15 Užitočné .htaccess úryvky pre vaše stránky WordPress
Mať a dobre nakonfigurovaný súbor .htaccess je rozhodujúce, ak chcete zvýšiť bezpečnosť a znížiť zraniteľnosť na vašom webe WordPress. Zvyčajne je hlavným cieľom vytvorenia vlastný súbor .htaccess je zabrániť tomu, aby boli vaše stránky napadnuté, ale je to aj výborný spôsob, ako zvládnuť presmerovania a spravovať úlohy súvisiace s vyrovnávacou pamäťou.
.htaccess je a konfiguračný súbor používané na webových serveroch Apache. Väčšina lokalít WordPress spustiť na serveri Apache, aj keď je malá časť powered by Nginx. V tomto článku nájdete a zbierka útržkov kódu .htaccess, z ktorých väčšinu môžete použiť na zabezpečenie svojich webových stránok, zatiaľ čo zvyšok implementuje ďalšie užitočné funkcie.
Nezabudnite zálohujte súbor .htaccess predtým, ako ho upravíte, aby ste mohli vždy návrat na predchádzajúcu verziu ak sa niečo pokazí.
A ak ste niekto, kto sa skôr nedotkne konfiguračných súborov, odporúčam vám BulletProof Security plugin, ktorý je najspoľahlivejší (a pravdepodobne najstarší) bezplatný bezpečnostný doplnok .htaccess na trhu.
Vytvorte predvolený WP .htaccess
.htaccess funguje na na základe adresára čo znamená, že každý adresár môže mať vlastný súbor .htaccess. To sa môže ľahko stať, že vaše stránky WordPress ešte nemá súbor .htaccess. Ak v koreňovom adresári nenájdete súbor .htaccess vytvorte prázdny textový súbor a pomenujte to .htaccess
.
Nižšie nájdete predvolené .htaccess WordPress používa. Kedykoľvek budete potrebovať tento kód, môžete ho rýchlo vyhľadať v Codexingu WordPress. Všimnite si, že pre WP Multisite existuje iný .htaccess.
# BEGIN WordPressRewriteEngine Na rewriteBase / RewriteRule ^ index \ .php $ - [L] RewriteCond% REQUEST_FILENAME! -F RewriteCond% REQUEST_FILENAME! -D RewriteRule. /index.php [L] # END WordPress
Riadky začínajúce na #
sú pripomienky. Nepoužívajte žiadnu úpravu medzi líniami # BEGIN WordPress
a # END WordPress
. Pridajte vlastné pravidlá .htaccess pod týmito štandardnými pravidlami.
Všetky úryvky kódu nájdete v tomto článku prejdite na súbor jadra .htaccess nájdete v koreňovom adresári.
1. Zakázať prístup ku všetkým súborom .htaccess
Kód nižšie odmieta prístup na všetky súbory .htaccess, ktoré ste nainštalovali vo svojom programe WordPress. Týmto spôsobom môžete zabrániť tomu, aby ľudia videli vaše konfigurácie webového servera.
# Odmietne prístup k všetkým súborom .htaccessObjednávka Povoliť, Odmietnuť Odmietnuť od všetkých Uspokojiť všetkých
2. Chráňte svoju konfiguráciu WP
wp-config.php
súbor obsahuje všetky vaše konfigurácie WP, vrátane prihlásenia a hesla vašej databázy. Môžete to buď poprieť od každého, alebo dávajú administrátorom povolenie na prístup k nim.
Ak si vyberiete druhú komentovať # Povoliť od xx.xx.xx.xxx
line (odstrániť #
od začiatku riadku) a vložte administrátorskú IP adresu namiesto xx.xx.xx.xxx
.
# Chráni wp-configObjednávka Povoliť, Zakázať # Povoliť od xx.xx.xx.xxx # Povoliť od yy.yy.yy.yyy Odmietnuť od všetkých
3. Zabráňte útoku XML-RPC DDoS
WordPress podporuje XML-RPC v predvolenom nastavení, čo je rozhranie, ktoré umožňuje vzdialené publikovanie je to možné. Aj keď je to skvelá funkcia, je to aj najväčšia bezpečnostná zraniteľnosť WP ako hackeri využívať ho na útoky DDoS.
Ak túto funkciu nechcete používať, je lepšie ju spraviť zakázať. Rovnako ako predtým, môžete pridať komentáre výnimiek # Povoliť od xx.xx.xx.xxx
line a pridanie IP adries administrátora.
# Chráni XML-RPC, zabraňuje útoku DDoSObjednávka Odmietnuť, Povoliť # Povoliť od xx.xx.xx.xxx # Povoliť od yy.yy.yy.yyy Odmietnuť od všetkých
4. Chráňte oblasť administrátora
Je to tiež dobrý nápad chrániť oblasť administrátora poskytnutím prístupu len správcom. Tu nezabudnite pridajte aspoň jednu “dovoliť” výnimka inak nebudete mať prístup k vášmu administrátorovi.
# Chráni oblasť administrácie pomocou IP AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Administrácia prístupu správcu WordPress" AuthType BasicObjednávka Zakázať, Povoliť odmietnutie zo všetkých Povoliť od xx.xx.xx.xxx Povoliť od yy.yy.yy.yyy
5. Zabráňte výpisu adresárov
Väčšina lokalít WordPress nezakáže zoznam adresárov, čo znamená, že niekto môže prehliadať ich priečinky a súbory, vrátane odovzdávania médií a súborov doplnkov. Netreba hovoriť, že ide o obrovskú bezpečnostnú zraniteľnosť.
Nižšie vidíte, ako a typický zoznam adresárov WordPress vyzerá.
Našťastie stačí jeden riadok kódu blokovať túto funkciu. Tento útržok kódu bude vrátiť chybovú správu 403 ktokoľvek chce mať prístup k vašim adresárom.
# Zabraňuje v zozname adresárov možnosti -Indexes
6. Zabráňte vymenovaniu používateľského mena
Ak je WP permalinks povolené, je to docela jednoduché vymenujte používateľské mená pomocou autorských archívov. Odhalené používateľské mená (vrátane používateľského mena administrátora) sa potom môžu použiť v brutálne útoky.
Vložte kód do súboru .htaccess do priečinka zabrániť vymenovaniu používateľského mena.
# Zabraňuje vymenovaniu používateľského mena RewriteCond% QUERY_STRING autor = d RewriteRule ^ /? [L, R = 301]
7. Blokovať spamerov a roboty
Niekedy budete chcieť obmedziť prístup z určitých adries IP. Tento úryvok kódu poskytuje jednoduchý spôsob blokovania spammerov a robotov, ktorých už viete.
# Blokuje spammerov a robotyObjednávka Povoliť, Odmietnuť Odmietnuť od xx.xx.xx.xxx Odmietnuť od yy.yy.yy.yyy Povoliť zo všetkých
8. Zabráňte rýchlemu pripojeniu obrázkov
Hoci to nie je bezpečnostná hrozba, obrázok hotlinking je stále nepríjemná vec. Ľudia nielenže používať obrázky bez vášho súhlasu ale dokonca to robia na vlastné náklady. Pomocou týchto niekoľkých riadkov kódu môžete chrániť svoje stránky pred zlým zobrazovaním obrázkov.
# Zabraňuje obrazom hotlink RewriteEngine na RewriteCond% HTTP_REFERER! ^ $ RewriteCond% HTTP_REFERER! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC] RewriteCond% HTTP_REFERER s): // (www \.)? yourwebsite2.com [NC] RewriteRule \ (jpe? g | png | gif |
9. Obmedziť priamy prístup k súborom PHP a pluginom
To môže byť nebezpečné, ak niekto priamo volá váš plugin a súbory tém, či sa to stane náhodou alebo škodlivým útočníkom. Tento útržok kódu pochádza z internetovej bezpečnostnej spoločnosti Acunetix; môžete si prečítať viac o tejto zraniteľnosti vo svojom blogovom príspevku.
# Obmedzuje prístup k súborom PHP z adresárov pluginov a tém RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / file / to / exclude \ .php RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / / exclude / RewriteRule wp-content / plugins / (. * \. php) $ - [R = 404, L] RewriteCond% REQUEST_URI! ^ / wp-content / REQUEST_URI! ^ / Wp-content / themes / adresár / to / exclude / RewriteRule wp-content / themes / (. * \. Php) $ - [R =
10. Nastavte trvalé presmerovania
Môžete ľahko zvládnuť trvalé presmerovania s .htaccess. Najprv musíte pridať stará webová adresa, potom postupujte podľa nová webová adresa ktoré odkazuje na stránku, na ktorú chcete používateľa presmerovať.
# Trvalé presmerovania Presmerovanie 301 / oldurl1 / http://yoursite.com/newurl1 Presmerovanie 301 / oldurl2 / http://yoursite.com/newurl2
11. Odošlite návštevníkov na stránku údržby
Podrobne sme o tejto technike napísali. Potrebujete a samostatná stránka údržby (maintenance.html
v príklade), aby toto pravidlo .htaccess fungovalo. Tento kód umiestni vašu stránku WordPress do režimu údržby.
# Presmeruje stránku údržbyRewriteEngine na adrese RewriteCond% REMOTE_ADDR! ^ 123 \ .456 \ .789 \ .000 RewriteCond% REQUEST_URI! /Maintenance.html$ [NC] RewriteCond% REQUEST_URI! \ (Jpe? G? Png | gif ) [NC] RewriteRule. * /Maintenance.html [R = 503, L]
12. Obmedziť prístup k WP vrátane
/ WP-zahŕňa /
zložka obsahuje hlavné súbory WordPress ktoré sú potrebné na to, aby systém CMS fungoval. Neexistuje žiadny obsah, doplnky, témy alebo čokoľvek iné, ktoré by tu mohol mať používateľ prístup. Takže k vytvrdzovaniu bezpečnosti je najlepšie obmedziť prístup k nim.
# Blokuje všetky wp - obsahuje priečinky a súboryRewriteEngine Na rewriteBase / RewriteRule ^ wp-admin / obsahuje / - [F, L] RewriteRule! ^ Wp-obsahuje / - [S = 3] RewriteRule ^ wp-includes / L] RewriteRule ^ wp-obsahuje / js / tinymce / langs /.+ \. Php - [F, L]
13. Blokovať skriptovanie medzi webovými lokalitami (XSS)
Nasledujúci útržok kódu pochádza z balíka WP Mix a chráni ho proti vášmu webu niektoré bežné útoky XSS, konkrétne injekcie skriptov a pokusy o zmenu globálnych a požiadaviek premenných.
# Blokuje niektoré útoky XSSRewriteCond% QUERY_STRING RewriteCond% QUERY_STRING (\ |% 3E) [NC, OR] _REQUEST (= | \ [| \% [0-9A-Z] 0,2) RewriteRule. * Index.php [F, L]
14. Zapnite ukladanie do vyrovnávacej pamäte prehliadača
Ako som už spomenul, .htaccess je nielen dobré z bezpečnostných dôvodov a presmerovaní, ale môže vám tiež pomôcť spravujte vyrovnávaciu pamäť. Útržok kódu uvedený nižšie je z Elegantných motívov a je to umožňuje ukladanie do vyrovnávacej pamäte prehliadača tým, že umožňuje návštevníkom uložiť určité druhy súborov, takže nabudúce ich navštívia, nemusia ich znovu preberať.
# Umožňuje ukladanie do vyrovnávacej pamäte prehliadačaExpiresByType image / jpg "prístup 1 rok" ExpiresByType image / jpg "prístup 1 rok" ExpiresByType image / jpg "prístup 1 rok" ExpiresByType image / pdf "1 mesiac" ExpiresByType text / x-javascript "prístup 1 mesiac" ExpiresByType application / x-shockwave-flash "prístup 1 mesiac" ExpiresByType image /
15. Nastavte vlastné stránky chýb
Môžete použiť .htaccess na nastavenie vlastných chybových stránok na vašom webe WordPress. Aby táto metóda fungovala, musíte tiež vytvorte vlastné stránky s chybami (custom-403.html
, custom-404.html
v príklade) a nahrajte ich do koreňového priečinka.
Môžete nastaviť vlastnú stránku s chybami akýkoľvek stavový kód chyby protokolu HTTP (4XX a 5XX stavové kódy), ktoré chcete.
# Nastavuje vlastné chybové stránky ErrorDocument 403 /custom-403.html ErrorDocument 404 /custom-404.html