jin
  • 0
Новичок

Безопасность и.htaccess

  • 0

Около месяца назад я начал вести блог WordPress на размещенном сервере, связанном с моим хобби. Итак, я новичок в этом в настоящее время.

Поскольку я беспокоюсь о безопасности, я установил плагин WP Security Scan. Согласно результатам плагина, мой сайт проверяется, за исключением того, что я получаю в результатах красный флажок:

Файл.htaccess не существует в wp-admin/ (я зашел туда по ssh, и он не существует)

Итак, я провел тщательный поиск по этому вопросу и нашел слишком много информации о.htaccess. Я прошел через Укрепление WordPress на сайте WordPress.org и т. д. А также наткнулся на эту статью: http://digwp.com/2010/07/wordpress-security-lockdown/

Во всяком случае, я в основном запутался с изобилием доступной информации.

Что должен содержать файл.htaccess в wp-admin? Я читал, что этот файл.htaccess должен защищать паролем каталог wp-admin, а также читал, что это может вызвать проблемы с функциональностью.

Помощь в этом очень ценится.

Спасибо. -wdypdx22

Обновить Итак, я не вошел в свой блог и использую другой компьютер, чем обычно. Я ввожу URL-адрес http://www.mysite.com/wordpress/wp-admin/ и происходит перенаправление для входа в систему. Если это то, что происходит, то нужен ли файл htaccess в каталоге wp-admin?

Share
  1. Вы пытались спросить разработчика WP Security Scan?

    • 0
  2. ОБНОВЛЕНИЕ : когда я впервые опубликовал свой ответ, я упустил суть вопроса; мой ответ был оподесли.htaccess это вас интересует).Мне это надо:/wp-admin/ .htaccess

    Первый рекомендует следующее (и вот некоторые обсуждения по этому поводу.)

    <Files ~ "\.(php)$">
    AuthUserFile /etc/httpd/htpasswd
    AuthType Basic
    AuthName "restricted"
    Order Deny,Allow
    Deny from all
    Require valid-user
    Satisfy any
    </Files>
    

    В последнем есть много информации, особенно в комментариях, но, по общему признанию, предоставление вам списка для чтения — это не тот ответ, который вы искали.

    Извините, я не мог быть более полезным в этом вопросе.

    ========================================

    Обычно WordPress имеет только следующее, которое обрабатывает постоянные ссылки и не связано с безопасностью:

    # BEGIN WordPress
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    # END WordPress
    

    Недавно я нашел плагин WP htacess Control, который многое делает .htaccess за вас, и мне он очень нравится. После настройки его настроек он добавил следующие параметры:

    # WPhtC: Disable ServerSignature on generated error pages
    ServerSignature Off
    
    # WPhtC: Disable directory browsing
    Options All -Indexes
    
    # WPhtC: Protect WP-config.php
    <files wp-config.php>
    order allow,deny
    deny from all
    </files>
    
    # WPhtC: Protect .htaccess file
    <files ~ "^.*\.([Hh][Tt][Aa])">
    order allow,deny
    deny from all
    </files>
    

    Он также добавил эти параметры, которые касаются производительности, а не безопасности:

    # WPhtC: Setting mod_gzip
    <ifModule mod_gzip.c>
    mod_gzip_on Yes
    mod_gzip_dechunk Yes
    mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
    mod_gzip_item_include handler ^cgi-script$
    mod_gzip_item_include mime ^text/.*
    mod_gzip_item_include mime ^application/x-javascript.*
    mod_gzip_item_exclude mime ^image/.*
    mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
    </ifModule>
    
    # WPhtC: Setting mod_deflate
    <IfModule mod_deflate.c>
    AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
    BrowserMatch ^Mozilla/4 gzip-only-text/html
    BrowserMatch ^Mozilla/4.0[678] no-gzip
    BrowserMatch bMSIE !no-gzip !gzip-only-text/html
    Header append Vary User-Agent env=!dont-vary
    </IfModule>
    

    Помимо этого есть несколько плагинов, которые я не пробовал, но они ориентированы на безопасность и взаимодействуют с .htaccess ними — вы можете попробовать их каждый, просто чтобы увидеть, что они делают с .htaccess файлом:

    Кроме того, если вы хотите узнать экспертный ресурс (IMO) № 1 по безопасности Apache, связанный с WordPress, вы можете найти его на AskApache.com ; чувак хардкор! Его блог не решит вашу проблему « слишком много информации », но, по крайней мере, вы можете рассматривать его как авторитетный ресурс!

    Вот несколько примеров (хотя не все они напрямую связаны с WordPress, все они применимы):

    Во всяком случае, надеюсь, что это поможет.

    • 0
  3. Идея, лежащая в основе этого, заключается в том, что если у вас есть удушающие файлы, висящие после прошлых обновлений или для атак нулевого дня, ваша система может быть взломана. Также защита wp-admin другим методом поможет от атак грубой силы.

    Одна идея) Если вы просто редактируете сайт, вы можете ограничить доступ к папке по ip, выполнив что-то вроде

    <Files *>
    Order deny,allow
    Deny from All
    Allow from 1.2.3.4
    </Files>
    

    Чтобы сделать его более приемлемым для систем с динамическим IP; вы должны иметь возможность разрешать из подблока, поэтому, если ваш пул IP-адресов всегда находится в диапазоне от 1.2.3.128 до 1.2.3.255, вы можете сделать что-то вроде 1.2.3.128/25.

    Еще одна идея) требуется HTTPS, дайте разрешение на отказ, если они попробуют это через http. Но не перенаправлять их на https. Вы можете использовать самозаверяющий сертификат или сертификат CA Cert, чтобы обойтись без его покупки.

    • 0
  4. Я всегда включаю файл.htaccess в wp-admin, даже если ничего в него не помещаю, так как он отрицает файл корневого каталога. Некоторые люди используют файл wp-admin.htaccess, чтобы скрыть весь каталог от всех IP-адресов, кроме одного, другие используют его для защиты каталога паролем.

    Однако защита паролем раздела администратора с помощью.htaccess отключит связь ajax, поскольку они взаимодействуют с wp-admin/admin-ajax.php.

    Как правило, я не вижу особых причин добавлять что-либо в файл.htaccess администратора, если только вы не параноик. В любом случае атаки обычно нацелены на wp-контент.

    • 0
  5. я также использую библиотеку sseqlib для большей безопасности и различных хаков в.htacces; см. ссылки

    • 0

Оставить ответ

You must login to add an answer.