15 Kasulikud .htaccess-väljavõtted teie WordPressi saidile

Võttes a hästi konfigureeritud .htaccess-fail on oluline, kui soovite suurendada turvalisust ja vähendada haavatavusi saidil WordPress. Tavaliselt peamine eesmärk luua kohandatud .htaccess-fail on vältida teie saidi häkkimist, kuid see on ka suurepärane võimalus suunata suunamisi ja hallata vahemäluga seotud ülesandeid.

.htaccess on a konfiguratsioonifail kasutatakse Apache veebiserverites. Enamik WordPressi saite töötama Apache serveris, kuigi väike osa on powered by Nginx. Selles artiklis leiad a .htaccess-koodilõikude kogumine, millest suurema osa saate oma veebisaidi kaitsmiseks kasutada, samas kui ülejäänud rakendab muid kasulikke funktsioone.

Ära unusta varundage .htaccess-fail enne selle muutmist, et saaksite alati naasta eelmise versiooni juurde kui midagi läheb valesti.

Ja kui olete keegi, kes pigem konfiguratsioonifaile ei puuduta, soovitan teil BulletProof Security plugin, mis on kõige usaldusväärsem (ja ilmselt vanim) vaba .htaccess-turvapistik turul.

Loo vaikimisi WP .htaccess

.htaccess töötab a kataloogi alusel mis tähendab, et igal kataloogil võib olla oma .htaccess-fail. See võib kergesti juhtuda, et teie WordPressi sait ei ole veel .htaccess-faili. Kui teie juurkataloogis ei leita .htaccess-faili luua tühi tekstifail ja nimetage see .htaccess.

Allpool leiate vaikimisi .htaccess WordPress kasutab. Kui vajate seda koodi, saate selle WordPress Codexis kiiresti üles otsida. Pange tähele, et WP Multisite jaoks on olemas erinev .htaccess.

 # BEGIN WordPress  RewriteEngine On RewriteBase / RewriteRule ^ indeks, php $ - [L] RewriteCond% REQUEST_FILENAME! -F RewriteCond% REQUEST_FILENAME! -D RewriteRule. /index.php [L]  # END WordPress 

Read algavad # on kommentaare. Ära muuda midagi liinide vahel # BEGIN WordPress ja # END WordPress. Lisage oma kohandatud .htaccess-reeglid nende vaikimisi reeglite all.

Kõik selles artiklis leiduvad koodilõigud avage .htaccess-põhifail leidub teie juurkataloogis.

1. Keela juurdepääs kõigile .htaccess-failidele

Allolev kood keelab juurdepääsu kõikidele .htaccess-failidele, mida olete oma WordPressi installinud. Nii saate vältida inimeste nägemist veebiserveri konfiguratsioonid.

 # Eitab juurdepääsu kõigile .htaccess-failidele  Tellimuse lubamine, Keela keelamine kõigist  

2. Kaitsta oma WP konfiguratsiooni

The wp-config.php fail sisaldab kõik teie WP konfiguratsioonid, sealhulgas andmebaasi kasutajanimi ja parool. Te võite selle keelata kõigilt või anna administraatoritele luba sellele juurde pääseda.

Kui valite viimase kommenteeri the # Luba xx.xx.xx.xxx rida (eemalda # rea algusest) ja sisestage administraatori IP-aadress asemel xx.xx.xx.xxx.

 # Kaitseb wp-config'i  Luba, keelata # Luba alates xx.xx.xx.xxx # Luba alates yy.yy.yy.yyy keelata kõigist  

3. Vältige XML-RPC DDoS rünnakut

WordPress toetab XML-RPC-d vaikimisi, mis on liides, mis muudab kaugjälgimise võimalik. Kuigi see on suurepärane omadus, on see ka üks WP suurimatest turvalisuse haavatavustest nagu häkkerid kasutada seda DDoS-i rünnakute jaoks.

Kui te ei soovi seda funktsiooni kasutada, on parem just keelake see. Nii nagu enne, saate lisage erandeid kommenteerides the # Luba xx.xx.xx.xxx ja administraatori (te) IP-de lisamine.

 # Kaitseb XML-RPC-d, takistab DDoS-i rünnakut  Tellimuse eitamine, Luba # Luba alates xx.xx.xx.xxx # Luba alates yy.yy.yy.yyy keelata kõigist  

4. Kaitse oma haldusala

See on ka hea mõte administraatori kaitsmiseks andes juurdepääsu ainult administraatoritele. Siin ära unusta lisage vähemalt üks “Lubama” erand vastasel juhul ei saa te oma administraatorit üldse juurde pääseda.

 # Kaitseb administraatori ala IP AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic  Tellimuse keelamine, Luba keelata kõigilt Luba alates xx.xx.xx.xxx Luba alates yy.yy.yy.yyy  

5. Vältige kataloogide loendit

Enamik WordPressi saite ei kustuta kataloogide nimekirja, mis tähendab, et igaüks saab seda teha sirvige nende kaustu ja faile, sealhulgas meediafailide ja pluginate failid. Ütlematagi selge, et see on tohutu turvalisuse haavatavus.

Allpool saate näha, kuidas tüüpiline WordPress kataloogide nimekiri näeb välja.

Õnneks pead sa lihtsalt üks koodirida selle funktsiooni blokeerimiseks. See koodilõik on tagastage veateade 403 kõigile, kes soovivad teie kataloogidele juurde pääseda.

 # Väldib kataloogide loendi Valikud -Täpsused 

6. Vältige kasutajanime loendamist

Kui WP permalinks on lubatud, on see üsna lihtne loendage kasutajanimed autori arhiivi kasutamine. Seejärel võidakse kasutada kasutatavaid kasutajanimesid (sh administraatori kasutajanime) brute force rünnakud.

Sisestage allolev kood oma .htaccess-faili ära hoida kasutajanime loendamist.

 # Välistab kasutajanime loendi RewriteCond% QUERY_STRING autor = d RewriteRule ^ /? [L, R = 301] 

7. Blokeeri rämpsposti saatjad ja robotid

Mõnikord võite seda teha piirata juurdepääsu teatud IP-aadressidest. See koodilõik pakub lihtsat võimalust rämpsposti saatjate ja juba teadaolevate robotite blokeerimiseks.

 # Blokeerib rämpsposti saatjad ja robotid  Tellimuse lubamine, keelata keelamine alates xx.xx.xx.xxx Keeldu alates yy.yy.yy.yyy  Luba kõigilt 

8. Vältige kujutiste hotlinkingut

Kuigi see ei ole julgeolekuoht, pildi hotlinking on endiselt tüütu. Inimesed ei ole ainult kasutage oma pilte ilma teie loata kuid nad teevad seda ka teie hinnaga. Nende väheste koodide ridade abil saate oma veebisaiti kaitsta pildiühenduse eest.

 # Väldib kujutise hotlinking RewriteEngine'i RewriteCond% HTTP_REFERER! ^ $ RewriteCond% HTTP_REFERER! ^ Http (s)?: // (www)? Teie veebisaidil.com [NC] RewriteCond% HTTP_REFERER! s)?: // (www)? yourwebsite2.com [NC] RewriteRule (jpe? g? | png | gif | ico | pdf | flv | swf | gz) $ - [NC, F, L] 

9. Piirake otsene juurdepääs plugin & teema PHP failidele

See võib olla ohtlik, kui keegi otse helistab teie plugina ja teemafailidele, kas see juhtub kogemata või pahatahtliku ründaja poolt. See koodilõik on pärit Acunetixi veebisaidi turvafirmast; selle haavatavuse kohta saate lugeda oma blogipostist.

 # Piirab juurdepääsu PHP failidele pluginast ja teema kataloogidest RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / file / to / välistada .php RewriteCond% REQUEST_URI! / / Wp-content / plugins / directory / kuni / välista / RewriteRule wp-content / plugins / (. * php) $ - [R = 404, L] RewriteCond% REQUEST_URI! ^ / wp-content / themes / file / to / välista \ t REQUEST_URI! ^ / Wp-content / themes / directory / kuni / välista / RewriteRule wp-content / themes / (. * Php) $ - [R = 404, L] 

10. Seadistage alalised ümbersuunamised

Saate kergesti käsitsege püsivaid suunamisi .htaccessiga. Kõigepealt peate lisama vana URL, seejärel järgige uus URL mis viitab lehele, kuhu soovite kasutaja suunata.

 # Püsivad ümbersuunamised Redirect 301 / oldurl1 / http://yoursite.com/newurl1 Redirect 301 / oldurl2 / http://yoursite.com/newurl2 

11. Saada külastajad hoolduslehele

Me kirjutasime selle tehnika kohta üksikasjalikult siin. Sa pead a eraldi hooldusleht (Maintenance.html näites) .htaccess reegli toimimiseks. See kood paneb teie WordPressi saidi hooldusrežiimi.

 # Ümbersuunamine hoolduslehele  RewriteEngine on RewriteCond% REMOTE_ADDR! ^ 123 456 0789 000 RewriteCond% REQUEST_URI! /Maintenance.html$ [NC] RewriteCond% REQUEST_URI (jpe? G? | Png | gif ) [NC] RewriteRule. * /Maintenance.html [R = 503, L]  

12. Piirake kogu juurdepääsu WP-le

The / wp-include / kausta sisaldab põhilisi WordPress-faile mis on vajalikud CMSi töötamiseks. Sisu, pluginaid, teemasid või midagi muud, mida kasutaja võib siin kasutada, ei ole. Nii et turvalisuse kindlustamiseks on kõige parem piirata juurdepääsu sellele.

 # Blokeerib kõik kaamerad ja failid  RewriteEngine On RewriteBase / RewriteRule ^ wp-admin / include / - [F, L] RewriteRule! ^ Wp-include / - [S = 3] RewriteRule ^ wp-include / [^ /] + php $ - [F, L] RewriteRule ^ wp-include / js / tinymce / langs /.+ php - [F, L] RewriteRule ^ wp-include / theme-compat / - [F, L]  

13. Blokeeri saididevaheline skriptimine (XSS)

Järgmine koodilõik on WP Mixist ja see kaitseb teie saiti mõned tavalised XSS-rünnakud, nimelt skripti süstid ja katsed muuta globaalseid ja päringu muutujaid.

 # Blokeerib mõned XSS-rünnakud  RewriteCond% QUERY_STRING (% 3E) [NC, OR] RewriteCond% QUERY_STRING GLOBALS (= | [|% [0-9A-Z] 0,2) [OR] RewriteCond% QUERY_STRING  _REQUEST (= | [|% [0-9A-Z] 0,2) RewriteRule. * Index.php [F, L]  

14. Luba brauseri vahemälu

Nagu ma juba varem mainisin, ei ole .htaccess ainult turvalisuse huvides ja ümbersuunamises hea, vaid võib teid ka aidata vahemälu haldamine. Allolev koodilõik on pärit Elegantidest teemadest ja sellest muudab brauseri vahemälu võimalikuks võimaldades külastajatel salvestada teatud tüüpi faile, nii et järgmisel korral nad ei pea neid uuesti alla laadima.

 # Lubab brauseri vahemälu  ExpiresActive On ExpiresByType image / jpg "access 1 year" ExpiresByType image / jpeg "access 1 year" ExpiresByType image / gif "access 1 year" ExpiresByType image / png "access 1 year" ExpiresByType tekst / css "access 1 month" ExpiresByType rakendus / pdf "access 1 month" ExpiresByType tekst / x-javascript "juurdepääs 1 kuu" ExpiresByType rakendus / x-shockwave-flash "juurdepääs 1 kuu" ExpiresByType image / x-icon "access 1 year" aegubDefault "access 2 days"  

15. Seadistage kohandatud vealehed

Võite kasutada .htaccess'i, et seadistada oma WordPress saidile kohandatud veateateid. Selleks, et see meetod toimiks, peate ka seda tegema luua kohandatud vealehed (custom-403.html, custom-404.html näites) ja laadige need üles oma juurkausta.

Saate seadistada kohandatud veateate mis tahes HTTP veakoodi kood (4XX ja 5XX olekukoodid).

 # Seadistab kohandatud vealehed ErrorDocument 403 /custom-403.html ErrorDocument 404 /custom-404.html