer, kung nais mong i-download ang aming mga kahanga-hangang libreng mga tema, kailangan mong magparehistro.
  • Mga taong kasama mga dinamikong IP address (Karamihan sa mga gumagamit ng ADSL broadband gamit ang mga PPP o PPPoE protocol) ay nagbago ang kanilang mga IP, tuwing mag-logout at mag-login sa kanilang ISP. Tiyak na hindi praktikal na subaybayan ang lahat ng mga IP na ito at idagdag ang mga ito sa file na htaccess.
  • Broadband ng mobile: Sigurado ka sa 3G o 4G, ang iyong IP address ay nakasalalay sa kasalukuyang cell tower na konektado ka. Sabihin mong naglalakbay ka – ang iyong IP ay patuloy na magbabago sa bawat ilang milya na lilipat ka mula sa pinanggalingan. Muli, ang pagsubaybay sa file ng htaccess ay halos imposible.
  • Pampublikong Wi-Fi Hotspots: Ang paggamit ng mga kredensyal kapag konektado sa Internet gamit ang isang pampublikong Wi-Fi hotspot ay isang malaking hindi-hindi, dahil ang isang bata na may isang maliit na software ay maaaring kunin ang bawat character na iyong nai-type. Hindi man banggitin, ang bawat Wi-Fi hotspot ay magkakaroon ng isang natatanging IP address.

Sa kabutihang palad, ang lahat ng mga disadvantages na ito (i-save ang una), ay maaaring maitama sa pamamagitan ng paggamit ng isang VPN. Kung itinakda mo ang iyong VPN upang kumonekta gamit lamang ang isang solong IP address, maaari mo lamang idagdag ito sa iyong htaccess file, at ang lahat ng iyong mga problema ay malulutas..

6. Protektahan ang wp-config.php at .htaccess mula sa lahat

wordpress-e-commerce-security-shopping-tips

Ang wp-config.php naglalaman ng file ang pinaka-sensitibong mga kredensyal sa pag-access ng iyong WordPress site. Naglalaman ito ng pangalan ng database at pag-access ng mga kredensyal at iba’t ibang iba pang kritikal na data, bukod sa iba pang mga setting. Sa ilalim ng walang kalagayan nais mo ang ibang mga tao na naghahanap sa file na ito. At syempre, nais mong huwag paganahin ang pampublikong pag-access sa mapagkukunan ng lahat ng seguridad na ito – ang .kakatwa file mismo. Maaari mong paganahin ang pag-access sa wp-config.php gamit ang sumusunod na code:

# Huwag tanggihan ang pag-access sa wp-config.php file

payagan ang order, tanggihan
tanggihan mula sa lahat

Upang tanggihan ang pag-access sa lahat ng mga file na htaccess (tandaan ang ilan ay maaaring tumira sa wp-admin at iba pang mga folder), gamitin ang code snippet na ito:

# Huwag tanggalin ang pag-access sa lahat ng mga file na

payagan ang order, tanggihan
tanggihan mula sa lahat
masiyahan ang lahat

7. Huwag tanggalin ang Hotlinking ng Imahe

image-hotlink

Isa sa mga pinalamig na .htaccess file hacks, ang isang ito ay nagpapadala ng mga scrapers ng nilalaman na tumatakbo kasama ang kanilang buntot sa pagitan ng kanilang mga binti. Kapag may gumagamit ng imahe ng iyong site, ang iyong bandwidth ay kumonsumo at sa karamihan ng oras, hindi ka man lamang kredensyal para dito. Tinatanggal ng snippet ng code na ito ang problema at ipinapadala ang imaheng ito kapag nakita ang isang hotlink.

# Maiwasan ang script ng hotlinking ng imahe. Palitan ang huling URL sa anumang link sa imahe na gusto mo.
RewriteEngine sa
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Iyong website.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Paganahin ang Browser Caching

listahan ng mga web browser

Kilala rin bilang client-side caching, ito .htaccess hack na paganahin ang inirekumendang mga pagpipilian sa cache ng browser para sa iyong WordPress site. Maaari mo ring gamitin ito sa iba pang mga proyekto – HTML site, atbp.

# Pag-setup ng browser caching

Nag-expireActive On
Ang pag-access sa ExpiresByType / jpg "pag-access ng 1 taon"
ExpiresByType imahe / jpeg "pag-access ng 1 taon"
Ang pag-access sa ExpiresByType / gif na "pag-access ng 1 taon"
"ExpiresByType image / png" pag-access ng 1 taon "
Ang pag-access sa ExpiresByType text / css "1 buwan"
Application ng ExpiresByType / pdf "pag-access ng 1 buwan"
ExpiresByType text / x-javascript "pag-access ng 1 buwan"
Application ng ExpiresByType / x-shockwave-flash "pag-access ng 1 buwan"
ExpiresByType imahe / x-icon na "pag-access ng 1 taon"
"Pag-access ng 2 araw" ang ExpiresDefault

9. Pag-redirect sa isang pahina ng Pagpapanatili

shutterstock_93288208

Kapag naglilipat ka ng mga webhost o gumaganap ng ilang gawain sa pagpapanatili, palaging inirerekomenda na lumikha ng isang static na “down for maintenance” HTML file upang ipaalam sa iyong mga bisita na ang website ay sumasailalim sa isang pag-upgrade o pagpapatakbo ng pagpapanatili. Lumikha lamang ng isang maintenance.html file (o anumang iba pang filename) at i-upload ito sa direktoryo ng pag-install ng WordPress. Idikit ang sumusunod na snippet sa iyong .htaccess file. Kapag natapos na ang operasyon, siguraduhing tanggalin o magkomento ang mga linya na ito upang bumalik sa pangkalahatang operasyon. Maaari kang mag-puna sa pamamagitan ng pag-apid ng isang ‘#’ sa simula ng bawat linya.

# I-redirect ang lahat ng trapiko sa maintenance.html file
RewriteEngine sa
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Mga Pahina ng Pasadyang Error

404 template

Maaari mo ring ang .htaccess file upang mai-configure ang mga pahina ng pasadyang error sa gumagamit para sa mga error tulad ng 403, 404 at 500. Kapag naihanda mo ang iyong pahina ng error – sabihin nating error.html, i-upload ito sa iyong direktoryo ng pag-install ng WordPress. Pagkatapos ay idagdag ang sumusunod na code snippet sa iyong .htaccess file upang paganahin ang pasadyang pahina ng error:

# Pasadyang pahina ng error para sa error 403, 404 at 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Konklusyon:

Ngayon natutunan namin ang ilan sa mga pinaka-cool na hack ng htaccess upang palakasin ang iyong WordPress site. Iminumungkahi ko sa iyo na subukan ang bawat module nang paisa-isa habang kumukuha ng isang backup ng .htaccess file bago at pagkatapos ng pagsubok sa bawat module. Ito ay dahil ang .htaccess file ay napaka kritikal. Isang nawawalang character na ‘#’ o na-maling ‘‘Maaaring sirain ang integridad ng iyong site. Kung na-access mo ang iyong WordPress dashboard ng madalas na on-the-go, inirerekumenda na huwag paganahin ang mga napiling mga IP sa iyong wp-admin folder.

Sa iyo – ano ang iyong kinukuha sa post na ito? Sa palagay mo ba ito ay nagkakahalaga ng problema sa pag-edit ng file na htaccess? Alam mo ba ang isang mas mahusay na tip sa seguridad? Gusto naming makarinig mula sa iyo.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map