15 שימושי. קטעי טקסט עבור אתר וורדפרס שלך
בעל קובץ htaccess מוגדר היטב הוא חיוני אם אתה רוצה להגביר את האבטחה ו להפחית את הפגיעויות באתר וורדפרס שלך. בדרך כלל, המטרה העיקרית של יצירת קובץ htaccess מותאם אישית היא למנוע את פריצת האתר שלך, אבל זה גם דרך מצוינת להתמודד עם הפניות וניהול משימות הקשורות במטמון.
.htaccess הוא קובץ תצורה המשמשים שרתי אינטרנט Apache. רוב אתרי וורדפרס לרוץ על שרת Apache, אם כי חלק קטן הוא מופעל על ידי Nginx. במאמר זה, אתה יכול למצוא אוסף קטעי קוד. htaccess, אשר רובם ניתן להשתמש כדי לאבטח את אתר האינטרנט שלך בעוד שאר מיישמת תכונות שימושיות אחרות.
אל תשכח גבה את קובץ ה- htaccess לפני שתערוך אותו כך שתמיד תוכל חזור לגרסה הקודמת אם משהו משתבש.
ואם אתה מישהו שלא לגעת בקבצי תצורה אני ממליץ לך אבטחה תוסף המהווה את הכי אמין (וכנראה הישן ביותר) חינם. תוסף אבטחה בשוק.
צור את ברירת המחדל של WP. Htaccess
.htaccess עובד על לכל ספרייה בסיס כלומר, כל ספרייה יכולה להיות משלה. קובץ htaccess. זה יכול לקרות בקלות כי האתר שלך WordPress אין עדיין קובץ .htaccess. אם אינך מוצא קובץ .htaccess בספריית הבסיס שלך ליצור קובץ טקסט ריק ו שם את זה .htaccess
.
להלן, אתה יכול למצוא את ברירת המחדל .htaccess וורדפרס משתמש. בכל פעם שאתה צריך את הקוד הזה אתה יכול במהירות לחפש את זה ב- WordPress קודקס. שים לב כי יש. Htaccess שונה עבור WP Multisite.
# BEGIN וורדפרסRewriteEngine On RewriteBase / RewriteRule ^ index \ .php $ - [L] RewriteCond% REQUEST_FILENAME! -F RewriteCond% REQUEST_FILENAME! -D RewriteRule. /index.php [L] # End וורדפרס
השורות המתחילות ב #
הם הערות. אל תערוך שום דבר בין השורות # BEGIN וורדפרס
ו # End וורדפרס
. הוסף את כללי ה- htaccess המותאמים אישית שלך מתחת לכללי ברירת מחדל אלה.
כל קטעי הקוד שאתה יכול למצוא במאמר זה עבור אל קובץ הליבה. HTaccess נמצא בספריית השורש שלך.
1. מנע גישה לכל קבצי ה- htaccess
הקוד שלהלן שוללת גישה לכל קבצי .htaccess שהתקנת ב- WordPress שלך. בדרך זו תוכל למנוע מאנשים לראות את תצורות שרת אינטרנט.
# מונעת גישה לכל קבצי ה- htaccessסדר אפשר, דחה את ההכחשה מכל מה שתרצה
2. הגן על תצורת WP שלך
ה wp-config.php
הקובץ מכיל כל תצורות WP שלך, כולל פרטי ההתחברות והסיסמה שלך. אתה יכול להכחיש את זה מכל אחד או לתת הרשאות למנהלים כדי לגשת אליו.
אם תבחר באפשרות השנייה להעיר ה # אפשר מ- xx.xx.xx.xxx
שורה (להסיר #
מתחילת השורה) הכנס את כתובת ה- IP של מנהל המערכת במקום של xx.xx.xx.xxx
.
# מגן על wp-configסדר אפשר, דחה # אפשר מאת xx.xx.xx.xxx # אפשר מ- yy.yy.yy.yyy דחה מכל
3. מניעת התקפות DDoS מסוג XML-RPC
וורדפרס תומך ב- XML-RPC כברירת מחדל, שהוא ממשק שהופך פרסום מרחוק אפשרי. עם זאת, בעוד זה תכונה נהדרת, זה גם אחד פגיעות האבטחה הגדולה ביותר של WP כמו האקרים עשויים לנצל אותו עבור התקפות DDoS.
אם אתה לא רוצה להשתמש בתכונה זו עדיף פשוט להשבית אותו. בדיוק כמו קודם, אתה יכול הוסף חריגים על ידי הערות ה # אפשר מ- xx.xx.xx.xxx
שורה והוספת כתובות IP של מנהל שלך (ים).
# מגן על XML-RPC, מונע התקפת DDoSהזמנה דחה, אפשר # אפשר מאת xx.xx.xx.xxx # אפשר מ- yy.yy.yy.yyy דחה מכל
4. הגן על אזור הניהול שלך
זה גם רעיון טוב להגן על אזור הניהול על ידי מתן גישה רק למנהלים. הנה, אל תשכח הוסף לפחות אחד “להתיר” יוצא מן הכלל אחרת לא תוכל לגשת למנהל שלך בכלל.
# מגן על שטח מנהל על ידי IP AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "בקרת וורדפרס בקרת גישה" AuthType בסיסידחה הזמנה, אפשר דחייה מכל Allow מאת xx.xx.xx.xxx אפשר מ- yy.yy.yy.yyy
5. מנע רישום ספריות
רוב אתרי וורדפרס לא להשבית את רשימת הספריות, כלומר כל אחד יכול עיין בתיקיות ובקבצים שלהם, כולל העלאות מדיה וקבצי תוסף. אין צורך לומר כי מדובר בפגיעות אבטחה עצומה.
למטה, אתה יכול לראות איך הרישום טיפוסי וורדפרס הרישום נראה.
למרבה המזל, אתה רק צריך שורה אחת של קוד כדי לחסום תכונה זו. קטע קוד זה יהיה החזר הודעת שגיאה 403 לכל מי שרוצה לגשת לספריות שלך.
# מונע רישום ספריות - אפשרויות
6. מניעת ספירת שם משתמש
אם WP permalinks מופעלים, זה די קל למנות שמות משתמש באמצעות ארכיון המחבר. שמות המשתמשים שנחשפו (כולל שם המשתמש של מנהל המערכת), ניתן להשתמש בהם התקפות כוח פראי.
הכנס את הקוד שלהלן לקובץ .htaccess אל למנוע ספירת שם משתמש - -.
# מונע את ספירת שמות המשתמש RewriteCond% QUERY_STRING מחבר = d RewriteRule ^ /? [L, R = 301]
7. לחסום שולחי דואר זבל ו בוטים
לפעמים כדאי להגביל את הגישה מכתובות IP מסוימות. קטע קוד זה מספק דרך קלה לחסימת שולחי דואר זבל ורשתות שאתה כבר מכיר.
# חוסם שולחי ספאם ורובוטיםסדר אפשר, דחה את דחייה מ- xx.xx.xx.xxx דחה מ- yy.yy.yy.yyy הרשה מכל
8. מנע את התמונה hotlinking
אמנם לא איום ביטחוני, תמונה הוא עדיין דבר מעצבן. אנשים לא רק להשתמש בתמונות שלך ללא רשותך אבל הם אפילו עושים את זה במחיר שלך. עם שורות אלה כמה קוד, אתה יכול להגן על האתר שלך מתוך hotlinking התמונה.
# (Http: // www). [Http: // www] RewriteCond% HTTP_REFERER! ^ Http (http: // www). [Http: // HTTP_REFERER! ^ $ $ RewriteCond% HTTP_REFERER s)? [/ www].? yourwebsite2.com [NC] RewriteRule \ (jpe? g | | png | gif | eco | pdf | flv | swf | gz) $ - [NC, F, L]
9. להגביל גישה ישירה plugin & נושא קבצי PHP
זה יכול להיות מסוכן אם מישהו ישירות שיחות plugin שלך ואת קבצי נושא, בין אם זה קורה במקרה או על ידי תוקף זדוני. קטע קוד זה מגיע מחברת האבטחה של אתר Acunetix; תוכל לקרוא עוד על פגיעות זו בפוסט בבלוג שלהם.
# הגבלת גישה לקבצי PHP מתוספים ומספריות נושא RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / file / to / exclude \ .php RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / directory / to (/ R = 404, L] RewriteCond% REQUEST_URI! ^ / wp-content / themes / file / to / exclude \ .php RewriteCond% REQUEST_URI! ^ / Wp-content / themes / directory / to / exclude / RewriteRule wp-content / themes / (. * \. Php) $ - [R = 404, L]
10. הגדר הפניות קבועות
אתה יכול בקלות לטפל בהפניות קבועות עם .htaccess. ראשית עליך להוסיף את כתובת אתר ישנה, ולאחר מכן בצע את כתובת אתר חדשה המצביע על הדף שאליו ברצונך לנתב מחדש את המשתמש.
# קבע הפניות מחדש הפניה 301 / oldurl1 / http://yoursite.com/newurl1 הפניה 301 / oldurl2 / http://yoursite.com/newurl2
11. שלח מבקרים לדף תחזוקה
כתבנו על הטכניקה הזאת בפירוט כאן. אתה צריך דף תחזוקה נפרד (maintenance.html
בדוגמה) עבור חוק זה. htaccess לעבוד. קוד זה מעמיד את אתר וורדפרס שלך למצב תחזוקה.
# הפניה מחדש לדף תחזוקהשכתובהפעלה מחדש ב- RewriteCond% REMOTE_ADDR! ^ 123 \ .456 \ .789 \ .000 RewriteCond% REQUEST_URI! /Maintenance.html$ [NC] RewriteCond% REQUEST_URI! \. (Jpe? G? | Png | gif ) [NC] RewriteRule. / / Maintenance.html [R = 503, L]
12. הגבל את כל הגישה WP כולל
ה / wp-includes /
תיקייה מכיל את קבצי WordPress הליבה כי נחוצים עבור CMS לעבוד. אין תוכן, יישומי פלאגין, נושאים או כל דבר אחר שמשתמש ירצה לגשת אליו. אז כדי להקשיח את האבטחה עדיף להגביל את כל הגישה אליו.
# בלוקים כל wp- כולל תיקיות וקבצים(W, כולל / / [/ / +.] PHP $ $ - [F, L] [/ F] - [F, L] RewriteRule ^ wp-include / theme-compat / - [F, L]
13. לחסום scripting בין אתרים (XSS)
קטע הקוד הבא הוא מ WP Mix והוא מגן על האתר שלך מפני כמה התקפות XSS נפוץ, כלומר זריקות סקריפט ומנסה לשנות משתנים גלובליים ומשתנים.
# חוסמת כמה התקפות XSSRewriteCond% QUERY_STRING (\ |% 3E) [NC, OR] RewriteCond% QUERY_STRING GLOBALS (= | \ [\% [0-9A-Z] 0,2) [OR] RewriteCond% QUERY_STRING _REQUEST (= | \ [| \% [0-9A-Z] 0,2) RewriteRule. * Index.php [F, L]
14. הפעל במטמון הדפדפן
כפי שציינתי קודם,. Htaccess הוא לא רק טוב עבור סיבות אבטחה ניתוב מחדש אבל זה יכול גם לעזור לך לנהל את המטמון. קטע הקוד להלן הוא מן אלגנטי ערכות נושא וזה עושה במטמון הדפדפן אפשרי על ידי הפעלת מבקרים לשמור סוגים מסוימים של קבצים, אז בפעם הבאה שהם מבקרים הם לא צריכים להוריד אותם שוב.
# מאפשר אחסון במטמון הדפדפןפגישה 1 שנה "ExpiresByType image / jpeg" 1 שנה "ExpiresByType image / gif" גישה לשנה אחת "ExpiresByType image / png" 1 שנה "ExpiresByType טקסט / css" חודש 1 "ExpiresByType יישום / pdf "1 חודש" ExpiresByType טקסט / x-javascript "גישה 1 חודש" ExpiresByType יישום / x-shockwave-flash "גישה 1 חודש" ExpiresByType תמונה / x-icon "גישה 1 שנה" ExpiresDefault "גישה 2 ימים"
15. הגדר דפי שגיאה מותאמים אישית
באפשרותך להשתמש ב- .htaccess כדי להגדיר דפי שגיאה מותאמים אישית באתר WordPress שלך. עבור שיטה זו לעבוד, אתה גם צריך ליצור את דפי שגיאה מותאמים אישית (custom-403.html
, custom-404.html
בדוגמה) להעלות אותם לתיקיית הבסיס שלך.
באפשרותך להגדיר דף שגיאה מותאם אישית עבור כל קוד מצב שגיאה של HTTP (4XX ו 5XX קודי מצב) הרצוי.
# הגדרת דפי שגיאה מותאמים אישית ErrorDocument 403 /custom-403.html ErrorDocument 404 /custom-404.html