Zabezpečení WordPress je jedním z nejvíce podkopaných faktorů mezi začínajícími bloggery. V instalaci bez dozoru WordPress existuje několik potenciálních zranitelností, které zůstanou bez dozoru. Většina instalačních tutoriálů WordPress vysvětluje rychlý a snadný způsob nasazení WordPress během několika minut. Chybí jim však několik důležitých bezpečnostních faktorů. Prohledávání adresářů a používání uživatelského jména „admin“ jsou například považovány za závažné bezpečnostní mezery. Dnes se podíváme na 10 útržků kódu .htaccess, které pomohou zlepšit zabezpečení vašeho blogu WordPress. Než začneme, podívejme se rychle na to, co je soubor htaccess.
Contents
- 1 Co je .htaccess soubor?
- 2 1. Blokujte špatné roboty
- 3 2. Zakažte procházení adresářů
- 4 3. Povolit pouze vybrané soubory z obsahu wp
- 5 4. Omezte veškerý přístup na wp-include
- 6 5. Povolte přístup pouze vybraným IP adresám wp-admin
- 7 6. Chraňte wp-config.php a .htaccess před všemi
- 8 7. Deny Image Hotlinking
- 9 8. Povolte mezipaměť prohlížeče
- 10 9. Přesměrovat na stránku Údržba
- 11 10. Vlastní chybové stránky
Co je .htaccess soubor?
Soubor htaccess je volitelný konfigurační soubor, který má webový server Apache interpretovat pro každý adresář. Do tohoto souboru můžete uložit různá nastavení, například: chránit heslem adresář, blokovat adresy IP, blokovat soubor nebo složku před veřejným přístupem atd. Soubor .htaccess je tradičně přítomen v základním instalačním adresáři WordPress. Ve výchozím nastavení ukládá permalinkovou strukturu.
SPROPITNÉ: Než začnete s tutoriálem, nezapomeňte zálohovat aktuální soubor .htaccess (pokud existuje) ve službě cloudového úložiště, jako je Dropbox. Tím se vrátíte zpět k poslednímu známému funkčnímu souboru .htaccess, pokud váš fragment kódu zlomí váš web. Pojďme začít.
1. Blokujte špatné roboty
Jedním z nejlepších způsobů použití souboru .htaccess je jeho schopnost zabránit více IP adresám v přístupu na váš web. To je užitečné při blokování známých spammerů a dalších původů podezřelého nebo škodlivého přístupu. Kód je:
# Blokovat jednu nebo více IP adres.
# Nahraďte IP_ADDRESS_ * IP, kterou chcete zablokovat
objednávka dovolit, popřít
odepřít z IP_ADDRESS_1
odepřít z IP_ADDRESS_2
dovolit ze všech
Kde IP_ADDRESS_1 je první IP, kterému chcete zabránit v přístupu na váš web. Můžete přidat libovolný počet adres IP. Bez ohledu na to, jaké uživatelské agenty (prohlížeče) používají tyto adresy IP, nebudou mít ze svého serveru přístup k jednomu souboru. Webový server automaticky odepře veškerý přístup.
2. Zakažte procházení adresářů
Toto je jedna z nejvíce podkopaných bezpečnostních nedostatků na webu WordPress. Ve výchozím nastavení webový server Apache umožňuje procházení adresářů. To znamená, že všechny soubory a složky uvnitř kořenového adresáře (někdy nazývaného domovský adresář) webového serveru jsou přístupné a přístupné návštěvníkovi. To nechcete, protože nechcete, aby lidé procházeli vaše nahraná média nebo soubory motivů nebo pluginů.
Pokud náhodně vyberu 10 osobních nebo firemních webových stránek se systémem WordPress, nebude 6-8 z nich zakázáno procházení adresářů. To dovoluje kdokoliv snadno čichat kolem wp-content / uploads složku nebo jakýkoli jiný adresář, který nemá výchozí index.php soubor. Snímek obrazovky, který vidíte, je ve skutečnosti z jednoho z mých klientských stránek, než jsem doporučil opravu. Úryvek kódu pro deaktivaci procházení adresářů:
# Zakázat procházení adresářů
Možnosti Všechny - Indexy3. Povolit pouze vybrané soubory z obsahu wp
Jak víte wp-content Složka obsahuje nejvíce vašich motivů, pluginů a všech nahraných médií. Určitě nechcete, aby k ní lidé přistupovali bez omezení. Kromě deaktivace procházení adresářů můžete také zakázat přístup ke všem typům souborů, kromě několika. V podstatě můžete selektivně odblokovat soubory jako JPG, PDF, DOCX, CSS, JS atd. A odepřít zbytek. Chcete-li to provést, vložte tento fragment kódu do souboru .htaccess:
# Zakázat přístup ke všem typům souborů kromě následujících
Objednávka popírat, dovolit
Odepřít všem
Povolit od všech
Musíte vytvořit nový soubor .htaccess s kódem a vložit jej do wp-content složku. Nepokládejte to do základního instalačního adresáře – jinak to nebude fungovat. Do seznamu můžete také přidat libovolný typ souboru připojením znaku „|“ za „rar“. Výše uvedený seznam obsahuje potřebné soubory – XML, CSS a JavaScript, běžné formáty obrázků a dokumentů a nakonec nejpoužívanější archivní formáty.
4. Omezte veškerý přístup na wp-include
WP-složka obsahuje pouze soubory, které jsou nezbytně nutné ke spuštění základní verze WordPress – jeden bez doplňků nebo motivů. Pamatujte, že výchozí motiv stále zůstává v wp-content / theme adresář. Žádný návštěvník (včetně vás) by tedy neměl vyžadovat přístup k obsahu webu wp-include složku. Přístup můžete zakázat pomocí následujícího fragmentu kódu:
# Blokovat wp - obsahuje složku a soubory
PřepsatEngine zapnuto
PřepsatBase /
RewriteRule ^ wp-admin / zahrnuje / - [F, L]
RewriteRule! ^ Wp-zahrnuje / - [S = 3]
RewriteRule ^ wp - obsahuje / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp - obsahuje / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-zahrnuje / téma-kompatibilní / - [F, L]
5. Povolte přístup pouze vybraným IP adresám wp-admin
wp-admin Složka obsahuje soubory potřebné ke spuštění řídicího panelu WordPress. Ve většině případů návštěvníci nepotřebují přístup k ovládacímu panelu WordPress, pokud si nechtějí zaregistrovat účet. Dobrým bezpečnostním opatřením je umožnit přístup pouze několika vybraným IP adresám wp-admin složku. Můžete povolit adresy IP lidí, kteří potřebují přístup k ovládacímu panelu WordPress – editory, přispěvatelé a další administrátoři. Tento fragment kódu umožňuje přístup pouze k pevným adresám IP wp-admin složky a odepře přístup do zbytku světa.
# Omezte přihlášení a správu podle IP
zakázat, dovolit
popírat ze všeho
povolit od 302,143,54,102
povolit od IP_ADDRESS_2
Ujistěte se, že vytvoříte nový soubor .htaccess a vložíte jej do složky wp-admin, nikoli do základního instalačního adresáře. Pokud je to druhý, nikdo kromě vás nebude moci procházet vaše stránky – ani vyhledávače! Určitě to nechcete. Několik pádů tohoto opatření je následující:
- Pokud váš web umožňuje nebo propaguje registrace nového uživatele, bylo by téměř nemožné sledovat počet uživatelů. Například ve WPExplorer, pokud si chcete stáhnout naše úžasná bezplatná témata, musíte se zaregistrovat.
- Lidé s dynamické IP adresy (většinou uživatelé širokopásmového připojení ADSL používající protokoly PPP nebo PPPoE) mají své IP adresy změněny pokaždé, když se odhlásí a přihlásí k svému ISP. Určitě by bylo nepraktické sledovat všechny tyto IP a přidávat je do souboru htaccess.
- Mobilní širokopásmové připojení: Ať už jste na 3G nebo 4G, vaše IP adresa závisí na aktuální mobilní věži, ke které jste připojeni. Řekněme, že jste na cestách – vaše IP se bude neustále měnit s každým pár mil od pohybu. Sledování souboru htaccess je opět téměř nemožné.
- Veřejné hotspoty Wi-Fi: Použití pověření při připojení k internetu pomocí veřejného hotspotu Wi-Fi je velké ne-ne, protože dítě s malým softwarem může extrahovat každou postavu, kterou píšete. Nemluvě o tom, každý hotspot Wi-Fi bude mít jedinečnou IP adresu.
Naštěstí lze všechny tyto nevýhody (kromě první) odstranit pomocí VPN. Pokud nastavíte připojení VPN pomocí jediné adresy IP, můžete ji jednoduše přidat do souboru htaccess a všechny vaše problémy budou vyřešeny..
6. Chraňte wp-config.php a .htaccess před všemi
wp-config.php soubor obsahuje nejcitlivější přístupová pověření vašeho webu WordPress. Obsahuje mimo jiné název databáze a přístupové údaje a různá další kritická data. Za žádných okolností nechcete, aby se do tohoto souboru dívali i další lidé. A samozřejmě chcete zakázat veřejný přístup ke zdroji všech těchto zabezpečení – .htaccess soubor sám. Přístup můžete zakázat wp-config.php s tímto následujícím kódem:
# Odepřít přístup k souboru wp-config.php
objednávka dovolit, popřít
popírat ze všeho
Chcete-li odepřít přístup ke všem souborům htaccess (pamatujte, že některé se mohou nacházet ve wp-admin a dalších složkách), použijte tento fragment kódu:
# Odepřít přístup ke všem souborům .htaccess
objednávka dovolit, popřít
popírat ze všeho
uspokojit všechny
7. Deny Image Hotlinking
Jeden z nejchladnějších hacků .htaccess file, tento odesílá škrabky na obsah běžící s ocasem mezi nohama. Když někdo použije obrázek vašich stránek, vaše šířka pásma se spotřebovává a většinu času za to nemáte ani kredit. Tento fragment kódu eliminuje tento problém a odešle tento obrázek, když je detekován horký odkaz.
# Zabránit skriptu pro propojení obrázků. Nahraďte poslední adresu URL libovolným odkazem na obrázek, který chcete.
PřepsatEngine on
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]8. Povolte mezipaměť prohlížeče
Tento hacker .htaccess, známý také jako ukládání do mezipaměti na straně klienta, s povolením doporučených možností mezipaměti prohlížeče pro váš web WordPress. Můžete je také použít v jiných projektech – HTML weby atd.
# Nastavení mezipaměti prohlížeče
Platnost vyprší
ExpiresByType image / jpg "přístup 1 rok"
ExpiresByType image / jpeg "přístup 1 rok"
ExpiresByType image / gif "access 1 year"
ExpiresByType image / png "access 1 year"
ExpiresByType text / css "přístup 1 měsíc"
ExpiresByType application / pdf "access 1 month"
ExpiresByType text / x-javascript "přístup 1 měsíc"
ExpiresByType application / x-shockwave-flash "access 1 month"
ExpiresByType image / x-icon "access 1 year"
ExpiresDefault "access 2 days"
9. Přesměrovat na stránku Údržba
Pokud provádíte migraci webhostingů nebo provádíte nějaký úkol údržby, vždy se doporučuje vytvořit statický soubor HTML „down for maintenance“, který informuje návštěvníky o tom, že web prochází aktualizací nebo údržbou. Jednoduše vytvořte soubor maintenance.html (nebo jakýkoli jiný název souboru) a nahrajte jej do základního instalačního adresáře WordPress. Vložte následující zlomek do souboru .htaccess. Jakmile je operace ukončena, nezapomeňte tyto řádky odstranit nebo se k nim vrátit, abyste se vrátili k celkové operaci. Můžete komentovat přidáním znaku „#“ na začátek každého řádku.
# Přesměrovat veškerý provoz do souboru maintenance.html
PřepsatEngine on
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 10. Vlastní chybové stránky
Můžete také soubor .htaccess nakonfigurovat uživatelsky přívětivé vlastní chybové stránky pro chyby, jako jsou 403, 404 a 500. Jakmile připravíte svou chybovou stránku – řekněme error.html, nahrajte ji do svého základního instalačního adresáře WordPress. Poté do svého souboru .htaccess přidejte následující fragment kódu a povolte tak vlastní stránku chyb:
# Vlastní chybová stránka chyby 403, 404 a 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.htmlZávěr:
Dnes jsme se naučili některé z nejlepších hackerů htaccess pro posílení vašeho webu WordPress. Navrhuji, abyste si vyzkoušeli každý modul jeden po druhém a zároveň si zálohovali soubor .htaccess před a po testování každého modulu. Je to proto, že soubor .htaccess je velmi kritický. Chybějící znak „#“ nebo nesprávně umístěný ‘Může poškodit integritu vašeho webu. Pokud přistupujete k ovládacímu panelu WordPress často na cestách, doporučujeme vám nepovolit selektivní adresy IP wp-admin složku.
Záleží na vás – jaký je váš názor na tento příspěvek? Myslíte si, že se vyplatí upravit soubor htaccess? Znáte lepší bezpečnostní tip? Rádi bychom od vás slyšeli.
