สุดยอด. htaccess เพื่อปรับปรุงความปลอดภัยของ WordPress

การรักษาความปลอดภัย WordPress เป็นหนึ่งในปัจจัยที่บ่อนทำลายที่สุดในบรรดาบล็อกเกอร์มือใหม่ ในการติดตั้ง WordPress แบบไม่มีผู้ดูแลมีช่องโหว่ที่อาจเกิดขึ้นได้เล็กน้อยซึ่งยังไม่มีการแก้ไข บทเรียนการติดตั้ง WordPress ส่วนใหญ่อธิบายวิธีที่รวดเร็วและง่ายดายในการปรับใช้ WordPress ในเวลาไม่กี่นาที แต่พวกเขาพลาดปัจจัยด้านความปลอดภัยที่สำคัญบางประการ ตัวอย่างเช่นการสืบค้นไดเรกทอรีและการใช้ชื่อผู้ใช้ “ผู้ดูแลระบบ” จะถือว่าเป็นช่องโหว่ความปลอดภัยที่ร้ายแรง วันนี้เราจะดูตัวอย่างรหัส. htaccess 10 ซึ่งจะช่วยปรับปรุงความปลอดภัยของบล็อก WordPress ของคุณ ก่อนที่เราจะเริ่มใช้งานมาดูกันว่าไฟล์ htaccess คืออะไร.


ไฟล์. htaccess คืออะไร?

ไฟล์ htaccess เป็นไฟล์การกำหนดค่าเผื่อเลือกสำหรับ Apache เว็บเซิร์ฟเวอร์เพื่อแปลความหมายสำหรับแต่ละไดเรกทอรี คุณสามารถจัดเก็บการตั้งค่าต่าง ๆ ในไฟล์ดังกล่าวเช่น: รหัสผ่านป้องกันไดเรกทอรีบล็อก IP, บล็อกไฟล์หรือโฟลเดอร์จากการเข้าถึงสาธารณะเป็นต้นโดยปกติไฟล์. htaccess จะปรากฏในไดเรกทอรีการติดตั้ง WordPress พื้นฐาน มันเก็บโครงสร้าง Permalink โดยค่าเริ่มต้น.

เคล็ดลับ: ก่อนที่คุณจะเริ่มต้นด้วยบทช่วยสอนตรวจสอบให้แน่ใจว่าได้สำรองไฟล์. htaccess ปัจจุบัน (ถ้ามี) ในบริการเก็บข้อมูลบนคลาวด์เช่น Dropbox นี่คือการย้อนกลับไปยังไฟล์. htaccess ที่เป็นที่รู้จักล่าสุดหากข้อมูลโค้ดบางอันทำให้ไซต์ของคุณพัง เอาล่ะ.

1. บล็อกบอทที่ไม่ดี

บอทที่ไม่ดี

หนึ่งในการใช้งานที่ดีที่สุดของไฟล์. htaccess คือความสามารถในการปฏิเสธที่อยู่ IP หลายรายการไม่ให้เข้าถึงเว็บไซต์ของคุณ สิ่งนี้มีประโยชน์เมื่อปิดกั้นผู้ส่งอีเมลขยะที่รู้จักและต้นกำเนิดอื่น ๆ ของการเข้าถึงที่น่าสงสัยหรือเป็นอันตราย รหัสคือ:

# บล็อกที่อยู่ IP อย่างน้อยหนึ่งรายการ.
# แทนที่ IP_ADDRESS_ * ด้วย IP ที่คุณต้องการบล็อก


คำสั่งอนุญาต, ปฏิเสธ
ปฏิเสธจาก IP_ADDRESS_1
ปฏิเสธจาก IP_ADDRESS_2
อนุญาตจากทั้งหมด

โดยที่ IP_ADDRESS_1 เป็น IP แรกที่คุณต้องการป้องกันไม่ให้เข้าถึงไซต์ของคุณ คุณสามารถเพิ่ม IP ได้มากเท่าที่คุณต้องการ ไม่ว่าตัวแทนผู้ใช้ (เบราว์เซอร์) ที่อยู่ IP เหล่านี้จะใช้อะไรพวกเขาจะไม่สามารถเข้าถึงไฟล์เดียวจากเซิร์ฟเวอร์ของคุณ เว็บเซิร์ฟเวอร์จะปฏิเสธการเข้าถึงทั้งหมดโดยอัตโนมัติ.

2. ปิดใช้งานการเรียกดูไดเรกทอรี

wordpress htaccess hack ปิดการใช้งานการค้นหาไดเรกทอรี

นี่เป็นหนึ่งในข้อบกพร่องด้านความปลอดภัยที่บ่อนทำลายที่สุดในเว็บไซต์ WordPress เว็บเซิร์ฟเวอร์ Apache จะเปิดใช้งานการค้นหาไดเรกทอรี ซึ่งหมายความว่าไฟล์และโฟลเดอร์ทั้งหมดที่อยู่ในไดเรกทอรีราก (บางครั้งเรียกว่าไดเรกทอรีบ้าน) ของเว็บเซิร์ฟเวอร์สามารถเข้าใช้งานได้โดยผู้เยี่ยมชม คุณไม่ต้องการเพราะคุณไม่ต้องการให้คนอื่นเรียกดูการอัปโหลดสื่อของคุณหรือไฟล์ธีมหรือปลั๊กอินของคุณ.

หากสุ่มฉันเลือกเว็บไซต์ส่วนตัวหรือธุรกิจ 10 แห่งที่ใช้งาน WordPress 6-8 เว็บไซต์จะไม่ปิดใช้งานการเรียกดูไดเรกทอรี สิ่งนี้ช่วยให้ ใคร ๆ เพื่อสูดอากาศรอบ ๆ wp-content / อัปโหลด โฟลเดอร์หรือไดเรกทอรีอื่น ๆ ที่ไม่มีค่าเริ่มต้น index.php ไฟล์. อันที่จริงภาพหน้าจอที่คุณเห็นมาจากเว็บไซต์ของลูกค้าก่อนที่ฉันจะแนะนำการแก้ไข ข้อมูลโค้ดเพื่อปิดใช้งานการสืบค้นไดเรกทอรี:

# ปิดการใช้งานการสืบค้นไดเรกทอรี
ตัวเลือกทั้งหมด -Indexes

3. อนุญาตเฉพาะไฟล์ที่เลือกจาก wp-content

shutterstock_108312266

อย่างที่คุณรู้ wp-content โฟลเดอร์มีธีมปลั๊กอินและการอัปโหลดสื่อทั้งหมดของคุณมากที่สุด แน่นอนคุณไม่ต้องการให้คนอื่นเข้าถึงได้โดยไม่มีข้อ จำกัด นอกเหนือจากการปิดใช้งานการสืบค้นไดเรกทอรีคุณยังสามารถปฏิเสธการเข้าถึงไฟล์ทุกประเภทบันทึกบางอย่าง ในสาระสำคัญคุณสามารถเลือกยกเลิกการบล็อกไฟล์เช่น JPG, PDF, DOCX, CSS, JS, ฯลฯ และปฏิเสธจากส่วนที่เหลือ ในการทำเช่นนี้ให้วางโค้ดขนาดสั้นลงในไฟล์. htaccess ของคุณ:

# ปิดการเข้าถึงไฟล์ทุกประเภทยกเว้นสิ่งต่อไปนี้
คำสั่งปฏิเสธอนุญาต
ปฏิเสธจากทั้งหมด

อนุญาตจากทั้งหมด

คุณต้องสร้างไฟล์. htaccess ใหม่ด้วยรหัสและวางลงใน wp-content โฟลเดอร์ อย่าวางสิ่งนี้ไว้ในไดเรกทอรีการติดตั้งพื้นฐานมิฉะนั้นจะใช้งานไม่ได้ นอกจากนี้คุณยังสามารถเพิ่มประเภทไฟล์ใด ๆ ลงในรายการโดยเพิ่ม a | ’หลังจาก‘ rar ’ รายการด้านบนมีไฟล์ที่จำเป็น – XML, CSS และ JavaScript, รูปภาพทั่วไปและรูปแบบเอกสารและสุดท้ายคือรูปแบบไฟล์เก็บถาวรที่ใช้มากที่สุด.

4. จำกัด การเข้าถึงทั้งหมดไปยัง wp-include

shutterstock_135573032

wp- รวมโฟลเดอร์ มีเฉพาะไฟล์ที่จำเป็นอย่างยิ่งในการใช้งานเวิร์ดเพรสเวอร์ชันหลัก – ไฟล์ที่ไม่มีปลั๊กอินหรือธีม โปรดจำไว้ว่าชุดรูปแบบเริ่มต้นยังคงอยู่ใน wp-content / ธีม ไดเรกทอรี ดังนั้นผู้เข้าชม (รวมถึงคุณ) จึงไม่จำเป็นต้องเข้าถึงเนื้อหาของ WP- ได้แก่ โฟลเดอร์ คุณสามารถปิดการเข้าถึงได้โดยใช้โค้ดต่อไปนี้:

# Block wp- รวมโฟลเดอร์และไฟล์

RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / รวม / - [F, L]
RewriteRule! ^ wp- ประกอบด้วย / - [S = 3]
RewriteRule ^ wp- ประกอบด้วย / [^ /] + \. php $ - [F, L]
RewriteRule ^ wp- ประกอบด้วย / js / tinymce / langs /.+ \. php - [F, L]
RewriteRule ^ wp- รวม / theme-compat / - [F, L]

5. อนุญาตเฉพาะที่อยู่ IP ที่เลือกในการเข้าถึง wp-admin

shutterstock_140373169

WP-ผู้ดูแลระบบ โฟลเดอร์มีไฟล์ที่จำเป็นสำหรับการเรียกใช้แดชบอร์ดของ WordPress ในกรณีส่วนใหญ่ผู้เข้าชมของคุณไม่จำเป็นต้องเข้าถึงแดชบอร์ด WordPress เว้นแต่ว่าพวกเขาต้องการลงทะเบียนบัญชี มาตรการรักษาความปลอดภัยที่ดีคือการเปิดใช้งานที่อยู่ IP ที่เลือกไว้เพียงไม่กี่แห่งในการเข้าถึง WP-ผู้ดูแลระบบ โฟลเดอร์ คุณสามารถอนุญาต IP ของบุคคลที่ต้องการเข้าถึงแดชบอร์ด WordPress – บรรณาธิการผู้ร่วมให้ข้อมูลและผู้ดูแลระบบคนอื่น ๆ ข้อมูลโค้ดนี้อนุญาตให้ใช้เฉพาะ IP ที่ได้รับการแก้ไขเท่านั้นในการเข้าถึง WP-ผู้ดูแลระบบ โฟลเดอร์และปฏิเสธการเข้าถึงส่วนที่เหลือของโลก.

# จำกัด การเข้าสู่ระบบและการจัดการโดย IP

คำสั่งปฏิเสธอนุญาต
ปฏิเสธจากทั้งหมด
อนุญาตจาก 302.143.54.102
อนุญาตจาก IP_ADDRESS_2

ตรวจสอบให้แน่ใจว่าคุณสร้างไฟล์. htaccess ใหม่และวางในโฟลเดอร์ wp-admin ไม่ใช่ไดเร็กทอรีการติดตั้งพื้นฐาน หากเป็นแบบหลังไม่มีใครนอกจากคุณจะสามารถเรียกดูไซต์ของคุณได้ – ไม่แม้แต่เครื่องมือค้นหา! แน่นอนคุณไม่ต้องการที่ ความพินาศของมาตรการนี้มีดังนี้:

  • หากเว็บไซต์ของคุณอนุญาตหรือส่งเสริม การลงทะเบียนผู้ใช้ใหม่, แทบจะเป็นไปไม่ได้เลยที่จะติดตามจำนวนผู้ใช้ ตัวอย่างเช่นที่ WPExplorer หากคุณต้องการดาวน์โหลดชุดรูปแบบฟรีที่ยอดเยี่ยมของเราคุณต้องลงทะเบียน.
  • คนที่มี ที่อยู่ IP แบบไดนามิก (ส่วนใหญ่ผู้ใช้ ADSL บรอดแบนด์ที่ใช้โปรโตคอล PPP หรือ PPPoE) มีการเปลี่ยนแปลง IP ของพวกเขาทุกครั้งที่พวกเขาออกจากระบบและลงชื่อเข้าใช้ ISP แน่นอนว่าจะไม่สามารถติดตาม IP เหล่านี้ทั้งหมดและเพิ่มลงในไฟล์ htaccess.
  • บรอดแบนด์มือถือ: ไม่ว่าคุณจะใช้ 3G หรือ 4G ที่อยู่ IP ของคุณจะขึ้นอยู่กับเสาสัญญาณโทรศัพท์ปัจจุบันที่คุณเชื่อมต่อ สมมติว่าคุณกำลังเดินทาง – IP ของคุณจะเปลี่ยนแปลงตลอดเวลาทุก ๆ สองสามไมล์ที่คุณย้ายจากต้นทาง การติดตามไฟล์ htaccess อีกครั้งเป็นไปไม่ได้เกือบ.
  • ฮอตสปอตสาธารณะ Wi-Fi: การใช้ข้อมูลประจำตัวเมื่อเชื่อมต่ออินเทอร์เน็ตโดยใช้ฮอตสปอต Wi-Fi สาธารณะนั้นเป็นเรื่องใหญ่เพราะเด็กที่มีซอฟต์แวร์ขนาดเล็กสามารถแยกตัวละครทุกตัวที่คุณพิมพ์ ไม่ต้องพูดถึงฮอตสปอต Wi-Fi แต่ละอันจะมีที่อยู่ IP ที่ไม่ซ้ำกัน.

โชคดีที่ข้อเสียทั้งหมดเหล่านี้ (บันทึกครั้งแรก) สามารถแก้ไขได้โดยใช้ VPN หากคุณตั้งค่า VPN ให้เชื่อมต่อโดยใช้ที่อยู่ IP เดียวจากนั้นคุณสามารถเพิ่มไปยังไฟล์ htaccess ของคุณและปัญหาทั้งหมดของคุณจะได้รับการแก้ไข.

6. ปกป้อง wp-config.php และ. htaccess จากทุกคน

WordPress อีคอมเมิร์ซการรักษาความปลอดภัยช้อปปิ้งเคล็ดลับ

WP-config.php ไฟล์มีข้อมูลการเข้าถึงที่ละเอียดอ่อนที่สุดของไซต์ WordPress ของคุณ มันมีชื่อฐานข้อมูลและการเข้าถึงข้อมูลรับรองและข้อมูลสำคัญอื่น ๆ อีกมากมายท่ามกลางการตั้งค่าอื่น ๆ คุณไม่ต้องการให้คนอื่นดูไฟล์นี้ และแน่นอนคุณต้องการปิดใช้งานการเข้าถึงสาธารณะไปยังแหล่งที่มาของการรักษาความปลอดภัยทั้งหมดนี้ – .htaccess ไฟล์ตัวเอง คุณสามารถปิดการเข้าถึง WP-config.php ด้วยรหัสต่อไปนี้:

# ปฏิเสธการเข้าถึงไฟล์ wp-config.php

คำสั่งอนุญาต, ปฏิเสธ
ปฏิเสธจากทั้งหมด

หากต้องการปฏิเสธการเข้าถึงไฟล์ htaccess ทั้งหมด (โปรดจำไว้ว่าบางไฟล์อาจอยู่ใน wp-admin และโฟลเดอร์อื่น ๆ ) ให้ใช้ข้อมูลโค้ดนี้:

# ปฏิเสธการเข้าถึงไฟล์. htaccess ทั้งหมด

คำสั่งอนุญาต, ปฏิเสธ
ปฏิเสธจากทั้งหมด
พึงพอใจทุกคน

7. ปฏิเสธรูปภาพ Hotlinking

ภาพ hotlinking

หนึ่งในแฮ็กไฟล์. htaccess ที่เจ๋งที่สุดอันนี้ส่งแครปเปอร์เนื้อหาที่ทำงานด้วยหางระหว่างขา เมื่อมีคนใช้รูปภาพของไซต์ของคุณแบนด์วิดท์ของคุณกำลังถูกใช้ไปและส่วนใหญ่คุณจะไม่ได้รับเครดิต ข้อมูลโค้ดนี้จะกำจัดปัญหาดังกล่าวและส่งภาพนี้เมื่อตรวจพบการเชื่อมโยง.

# ป้องกันสคริปต์ hotlinking ภาพ แทนที่ URL สุดท้ายด้วยลิงค์รูปภาพใด ๆ ที่คุณต้องการ.
เขียนใหม่เปิด
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ http (s)?: // (www \.)? yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ http (s)?: // (www \.)? yourotherwebsite.com [NC]
RewriteRule \. (jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. เปิดใช้งานการแคชเบราว์เซอร์

รายการเว็บเบราว์เซอร์

หรือที่เรียกว่าแคชฝั่งไคลเอ็นต์แฮ็ก. htaccess นี้พร้อมเปิดใช้งานตัวเลือกการแคชเบราว์เซอร์ที่แนะนำสำหรับไซต์ WordPress ของคุณ คุณสามารถใช้มันในโครงการอื่น ๆ – ไซต์ HTML เป็นต้น.

# ติดตั้งแคชเบราว์เซอร์

ExpiresActive On
ExpiresByType ภาพ / jpg "เข้าถึง 1 ปี"
ExpiresByType อิมเมจ / jpeg "เข้าถึง 1 ปี"
ExpiresByType อิมเมจ / gif "เข้าถึง 1 ปี"
ExpiresByType อิมเมจ / png "เข้าถึง 1 ปี"
ExpiresByType ข้อความ / css "เข้าถึง 1 เดือน"
แอปพลิเคชั่น ExpiresByType / pdf "เข้าถึง 1 เดือน"
ExpiresByType ข้อความ / x-javascript "เข้าถึง 1 เดือน"
ExpiresByType แอปพลิเคชัน / x-shockwave-flash "เข้าถึง 1 เดือน"
ExpiresByType image / x-icon "เข้าถึง 1 ปี"
ExpiresDefault "เข้าถึง 2 วัน"

9. เปลี่ยนเส้นทางไปยังหน้าการบำรุงรักษา

shutterstock_93288208

เมื่อคุณโอนย้ายเว็บโฮสต์หรือดำเนินการบำรุงรักษาบางอย่างขอแนะนำให้สร้างไฟล์ HTML“ หยุดทำงานเพื่อการบำรุงรักษา” แบบคงที่เพื่อแจ้งผู้เยี่ยมชมของคุณว่าเว็บไซต์กำลังดำเนินการอัปเกรดหรือบำรุงรักษา เพียงแค่สร้างไฟล์ maintenance.html (หรือชื่อไฟล์อื่น ๆ ) แล้วอัปโหลดไปยังไดเรกทอรีการติดตั้ง WordPress พื้นฐาน วางข้อมูลโค้ดต่อไปนี้ในไฟล์. htaccess ของคุณ เมื่อการดำเนินการสิ้นสุดลงตรวจสอบให้แน่ใจว่าได้ลบหรือใส่เครื่องหมายบรรทัดเหล่านี้เพื่อกลับไปยังการทำงานโดยรวม คุณสามารถแสดงความคิดเห็นด้วยการต่อท้าย ‘#’ ที่จุดเริ่มต้นของแต่ละบรรทัด.

# เปลี่ยนเส้นทางการรับส่งข้อมูลทั้งหมดไปยังไฟล์ maintenance.html
เขียนใหม่เปิด
RewriteCond% {REQUEST_URI}! /maintenance.html อื่น ๆ
เขียนซ้ำ% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. หน้าข้อผิดพลาดที่กำหนดเอง

แม่แบบ 404

นอกจากนี้คุณยังสามารถไฟล์. htaccess เพื่อกำหนดค่าหน้าข้อผิดพลาดที่กำหนดเองที่ใช้งานง่ายสำหรับข้อผิดพลาดเช่น 403, 404 และ 500 เมื่อคุณเตรียมหน้าข้อผิดพลาด – สมมติว่า error.html ให้อัปโหลดไปยังไดเรกทอรีการติดตั้ง WordPress พื้นฐานของคุณ จากนั้นเพิ่มโค้ดต่อไปนี้ในไฟล์. htaccess ของคุณเพื่อเปิดใช้งานหน้าข้อผิดพลาดที่กำหนดเอง:

# หน้าข้อผิดพลาดที่กำหนดเองสำหรับข้อผิดพลาด 403, 404 และ 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

สรุป:

วันนี้เราได้เรียนรู้การแฮ็ก htaccess ที่ยอดเยี่ยมที่สุดเพื่อเสริมสร้างไซต์ WordPress ของคุณ ฉันขอแนะนำให้คุณลองแต่ละโมดูลทีละตัวในขณะที่ทำการสำรองข้อมูลของไฟล์. htaccess ก่อนและหลังการทดสอบแต่ละโมดูล นี่เป็นเพราะไฟล์. htaccess มีความสำคัญมาก อักขระ ‘#’ ที่หายไปหรือหายไป ‘‘อาจทำลายความสมบูรณ์ของเว็บไซต์ของคุณ หากคุณเข้าถึงแดชบอร์ด WordPress ของคุณอยู่บ่อย ๆ ไม่แนะนำให้เปิดใช้งาน IP ที่เลือกให้กับคุณ WP-ผู้ดูแลระบบ โฟลเดอร์.

ไปที่คุณ – สิ่งที่คุณใช้ในการโพสต์นี้ คุณคิดว่านี่เป็นปัญหาของการแก้ไขไฟล์ htaccess หรือไม่ คุณรู้เคล็ดลับความปลอดภัยที่ดีกว่านี้หรือไม่? เราชอบที่จะได้ยินจากคุณ.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map