15 Noderīgi .htaccess fragmenti jūsu WordPress vietnei

Ņemot a labi konfigurēts .htaccess fails ir ļoti svarīgi, ja vēlaties palielināt drošību un samazināt neaizsargātību jūsu WordPress vietnē. Parasti galvenais mērķis ir izveidot a pielāgots .htaccess fails ir novērst jūsu vietnes hacked, bet tas ir arī lielisks veids, kā rīkoties ar novirzīšanu un pārvaldīt ar kešatmiņu saistītus uzdevumus.

.htaccess ir a konfigurācijas fails lieto Apache tīmekļa serveros. Lielākā daļa WordPress vietņu palaist Apache serverī, lai gan neliela daļa ir darbina Nginx. Šajā rakstā varat atrast .htaccess koda fragmentu kolekcija, lielākā daļa no tām var izmantot, lai aizsargātu jūsu vietni, bet pārējā - izmanto citas noderīgas funkcijas.

Neaizmirstiet dublējiet .htaccess failu pirms to rediģēšanas, lai jūs vienmēr varētu atgriezieties iepriekšējā versijā ja kaut kas noiet greizi.

Un, ja jūs esat kāds, kurš drīzāk nepieskaras konfigurācijas failiem, iesaku jums BulletProof drošība spraudnis, kas ir visdrošākais (un, iespējams, vecākais) bezmaksas .htaccess drošības spraudnis tirgū.

Izveidojiet noklusējuma WP .htaccess

.htaccess darbojas a uz vienu direktoriju tas nozīmē, ka katrai direktorijai var būt savs .htaccess fails. Tas var viegli notikt, ka jūsu WordPress vietne nav .htaccess faila. Ja jūsu saknes direktorijā neatrodat .htaccess failu izveidojiet tukšu teksta failu un nosauciet to uz .htaccess.

Zemāk jūs varat atrast noklusējuma .htaccess WordPress izmanto. Ikreiz, kad jums ir nepieciešams šis kods, jūs varat to ātri meklēt WordPress Codex. Ņemiet vērā, ka WP Multisite ir atšķirīgs .htaccess.

 # BEGIN WordPress  RewriteEngine On RewriteBase / RewriteRule ^ indekss php $ - [L] RewriteCond% REQUEST_FILENAME! -F RewriteCond% REQUEST_FILENAME! -D RewriteRule. /index.php [L]  # END WordPress 

Līnijas, kas sākas ar # ir komentāri. Nedarīt neko starp līnijām # BEGIN WordPress un # END WordPress. Pievienojiet pielāgotos .htaccess noteikumus zem šiem noklusējuma noteikumiem.

Visi šī koda fragmentu fragmenti dodieties uz galveno .htaccess failu atrasts jūsu saknes direktorijā.

1. Liegt piekļuvi visiem .htaccess failiem

Tālāk redzamais kods liedz piekļuvi visiem .htaccess failiem, kurus esat instalējis savā WordPress. Tādā veidā jūs varat novērst cilvēku redzēšanu Web servera konfigurācijas.

 # Liegta piekļuve visiem .htaccess failiem  Pasūtīt Atļaut, liegt liegt no visiem Apmierināt visus  

2. Aizsargājiet savu WP konfigurāciju

The wp-config.php fails satur visas jūsu WP konfigurācijas, ieskaitot jūsu datu bāzes lietotājvārdu un paroli. Jūs varat to noliegt no visiem vai dod atļauju administratoriem piekļūt tai.

Ja izvēlaties pēdējo komentēt the # Atļaut no xx.xx.xx.xxx līnija (noņemt # no līnijas sākuma) un ievietojiet administratora IP adresi vietā xx.xx.xx.xxx.

 # Aizsargā wp-config  Atļaut, liegt # Atļaut no xx.xx.xx.xxx # Atļaut no yy.yy.yy.yyy liegt no visiem  

3. Novērst XML-RPC DDoS uzbrukumu

WordPress atbalsta XML-RPC pēc noklusējuma tas ir saskarne, kas padara tālvadību iespējams. Tomēr, lai gan tā ir lieliska iezīme, tā ir arī viena no WP lielākajām drošības ievainojamībām kā hackers izmantot to DDoS uzbrukumiem.

Ja nevēlaties izmantot šo funkciju, tas ir labāk tikai atspējot. Tāpat kā iepriekš, jūs varat pievienot izņēmumus, komentējot the # Atļaut no xx.xx.xx.xxx līnija un jūsu administratora (-u) IP pievienošana.

 # Aizsargā XML-RPC, novērš DDoS uzbrukumu  Pasūtījuma noliegšana, Atļaut # Atļaut no xx.xx.xx.xxx # Atļaut no yy.yy.yy.yyy liegt no visiem  

4. Aizsargājiet savu administratoru

Tā ir arī laba ideja aizsargāt administratora apgabalu dodot piekļuvi tikai administratoriem. Šeit neaizmirstiet pievienojiet vismaz vienu “Atļaut” izņēmums pretējā gadījumā jūs vispār nevarēsiet piekļūt savam administratoram.

 # Aizsargā admin apgabalu ar IP AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress administratora piekļuves kontrole" AuthType Basic  Pasūtījuma aizliegšana, Atļaut liegt no visiem Atļaut no xx.xx.xx.xxx Atļaut no yy.yy.yy.yyy  

5. Novērst direktoriju sarakstu

Lielākā daļa WordPress vietņu neizslēdz direktoriju sarakstu, kas nozīmē, ka ikviens var pārlūkot savas mapes un failus, ieskaitot multivides augšupielādes un spraudņu failus. Lieki teikt, ka šī ir milzīga drošības ievainojamība.

Zemāk jūs varat redzēt, kā tipisks WordPress direktoriju saraksts izskatās.

Par laimi, jums vienkārši vajag viena koda rindiņa bloķēt šo funkciju. Šis koda fragments būs atgriezt 403 kļūdas ziņojumu visiem, kas vēlas piekļūt jūsu katalogiem.

 # Novērš direktoriju sarakstu Iespējas -Iespējas 

6. Novērst lietotājvārdu uzskaitījumu

Ja WP permalinks ir iespējoti, tas ir diezgan viegli uzskaitīt lietotājvārdus izmantojot autora arhīvu. Atklātie lietotājvārdi (tostarp administratora lietotājvārds) var tikt izmantoti brutālu spēku uzbrukumi.

Ievietojiet tālāk norādīto kodu .htaccess failā novērst lietotājvārdu uzskaitījumu.

 # Novērš lietotājvārdu uzskaiti RewriteCond% QUERY_STRING autors = d RewriteRule ^ /? [L, R = 301] 

7. Bloķējiet surogātpasta izplatītājus un botus

Dažreiz jūs varat vēlēties ierobežot piekļuvi no noteiktām IP adresēm. Šis koda fragments ir vienkāršs veids, kā bloķēt jau zināmos surogātpasta izplatītājus un robotus.

 # Bloķē surogātpasta izplatītājus un robotus  Atļaut rīkojumu, liegt aizliegumu no xx.xx.xx.xxx Aizliegt no yy.yy.yy.yyy  Atļaut no visiem 

8. Novērst attēla saikni

Lai gan tas nav drošības apdraudējums, attēla karstais savienojums joprojām ir kaitinoša lieta. Cilvēki ne tikai izmantot savus attēlus bez jūsu atļaujas bet viņi pat to dara pēc jūsu izmaksām. Ar šīm dažām koda rindiņām varat aizsargāt vietni no attēla karstās saites.

 # Novērš attēla saikni ar RewriteEngine uz RewriteCond% HTTP_REFERER! ^ $ RewriteCond% HTTP_REFERER! ^ Http (s)?: // (www.)? Yourwebsite.com [NC] RewriteCond% HTTP_REFERER! s)?: // (www)? yourwebsite2.com [NC] RewriteRule (jpe? g? | png | gif | ico | pdf | flv | swf | gz) $ - [NC, F, L] 

9. Ierobežojiet tiešu piekļuvi spraudņu un tēmu PHP failiem

Tas var būt bīstami, ja kāds tieši izsauc jūsu spraudņa un motīvu failus, vai tas notiek nejauši vai ļaunprātīgs uzbrucējs. Šis koda fragments nāk no Acunetix tīmekļa vietnes drošības uzņēmuma; varat uzzināt vairāk par šo neaizsargātību savā emuāra ziņojumā.

 # Ierobežo piekļuvi PHP failiem no spraudņa un tēmu katalogiem RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / file / to / izslēgt .php RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / directory / līdz / izslēgt / RewriteRule wp-content / plugins / (. * php) $ - [R = 404, L] RewriteCond% REQUEST_URI! ^ / wp-content / themes / file / to / izslēgt \ t REQUEST_URI! ^ / Wp-content / themes / directory / uz / izslēgt / RewriteRule wp-content / themes / (. * Php) $ - [R = 404, L] 

10. Izveidojiet pastāvīgas novirzīšanas

Jūs varat viegli rīkoties ar pastāvīgām novirzēm ar .htaccess. Vispirms jums ir jāpievieno vecs URL, tad sekojiet jauns URL kas norāda uz lapu, uz kuru vēlaties novirzīt lietotāju.

 # Pastāvīgās novirzīšana Pārvirzīšana 301 / oldurl1 / http://yoursite.com/newurl1 Pāradresācija 301 / oldurl2 / http://yoursite.com/newurl2 

11. Sūtīt apmeklētājus uz apkopes lapu

Šeit mēs detalizēti rakstījām par šo tehniku. Jums ir nepieciešams atsevišķa apkopes lapa (Maintenance.html piemērā), lai šis .htaccess noteikums darbotos. Šis kods liek jūsu WordPress vietni apkopes režīmā.

 # Pāradresācija uz apkopes lapu  RewriteEngine uz RewriteCond% REMOTE_ADDR! ^ 123 456 70089 RewriteCond% REQUEST_URI! /Maintenance.html$ [NC] RewriteCond% REQUEST_URI! (Jpe? G? | Png | gif ) [NC] RewriteRule. * /Maintenance.html [R = 503, L]  

12. Ierobežot visu piekļuvi WP ietver

The / wp-include / mapi satur galvenos WordPress failus kas nepieciešami, lai CMS darbotos. Nav satura, spraudņu, tēmu vai neko citu, ko lietotājs varētu vēlēties piekļūt šeit. Tāpēc, lai stiprinātu drošību, vislabāk ir ierobežot piekļuvi tai.

 # Bloķē visas wp-iekļautās mapes un failus  RewriteEngine On RewriteBase / RewriteRule ^ wp-admin / include / - [F, L] RewriteRule! ^ Wp-include / - [S = 3] RewriteRule ^ wp-include / [^ /] + php $ - [F, L] RewriteRule ^ wp-include / js / tinymce / langs /.+ php - [F, L] RewriteRule ^ wp-include / theme-compat / - [F, L]  

13. Bloķēt vietņu skriptu (XSS)

Šis koda fragments ir no WP Mix, un tas aizsargā jūsu vietni pret daži bieži sastopami XSS uzbrukumi, proti, skriptu injekcijas un mēģinājumi mainīt globālos un pieprasījuma mainīgos.

 # Bloķē dažus XSS uzbrukumus  RewriteCond% QUERY_STRING (% 3E) [NC, OR] RewriteCond% QUERY_STRING GLOBALS (= | [|% [0-9A-Z] 0,2) [OR] RewriteCond% QUERY_STRING  _REQUEST (= | [|% [0-9A-Z] 0,2) RewriteRule. * Index.php [F, L]  

14. Iespējot pārlūka kešatmiņu

Kā jau iepriekš minēju, .htaccess ir labs ne tikai drošības apsvērumu dēļ, bet arī palīdz jums pārvaldīt kešatmiņu. Tālāk redzamais koda fragments ir no Elegant Themes un tā padara pārlūka kešatmiņu iespējamu ļaujot apmeklētājiem saglabāt dažāda veida failus, tāpēc nākamreiz, kad viņi apmeklēs, viņiem vairs nav nepieciešams tos lejupielādēt.

 # Ļauj pārlūkprogrammas kešatmiņu  ExpiresActive On ExpiresByType image / jpg "access 1 year" ExpiresByType image / jpeg "access 1 year" ExpiresByType image / gif "access 1 year" ExpiresByType image / png "access 1 year" ExpiresByType text / css "access 1 month" ExpiresByType lietojumprogramma / pdf "access 1 month" ExpiresByType teksts / x-javascript "piekļuve 1 mēnesis" ExpiresByType lietojumprogramma / x-shockwave-flash "piekļuve 1 mēnesis" ExpiresByType attēls / x-icon "access 1 year" BeidzasDefault "access 2 days"  

15. Iestatiet pielāgotas kļūdas lapas

Jūs varat izmantot .htaccess, lai iestatītu pielāgotas kļūdas lapas savā WordPress vietnē. Lai šī metode darbotos, jums ir arī nepieciešams izveidojiet pielāgotās kļūdas lapas (custom-403.html, custom-404.html piemērā) un augšupielādēt tos jūsu saknes mapē.

Varat iestatīt pielāgotu kļūdu lapu jebkura HTTP kļūdas statusa kods (4XX un 5XX statusa kodi).

 # Iestata pielāgotās kļūdas lapas ErrorDocument 403 /custom-403.html ErrorDocument 404 /custom-404.html