15 Χρήσιμα αποσπάσματα .htaccess για τον ιστότοπό σας WordPress
Εχοντας ένα καλά διαμορφωμένο αρχείο .htaccess είναι ζωτικής σημασίας αν θέλετε να αυξήσει την ασφάλεια και μείωση των τρωτών σημείων στον ιστότοπό σας WordPress. Συνήθως, ο κύριος στόχος της δημιουργίας ενός προσαρμοσμένο αρχείο .htaccess είναι να αποτρέψετε την εκτόξευση του ιστότοπού σας, αλλά είναι επίσης ένας εξαιρετικός τρόπος για να χειριστείτε ανακατευθύνσεις και να διαχειριστείτε εργασίες που σχετίζονται με την προσωρινή μνήμη.
.Το htaccess είναι α αρχείο ρυθμίσεων που χρησιμοποιείται στους διακομιστές ιστού Apache. Οι περισσότεροι ιστότοποι του WordPress τρέχει σε ένα διακομιστή Apache, αν και ένα μικρό μέρος είναι powered by Nginx. Σε αυτό το άρθρο, μπορείτε να βρείτε ένα συλλογή των αποσπασμάτων κώδικα .htaccess, τα περισσότερα από τα οποία μπορείτε να χρησιμοποιήσετε για να εξασφαλίσετε τον ιστότοπό σας, ενώ τα υπόλοιπα υλοποιούν άλλα χρήσιμα χαρακτηριστικά.
Μην ξεχάσετε να το κάνετε δημιουργήστε αντίγραφο ασφαλείας του αρχείου .htaccess πριν την επεξεργαστείτε ώστε να μπορείτε πάντα επιστρέψτε στην προηγούμενη έκδοση αν κάτι πάει στραβά.
Και αν είστε κάποιος που δεν αγγίζει τα αρχεία ρυθμίσεων, σας συνιστώ BulletProof Ασφάλεια plugin που είναι η πιο αξιόπιστη (και ίσως η παλαιότερη) δωρεάν πρόσθετο ασφαλείας .htaccess στην αγορά.
Δημιουργήστε το προεπιλεγμένο WP .htaccess
.Το htaccess λειτουργεί σε ένα ανά κατάλογο πράγμα που σημαίνει ότι κάθε κατάλογος μπορεί να έχει το δικό του αρχείο .htaccess. Μπορεί εύκολα να συμβεί αυτό το site σας WordPress δεν έχει ακόμα αρχείο .htaccess. Αν δεν βρείτε ένα αρχείο .htaccess στον ριζικό κατάλογο δημιουργήστε ένα κενό αρχείο κειμένου και ονομάστε το .htaccess
.
Παρακάτω, μπορείτε να βρείτε το default .htaccess Το WordPress χρησιμοποιεί. Κάθε φορά που χρειάζεστε αυτόν τον κώδικα, μπορείτε να το αναζητήσετε γρήγορα στον Κώδικα WordPress. Σημειώστε ότι υπάρχει ένα διαφορετικό .htaccess για το WP Multisite.
# BEGIN WordPressRewriteEngine Στο RewriteBase / RewriteRule ^ ευρετήριο \ .php $ - [L] RewriteCond% REQUEST_FILENAME! -F RewriteCond% REQUEST_FILENAME! -D RewriteRule. /index.php [L] # END WordPress
Οι γραμμές που αρχίζουν με # #
είναι σχόλια. Μην επεξεργαστείτε τίποτα ανάμεσα στις γραμμές # BEGIN WordPress
και # END WordPress
. Προσθέστε τους προσαρμοσμένους κανόνες .htaccess κάτω από αυτούς τους προεπιλεγμένους κανόνες.
Όλα τα αποσπάσματα κώδικα μπορείτε να βρείτε σε αυτό το άρθρο μεταβείτε στο αρχείο πυρήνα .htaccess που βρέθηκαν στον ριζικό κατάλογο.
1. Καταργήστε την πρόσβαση σε όλα τα αρχεία .htaccess
Ο παρακάτω κώδικας αρνείται την πρόσβαση σε όλα τα αρχεία .htaccess που έχετε εγκαταστήσει στο WordPress. Με αυτό τον τρόπο μπορείτε να εμποδίσετε τους ανθρώπους να δουν το δικό σας διαμορφώσεις διακομιστή web.
# Καταργεί την πρόσβαση σε όλα τα αρχεία .htaccessΠαραγγελία Allow, Deny Deny from all Ικανοποίηση όλων
2. Προστατέψτε τη διαμόρφωση WP
ο wp-config.php
αρχείο περιέχει όλες τις διαμορφώσεις WP σας, συμπεριλαμβανομένων των στοιχείων σύνδεσης και του κωδικού πρόσβασης της βάσης δεδομένων σας. Μπορείτε είτε να το αρνηθείτε από όλους είτε από επιτρέπουν στους διαχειριστές να έχουν πρόσβαση σε αυτήν.
Αν το επιλέξετε σχόλιο έξω ο # Να επιτρέπεται από το xx.xx.xx.xxx
γραμμή (αφαιρέστε # #
από την αρχή της γραμμής) και εισαγάγετε τη διεύθυνση IP του διαχειριστή στη θέση του xx.xx.xx.xxx
.
# Προστατεύει το wp-configΠαραγγελία Allow, Deny # Allow από xx.xx.xx.xxx # Να επιτρέπεται από το yy.yy.yy.yyy Να αρνείται κανείς από όλα
3. Αποτρέψτε την επίθεση DDoS XML-RPC
WordPress υποστηρίζει XML-RPC από προεπιλογή, το οποίο είναι ένα διεπαφή που κάνει την απομακρυσμένη δημοσίευση δυνατόν. Ωστόσο, ενώ είναι ένα εξαιρετικό χαρακτηριστικό, είναι επίσης ένα από τα μεγαλύτερα ευπάθεια ασφαλείας του WP ως hackers μπορεί εκμεταλλευτείτε το για επιθέσεις DDoS.
Αν δεν θέλετε να χρησιμοποιήσετε αυτή τη λειτουργία, είναι καλύτερα να το κάνετε απενεργοποιήστε το. Όπως και πριν, μπορείτε προσθέστε εξαιρέσεις σχολιάζοντας ο # Να επιτρέπεται από το xx.xx.xx.xxx
line και προσθέτοντας τα IP των διαχειριστών σας.
# Προστατεύει το XML-RPC, αποτρέπει την επίθεση DDoSΠαραγγελία Deny, Allow # Allow από xx.xx.xx.xxx # Να επιτρέπεται από yy.yy.yy.yyy Deny από όλα
4. Προστατέψτε την περιοχή admin
Είναι επίσης καλή ιδέα προστασία της περιοχής διαχειριστή παρέχοντας πρόσβαση μόνο σε διαχειριστές. Εδώ, μην ξεχάσετε να το κάνετε προσθέστε τουλάχιστον ένα “Επιτρέπω” εξαίρεση διαφορετικά δεν θα έχετε πρόσβαση στον διαχειριστή σας καθόλου.
# Προστατεύει την περιοχή διαχείρισης με IP AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Διαχείριση πρόσβασης πρόσβασης διαχειριστή WordPress" AuthType BasicΑπαγόρευση παραγγελίας, Απαγόρευση απόρριψης από όλα Αφήστε από το xx.xx.xx.xxx Επιτρέψτε από το yy.yy.yy.yyy
5. Αποτρέψτε την καταχώριση καταλόγου
Οι περισσότερες ιστοσελίδες του WordPress δεν απενεργοποιούν την καταχώριση του καταλόγου, πράγμα που σημαίνει ότι μπορεί κανείς να το κάνει περιηγηθείτε τους φακέλους και τα αρχεία τους, συμπεριλαμβανομένων των μεταφορτώσεων μέσων και των αρχείων προσθήκης. Είναι περιττό να πούμε ότι πρόκειται για τεράστια ευπάθεια ασφάλειας.
Παρακάτω, μπορείτε να δείτε πώς τυπική λίστα καταλόγου WordPress μοιάζει.
Ευτυχώς, απλά χρειάζεστε μια γραμμή κώδικα για να αποκλείσετε αυτό το χαρακτηριστικό. Αυτό το απόσπασμα κώδικα θα επιστρέψει ένα μήνυμα σφάλματος 403 σε όποιον θέλει να έχει πρόσβαση στους καταλόγους σας.
# Αποκλείει την καταχώριση καταλόγων Επιλογές -Ενδείξεις
6. Αποτρέψτε την απαρίθμηση του ονόματος χρήστη
Αν είναι ενεργοποιημένα τα WP permalinks, είναι αρκετά εύκολο απαριθμήστε τα ονόματα χρηστών χρησιμοποιώντας τα αρχεία του συντάκτη. Τα αποκαλυπτόμενα ονόματα χρηστών (συμπεριλαμβανομένου του ονόματος χρήστη του διαχειριστή) μπορούν στη συνέχεια να χρησιμοποιηθούν βίαιες επιθέσεις δυνάμεων.
Εισαγάγετε τον παρακάτω κώδικα στο αρχείο .htaccess στο αποτρέψτε την απαρίθμηση του ονόματος χρήστη.
# Αποτρέπει την απαρίθμηση ονόματος χρήστη RewriteCond% QUERY_STRING author = d RewriteRule ^ /? [L, R = 301]
7. Αποκλεισμός spammers και bots
Μερικές φορές μπορεί να θέλετε να να περιορίσετε την πρόσβαση από ορισμένες διευθύνσεις IP. Αυτό το απόσπασμα κώδικα παρέχει έναν εύκολο τρόπο αποκλεισμού των spammers και των bots που γνωρίζετε ήδη.
# Αποκλεισμός spammers και botsΠαραγγελία Allow, Deny Deny από xx.xx.xx.xxx Άρνηση από yy.yy.yy.yyy Επιτρέψτε σε όλους
8. Αποτρέψτε την άμεση σύνδεση της εικόνας
Αν και δεν αποτελεί απειλή για την ασφάλεια, εικόνα hotlinking εξακολουθεί να είναι ένα ενοχλητικό πράγμα. Οι άνθρωποι όχι μόνο χρησιμοποιήστε τις εικόνες σας χωρίς την άδειά σας αλλά το κάνουν και με δικά σας έξοδα. Με αυτές τις λίγες γραμμές κώδικα, μπορείτε να προστατεύσετε τον ιστότοπό σας από την εικόνα hotlinking.
# Αποτρέπει την εικόνα hotlink RewriteEngine σε RewriteCond% HTTP_REFERER! ^ $ RewriteCond% HTTP_REFERER! ^ Http (s);: // (www \.); Yourwebsite.com [NC] RewriteCond% HTTP_REFERER (NCF, F, L), το οποίο μπορεί να χρησιμοποιηθεί για την εκτύπωση του αρχείου.
9. Περιορίστε την άμεση πρόσβαση σε αρχεία PHP plugin και θέμα
Μπορεί να είναι επικίνδυνο αν κάποιος καλεί απευθείας τα αρχεία προσθηκών και θεμάτων, είτε συμβαίνει τυχαία είτε από έναν κακόβουλο εισβολέα. Αυτό το απόσπασμα κώδικα προέρχεται από την εταιρεία ασφάλειας της ιστοσελίδας Acunetix. μπορείτε να διαβάσετε περισσότερα σχετικά με αυτό το θέμα ευπάθειας στην ανάρτησή τους στο blog.
# Περιορίζει την πρόσβαση σε αρχεία PHP από τους κατάλογους plugin και θεμάτων RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / file / to / exclude \ .php RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / / exclude / RewriteRule wp-content / plugins / (. * \. php) $ - [R = 404, L] RewriteCond% REQUEST_URI! ^ / wp-content / REQUEST_URI! ^ / Wp-content / themes / directory / to / exclude / RewriteRule wp-content / themes / (. * \ .Php) $ - [R =
10. Ορίστε μόνιμες ανακατευθύνσεις
Μπορείτε εύκολα χειριστείτε μόνιμες ανακατευθύνσεις με .htaccess. Πρώτα πρέπει να προσθέσετε το παλιά διεύθυνση URL, ακολουθήστε το νέα διεύθυνση URL που δείχνει τη σελίδα στην οποία θέλετε να ανακατευθύνετε το χρήστη.
# Μόνιμες ανακατευθύνσεις Ανακατεύθυνση 301 / oldurl1 / http://yoursite.com/newurl1 Ανακατεύθυνση 301 / oldurl2 / http://yoursite.com/newurl2
11. Στείλτε τους επισκέπτες σε μια σελίδα συντήρησης
Εμείς γράψαμε εδώ σχετικά με την τεχνική αυτή. Χρειάζεσαι ένα ξεχωριστή σελίδα συντήρησης (maintenance.html
στο παράδειγμα) για να λειτουργήσει αυτός ο κανόνας .htaccess. Αυτός ο κώδικας τοποθετεί τον ιστότοπό σας στο WordPress σε λειτουργία συντήρησης.
# Ανακατευθύνει στη σελίδα συντήρησηςRewriteEngine στο RewriteCond% REMOTE_ADDR! ^ 123 \ .456 \ .789 \ .000 RewriteCond% REQUEST_URI! /Maintenance.html$ [NC] RewriteCond% REQUEST_URI! \ (Jpe? G | png | gif ) [NC] RewriteRule. * / Διατήρηση.html [R = 503, L]
12. Περιορίστε όλη την πρόσβαση στο WP include
ο / wp-περιλαμβάνει /
ντοσιέ περιέχει τα βασικά αρχεία WordPress που είναι απαραίτητα για να λειτουργήσει το CMS. Δεν υπάρχει περιεχόμενο, προσθήκες, θέματα ή οτιδήποτε άλλο μπορεί να θέλει κάποιος χρήστης να έχει πρόσβαση εδώ. Έτσι για να σκληρύνει την ασφάλεια είναι καλύτερο να να περιορίσουν κάθε πρόσβαση σε αυτό.
# Αποκλεισμός όλων των wp-περιλαμβάνει φακέλους και αρχείαRewriteEngine Στο RewriteBase / RewriteRule ^ wp-admin / περιλαμβάνει / - [F, L] RewriteRule! ^ Wp- περιλαμβάνει / - [S = 3] RewriteRule ^ wp-περιλαμβάνει / L] RewriteRule ^ wp-περιλαμβάνει / js / tinymce / langs /.+ \. Php - [F, L]
13. Αποκλεισμός δέσμης ενεργειών μεταξύ ιστότοπων (XSS)
Το ακόλουθο απόσπασμα κώδικα προέρχεται από το WP Mix και προστατεύει τον ιστότοπό σας από μερικές κοινές επιθέσεις XSS, δηλαδή ενέσεις σεναρίων και προσπάθειες τροποποίησης των μεταβλητών σε παγκόσμια κλίμακα και αίτησης.
# Αποκλεισμός ορισμένων επιθέσεων XSSRewriteCond% QUERY_STRING (\ |% 3E) [NC, OR] RewriteCond% QUERY_STRING GLOBALS (= _REQUEST (= | \ [|% [0-9A-Z] 0,2) RewriteRule. * Index.php [F, L]
14. Ενεργοποιήστε την προσωρινή αποθήκευση του προγράμματος περιήγησης
Όπως ανέφερα προηγουμένως, το .htaccess δεν είναι μόνο καλό για λόγους ασφαλείας και ανακατευθύνσεις αλλά μπορεί επίσης να σας βοηθήσει διαχείριση της κρυφής μνήμης. Το απόσπασμα κώδικα παρακάτω προέρχεται από τα κομψά θέματα και αυτό κάνει δυνατή την προσωρινή αποθήκευση του προγράμματος περιήγησης επιτρέποντας στους επισκέπτες να αποθηκεύσετε ορισμένα είδη αρχείων, έτσι την επόμενη φορά που επισκέπτονται δεν χρειάζεται να τα κατεβάσετε ξανά.
# Ενεργοποιεί την προσωρινή αποθήκευση του προγράμματος περιήγησηςExpiresByType image / jpg "Πρόσβαση 1 χρόνος" ExpiresByType image / jpg "Πρόσβαση 1 χρόνος" ExpiresByType image / jpg "Πρόσβαση 1 χρόνος" ExpiresByType image / pdf "Πρόσβαση 1 μήνα" ExpiresByType text / x-javascript "Πρόσβαση 1 μήνα" ExpiresByType application / x-shockwave-flash "πρόσβαση 1 μήνας" ExpiresByType image /
15. Ορίστε προσαρμοσμένες σελίδες σφαλμάτων
Μπορείτε να χρησιμοποιήσετε το .htaccess για να ορίσετε προσαρμοσμένες σελίδες σφάλματος στον ιστότοπό σας WordPress. Για να λειτουργήσει αυτή η μέθοδος, πρέπει επίσης να το κάνετε δημιουργήστε τις σελίδες προσαρμοσμένων σφαλμάτων (custom-403.html
, custom-404.html
στο παράδειγμα) και μεταφορτώστε τα στο ριζικό φάκελο.
Μπορείτε να ορίσετε μια προσαρμοσμένη σελίδα σφάλματος για οποιοσδήποτε κωδικός κατάστασης σφάλματος HTTP (Κωδικοί κατάστασης 4XX και 5XX) που θέλετε.
# Ορίζει προσαρμοσμένες σελίδες σφαλμάτων ErrorDocument 403 /custom-403.html ErrorDocument 404 /custom-404.html