Mbroni faqen tuaj WordPress me .htaccess

Përmbajtje

• Konfigurimi i skedarit .htaccess
• Mbroni wp-config.php
• Hyrja e administratorit vetëm nga IP-ja juaj
• Ndalimi i përdoruesve të këqij
• Asnjë shfletim direktorie
• Parandaloni hyrjen në përmbajtjen wp
• Mbrojtja individuale e skedarit
• Mbroni .htaccess

WordPress është pa dyshim CMS më i popullarizuar në këtë moment në kohë, duke zvarritur opsione të tjera të tilla si Joomla dhe Drupal.

Ndërsa kjo është një gjë e mirë për WordPress, ajo tani ka një komunitet shumë të madh dhe aktiv që kontribuon në shtesa, tema dhe rregullime, por me këtë rritje ajo tani ka edhe pikat e saj të këqija… Kur gjithçka bëhet kaq e madhe, njerëzit do të gjejnë mënyra për të sulmoni CMS në fjalë për çfarëdo arsye që ata e gjykojnë të arsyeshme.

Detyra jonë si përdorues të WordPress (përveç kontributit në komunitetin WordPress) është mbajtja e instalimeve tona të sigurta nga njerëzit që nuk duam të hyjnë në faqet tona.

Ka shtojca të shumta për të ndihmuar në mbrojtjen e mbrojtjeve tona WordPress të tilla si Login LockDown që regjistron adresën IP dhe i bllokon ato pas një numri të caktuar përpjekjesh për hyrje që ndihmon kundër sulmeve të forcës brutale.

Një tjetër është WP Security Scan i cili kontrollon instalimin tuaj për dobësi dhe sugjeron metoda të mundshme për rregullimin e gjithçkaje që mund të gjejë.

Një nga metodat më të injoruara për të mbajtur të sigurt instalimin tuaj është azhurnimi i instalimit tuaj kur azhurnimet bëhen të disponueshme që siguron që të gjitha riparimet dhe rregullimet më të fundit të zbatohen në faqen tuaj. (Ju gjithashtu mund të hiqni skedarët readme.html dhe license.txt nga drejtoria rrënjësore pasi ato shfaqin numrin e versionit të WordPress që keni instaluar.)

Konfigurimi i skedarit .htaccess

Përveç shtojcave, ka një numër shtesash që mund të bëni në skedarin tuaj .htaccess i cili në bashkëpunim me shtojcat dhe azhurnimet e rregullta do të forcojnë sigurinë e faqes tuaj dhe do t'ju japin atë nivel shtesë të mbrojtjes.

Unë do të mbuloj disa nga këto që ndjej se mbrojnë disa nga gjërat thelbësore në instalimin tuaj të WordPress dhe do t'ju tregoj se si dhe ku të shtoni fragmentet e kodit; nuk keni pse të përdorni secilën, vetëm çfarëdo që ndjeni do t'ju ndihmonte të siguronit faqen tuaj.

Skedari tipik WordPress .htaccess duket i ngjashëm me këtë:

# BEGIN WordPressIfModule mod_rewrite.c> RewriteEngine OnRewriteBase / RewriteRule ^ indeksi .php $ - [L] RewriteCond% {REQUEST_FILENAME}! -FRewriteCond% {REQUEST_FILENAME}! -DRewriteRule. /index.php [L] / IfModule> # FUND WordPress

Unë do të sugjeroja çdo shtesë në skedarin .htaccess që do të shtohet pas # FUND WordPress.

Kjo do të sigurojë që të mos thyeni asnjë nga funksionet .htaccess të bazuar në WordPress. Para se të bëni ndonjë ndryshim në skedarin tuaj .htaccess, unë fuqimisht rekomandoj që ta kopjoni dhe ta ruani të ruajtur në një vend të sigurt!

Mbroni wp-config.php

wp-config.php është skedari në direktorinë tuaj rrënjësore që ruan informacione në lidhje me faqen tuaj si dhe detajet e bazës së të dhënave, në veçanti këtë skedar nuk do të dëshironim të binim në duar të gabuara.

Në .htaccess tuaj shtoni sa vijon për të parandaluar çdo qasje në skedarin wp-config.php:

Skedarët wp-config.php> leja e porosisë, mohimi nga të gjithë / Skedarët>

Hyrja e administratorit vetëm nga IP-ja juaj

Mund të kufizoni se kush mund të ketë qasje në dosjen tuaj të administratorit nga adresa IP, për ta bërë këtë do t'ju duhet të krijoni një skedar të ri .htaccess në redaktuesin tuaj të tekstit dhe ta ngarkoni në dosjen tuaj wp-admin.

Fragmenti i mëposhtëm mohon hyrjen në dosjen e administratorit për të gjithë, me përjashtim të adresës tuaj IP, por ju lutem vini re nëse keni një IP dinamike, mund t'ju duhet ta ndryshoni rregullisht këtë skedar përndryshe juve do t'ju refuzohet hyrja!

mohoni porosinë, lejoni të lejohet nga 202.090.21.1 (zëvendësoni me adresën tuaj IP) mohoni nga të gjithë

Ndalimi i përdoruesve të këqij

Nëse keni të njëjtën adresë IP duke u përpjekur të përdorni përmbajtjen tuaj ose duke u përpjekur të shtrëngoni me forcë faqet tuaja të administratorit, mund ta ndaloni këtë person duke përdorur .htaccess me këtë fragment të thjeshtë:

Limit GET POST> lejo porosinë, moho nga 202.090.21.1 lejo nga të gjithë / Limit>

Ky person tani nuk do të jetë në gjendje të hyjë në faqen tuaj. Mund të shtoni më shumë duke replikuar vijën e mohimit, për shembull:

Kufizo GET POST> lejo porosinë, moho nga 202.090.21.1nën nga 204.090.21.2 lejo nga të gjitha / Limit>

Asnjë shfletim direktorie

Meqenëse WordPress tani është kaq i popullarizuar, shumë njerëz e dinë strukturën e instalimit të WordPress dhe dinë se ku të kërkojnë për të zbuluar se çfarë shtojcash mund të përdorni ose ndonjë skedar tjetër që mund të japë shumë informacion në lidhje me faqen tuaj, një mënyrë për ta luftuar këtë është për të parandaluar shfletimin e drejtorive.

# shfletimi i direktoriveOpcionet Të gjitha -Treguesit

Parandaloni hyrjen në përmbajtjen wp

Dosja me përmbajtje wp përmban imazhe, tema dhe shtesa dhe është një dosje shumë e rëndësishme brenda instalimit tuaj WordPress, kështu që ka kuptim të parandaloni që të huajt të mos e qasin atë.

Kjo kërkon që është skedar .htaccess shumë i vetë, i cili duhet të shtohet në dosjen me përmbajtje wp, i lejon përdoruesit të shohin imazhe, CSS etj ... por mbron skedarët e rëndësishëm PHP:

Refuzo porosinë, lejo Denin nga allFiles ". (Xml | css | jpe? G | png | gif | js) $"> Lejo nga të gjithë / Skedarët>

Mbrojtja individuale e skedarit

Ka skedarë të caktuar që ju mund të dëshironi të mbroni individualisht në vend që të bllokoni një dosje të tërë ose zgjedhje. Shembulli i fragmentit tregon se si do të parandalonit hyrjen në skedarin .htaccess dhe do të hidhni një 403 nëse mund të aksesohet nga dikush. Emri i skedarit mund të ndryshohet në cilindo skedar që dëshironi të mbroni:

# Mbroni .htaccessfiles .htaccess = ""> urdhri lejoni, mohoni nga të gjitha / skedarët>

Mbroni .htaccess

Tingëllon e çmendur, hë? Ne harxhojmë kaq shumë kohë duke u shqetësuar nëse kemi të instaluara shtojcat dhe rregullimet e duhura, ne nuk kemi parasysh faktin se skedari .htaccess është ende i hapur për t’u sulmuar.

Kjo fragment në thelb ndalon këdo që shikon ndonjë skedar në faqen tuaj që fillon me të "hta", kjo do ta mbrojë dhe do ta bëjë disi më të sigurt.

Skedarët "^. * . ([Hh] [Tt] [Aa])"> lejo urdhrin, moho nga të gjitha të kënaqësh të gjithë / Skedarët>

Ne kemi mbuluar mënyrën e ndalimit të përdoruesve, parandalimin e ndokujt përveç jush që hyn në dosjen tuaj të administratorit, mënyrën e parandalimit të shfletimit të drejtorive, mbrojtjen e skedarit tuaj wp-config.php, mbrojtjen e dosjes tuaj me përmbajtje wp, mbrojtjen e skedarëve individualë dhe madje mbrojtjen e skedarit tuaj .htaccess.

Kjo listë e fragmenteve në asnjë mënyrë nuk është ezauruar, ka një numër gjërash të tjera që mund të bëni për të mbrojtur faqen tuaj përmes .htaccess, por artikujt që kam mbuluar ndihmojnë për të mbrojtur disa nga skedarët dhe dosjet kryesore në faqen tuaj dhe t'i mbani ato larg syve kureshtarë.