Els millors fragments .htaccess per millorar la seguretat de WordPress

La seguretat de WordPress és un dels factors més perjudicats entre els blocaires novells. En una instal·lació de WordPress no supervisada, hi ha algunes vulnerabilitats potencials que es mantenen sense vigilància. La majoria dels tutorials d’instal·lació de WordPress expliquen una forma fàcil i ràpida de desplegar WordPress en pocs minuts. Però falten alguns factors importants de seguretat. Per exemple, la navegació de directori i l’ús del nom d’usuari de “administrador” es consideren llacunes de seguretat greus. Avui farem un cop d’ull a 10 fragments de codi .htaccess que ajudaran a millorar la seguretat del vostre bloc de WordPress. Abans de començar, mirem ràpidament el que és el fitxer htaccess.


Què és el fitxer .htaccess?

Un fitxer htaccess és un fitxer de configuració opcional que el servidor web Apache interpretarà per a cada directori. Podeu emmagatzemar diversos paràmetres en aquest fitxer, com ara: protegir amb contrasenya un directori, bloquejar IP, bloquejar un fitxer o carpeta de l’accés públic, etc. Tradicionalment, el fitxer .htaccess està present al directori d’instal·lació de WordPress. Emmagatzema l’estructura de l’enllaç de manera predeterminada.

CONSELL: Abans de començar amb el tutorial, assegureu-vos de fer una còpia de seguretat del fitxer .htaccess actual (si hi ha) en un servei d’emmagatzematge en núvol com Dropbox. Es tracta de tornar a l’últim fitxer .htaccess en funcionament conegut, si un fragment de codi determinat trenca el vostre lloc. Anem a començar.

1. Bloqueu els robots no desitjats

mals bots

Un dels millors usos del fitxer .htaccess és la seva capacitat per negar diverses adreces IP des del vostre lloc. Això és útil per bloquejar els spammers coneguts i altres orígens d’accés sospitós o malintencionat. El codi és:

# Bloqueu una o més adreces IP.
# Substitueix IP_ADDRESS_ * per la IP que voleu bloquejar


ordre permetre, negar
denegar d’IP_ADDRESS_1
denegar d’IP_ADDRESS_2
permetre de tots

On IP_ADDRESS_1 és la primera IP que voleu impedir accedir al vostre lloc. Podeu afegir tantes IP que vulgueu. Independentment de quins són els agents d’usuari (navegadors) d’aquestes adreces IP, no podran accedir a un sol fitxer des del vostre servidor. El servidor web denegarà automàticament tot l’accés.

2. Desactiveu la navegació de directoris

wordpress htaccess hack desactiva la navegació de directoris

Aquest és un dels defectes de seguretat més perjudicats en un lloc de WordPress. De manera predeterminada, el servidor web Apache permet la navegació de directoris. Això significa que tots els fitxers i carpetes del directori arrel (de vegades anomenat directori domèstic) del servidor web són capaços i accessibles per un visitant. No ho desitgeu perquè no voleu que la gent navegui a través de les càrregues de suports o els fitxers de temes o complements.

Si, a l’atzar, escull 10 llocs web personals o d’empresa que funcionen amb WordPress, 6-8 d’ells no tindran desactivada la navegació de directoris. Això permet ningú per arrasar fàcilment al voltant wp-content / càrregues carpeta o qualsevol altre directori que no tingui el valor predeterminat index.php dossier. De fet, la captura de pantalla que veieu és del lloc del meu client abans de recomanar-vos la correcció. Fragment de codi per desactivar la navegació de directoris:

# Desactiva la navegació de directoris
Opcions Totes -Indexes

3. Permet només fitxers seleccionats amb contingut wp

shutterstock_108312266

Com ja sabeu contingut wp La carpeta conté la majoria de temes, plugins i totes les càrregues de suports. Segur que no voldreu que la gent hi pugui accedir sense restriccions. A més de desactivar la navegació de directoris, també podeu denegar l’accés de tots els tipus de fitxers, excepte alguns. En essència, podeu desbloquejar selectivament fitxers com JPG, PDF, DOCX, CSS, JS, etc., i denegar-los de la resta. Per fer-ho, enganxeu aquest fragment de codi al fitxer .htaccess:

# Desactiva l'accés a tots els tipus de fitxer, excepte el següent
Ordenar negar, permetre
Negar de tots

Permet de tots

Heu de crear un fitxer .htaccess nou amb el codi i enganxar-lo al fitxer contingut wp carpeta. No el poseu al directori d’instal·lació base, sinó que no funcionarà. També podeu afegir qualsevol tipus de fitxer a la llista afegint un “|” després de “rar”. La llista anterior conté els fitxers necessaris: XML, CSS i JavaScript, formats d’imatges i documents comuns i finalment els formats d’arxiu més utilitzats.

4. Restringiu tot l’accés a wp-include

shutterstock_135573032

El carpeta wp-inclou conté només els fitxers que són estrictament necessaris per executar la versió bàsica de WordPress, un sense cap complement o tema. Recordeu que el tema predeterminat resideix al wp-content / theme directori. Per tant, cap visitant (inclòs tu) hauria de requerir accés al contingut del document wp-include carpeta. Podeu desactivar l’accés mitjançant aquest fragment de codi següent:

# Block wp-include carpeta i fitxers

ReescriuEngina activada
RewriteBase /
RewriteRule ^ wp-admin / inclou / - [F, L]
RewriteRule! ^ Wp-include / - [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]

5. Permet només accedir a wp-admin a Adreces IP seleccionades

shutterstock_140373169

El wp-administrador la carpeta conté els fitxers necessaris per executar el tauler de control de WordPress. En la majoria dels casos, els vostres visitants no necessiten accés al quadre de comandament de WordPress, tret que vulguin registrar un compte. Una bona mesura de seguretat és permetre que només algunes adreces IP seleccionades accedeixin a la secció wp-administrador carpeta. Podeu permetre les adreces IP de les persones que necessiten accés al tauler de control de WordPress: editors, col·laboradors i altres administradors. Aquest fragment de codi només permet accedir a les IP fixes wp-administrador carpeta i denega l’accés a la resta del món.

# Limita els registres i l'administrador per IP

ordenar negar, permetre
negar de tots
permetre des del 302.143.54.102
permeteu des d’IP_ADDRESS_2

Assegureu-vos que creeu un fitxer .htaccess nou i enganxeu-lo a la carpeta wp-admin i no al directori d’instal·lació base. Si és aquest últim, ningú tret que podràs navegar pel teu lloc, ni tan sols els motors de cerca. Certament, no ho voleu. Un parell d’inconvenients d’aquesta mesura són els següents:

  • Si el vostre lloc permet o promou nou registre d’usuaris, Seria gairebé impossible fer un seguiment del nombre d’usuaris. Per exemple, a WPExplorer, si voleu descarregar els nostres temes gratuïts impressionants, heu de registrar-vos.
  • Gent amb Adreces IP dinàmiques (majoritàriament usuaris de banda ampla ADSL que utilitzen protocols PPP o PPPoE) canvien les seves IP cada cop que es tanquen la sessió i s’inicien a la sessió d’identificació. Certament, no seria pràctic fer un seguiment de totes aquestes IP i afegir-les al fitxer htaccess.
  • Banda ampla mòbil: Tant si teniu 3G o 4G, la vostra adreça IP depèn de la torre de cel·les actual a la qual estigueu connectats. Digueu que esteu de viatge: la vostra IP canviarà constantment cada dos quilòmetres que us moveu des de l’origen. Un cop més, fer un seguiment del fitxer htaccess és gairebé impossible.
  • Hotspots Wi-Fi públics: L’ús de credencials quan es connecta a Internet mitjançant un hotspot Wi-Fi públic és un gran no-no, ja que un nen amb un programari minúscul pot extreure tots els personatges que escriviu. Per no dir, cada hotspot Wi-Fi tindrà una adreça IP única.

Per sort, tots aquests inconvenients (excepte el primer), es poden corregir mitjançant una VPN. Si configureu la vostra VPN per connectar-se amb una sola adreça IP, només podeu afegir-la al fitxer htaccess i tots els vostres problemes seran resolts..

6. Protegiu wp-config.php i .htaccess de tothom

wordpress-ecommerce-security-shopping-tips

El wp-config.php el fitxer conté les credencials d’accés més sensibles del vostre lloc WordPress. Conté el nom de la base de dades i les credencials d’accés i diverses altres dades crítiques, entre d’altres configuracions. En cap cas, voleu que altres persones consultin aquest fitxer. Per descomptat, voleu inhabilitar l’accés públic a l’origen de tota aquesta seguretat: el .htaccess arxiu en si. Podeu desactivar l’accés a wp-config.php amb el següent codi:

# Denegar l'accés al fitxer wp-config.php

ordre permetre, negar
negar de tots

Per denegar l’accés a tots els fitxers htaccess (recordeu que alguns poden residir a les carpetes wp-admin i altres), utilitzeu aquest fragment de codi:

# Denega l'accés a tots els fitxers .htaccess

ordre permetre, negar
negar de tots
satisfer a tots

7. Negar la relació directa d’imatges

connexió d’imatges

Un dels millors fitxers .htaccess dels fitxers, aquest envia rascadors de contingut que corren amb la cua entre les cames. Quan algú utilitza la imatge del vostre lloc, es consumeix l’amplada de banda i, la majoria de les vegades, ni tan sols se li acredita. Aquest fragment de codi elimina aquest problema i envia aquesta imatge quan es detecta un enllaç directe.

# Eviteu la seqüència d’ordres de connexió directa d’imatges. Substituïu l'últim URL amb qualsevol enllaç d'imatge que vulgueu.
ReescriuEngine activat
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC]
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourotherwebsite.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC, R, L]

8. Habilita la memòria cau del navegador

llista de navegadors web

També conegut com a caché del costat del client, aquest hack .htaccess permet activar les opcions de caché del navegador recomanades per al vostre lloc WordPress. També podeu utilitzar-lo en altres projectes: llocs HTML, etc..

# Configuració de la memòria cau del navegador

Caducitat activa
ExpiresByType image / jpg "accés un any"
ExpiresByType image / jpeg "accedeix a un any"
ExpiresByType image / gif "accés un any"
ExpiresByType image / png "accés un any"
ExpiresByType text / css "accés un mes"
Aplicació ExpiresByType / pdf "accés un mes"
ExpiresByType text / x-javascript "accés un mes"
Aplicació ExpiresByType / x-shockwave-flash "accés un mes"
ExpiresByType image / x-icon "accés un any"
Caduca predeterminada "accés 2 dies"

9. Redireccionar a una pàgina de manteniment

shutterstock_93288208

Quan migreu allotjaments web o realitzeu alguna tasca de manteniment, sempre es recomana crear un fitxer HTML “baix per a manteniment” estàtic per informar els vostres visitants que el lloc web està passant per una operació d’actualització o manteniment. Simplement, creeu un fitxer maintenance.html (o qualsevol altre nom de fitxer) i pengeu-lo al directori d’instal·lació de WordPress bàsic. Enganxeu el fragment següent al fitxer .htaccess. Un cop finalitzada l’operació, assegureu-vos de suprimir o comentar aquestes línies per tornar a l’operació general. Podeu comentar-ho afegint un “#” al començament de cada línia.

# Redirigeix ​​tot el trànsit al fitxer maintenance.html
ReescriuEngine activat
RewriteCond% {REQUEST_URI}! /Maintenance.html$
RewriteCond% {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
RewriteRule $ /maintenance.html [R = 302, L] 

10. Pàgines d’error personalitzades

Plantilla 404

També podeu fer el fitxer .htaccess per configurar pàgines d’error personalitzades d’ús fàcil per a errors com ara 403, 404 i 500. Una vegada que hàgiu preparat la pàgina d’error (diguem-ne error.html, pengeu-la al directori d’instal·lació de WordPress base. A continuació, afegiu el fragment de codi següent al fitxer .htaccess per habilitar la pàgina d’error personalitzada:

# Pàgina d'error personalitzada per als errors 403, 404 i 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

Conclusió:

Avui hem après alguns dels millors blocs htaccess per reforçar el vostre lloc de WordPress. Us suggeriria que proveu cada mòdul, un per un, mentre feu una còpia de seguretat del fitxer .htaccess abans i després de provar cada mòdul. Això és degut a que el fitxer .htaccess és molt crític. Falta un personatge “#” o fora de lloc”Podria destruir la integritat del vostre lloc. Si accedeixes sovint al tauler de WordPress de forma continuada, és recomanable no activar les vostres adreces IP selectives wp-administrador carpeta.

A tu, què en portes d’aquesta publicació? Creus que val la pena editar el fitxer htaccess? Coneixes algun consell de seguretat millor? Ens encantaria sentir-vos amb vosaltres.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map