使用.htaccess保护您的WordPress网站

毫无疑问,WordPress是目前最受欢迎的CMS,与Joomla和Drupal等其他选项相比相形见绌。

虽然这对WordPress来说是一件好事,但它现在有一个非常庞大且活跃的社区贡献插件,主题和修复,但随着这种增长它现在也有它的坏点......当任何事情变得如此重要时,人们会想方设法无论他们认为合适的原因,都会攻击有问题的CMS。

我们作为WordPress用户的工作(除了为WordPress社区做出贡献)是保证我们的安装不受我们不想访问我们网站的人的影响。

有许多插件可以帮助支持我们的WordPress防御,例如登录LockDown它记录IP地址并在经过一定数量的登录尝试后阻止它们,这有助于防止暴力攻击。

另一个是WP安全扫描它会检查您的安装是否存在漏洞,并建议可能的方法来修复它可能找到的任何内容。

保持安全安全的最被忽视的方法之一是在更新可用时更新安装,以确保所有最新的修补程序和修补程序都应用于您的站点。 (您还可以从根目录中删除readme.html和license.txt文件,因为它们显示您已安装的WordPress的版本号。)

配置.htaccess文件

除了插件之外,您还可以对.htaccess文件添加许多内容,这些附加内容与插件和定期更新相结合,可以提高网站的安全性并为您提供额外的保护。

我将介绍其中一些我觉得保护WordPress安装中的一些基本要素,并向您展示如何以及在何处添加代码片段;您不必使用每一个,只要您认为可以帮助您保护您的网站。

典型的WordPress .htaccess文件看起来类似于:

#BEGIN WordPress  RewriteEngine OnRewriteBase / RewriteRule ^ index \ .php $  -  [L] RewriteCond%{REQUEST_FILENAME}!-fRewriteCond%{REQUEST_FILENAME}!-dRewriteRule。 /index.php [L]  #END WordPress

我建议添加.htaccess文件后添加#END WordPress

这将确保您不会破坏任何基于WordPress的.htaccess函数。在对.htaccess文件进行任何更改之前,我强烈建议将其备份并将其保存在安全的地方!

保护wp-config.php

Wp-config.php是根目录中存储有关您网站的信息以及数据库详细信息的文件,特别是我们不希望这个文件落入坏人手中。

在.htaccess中添加以下内容以防止对wp-config.php文件的任何访问:

命令允许,denydeny来自所有人

仅从您的IP访问管理员

您可以限制谁可以通过IP地址访问您的管理文件夹,为此,您需要在文本编辑器中创建一个新的.htaccess文件并上传到您的wp-admin文件夹。

以下代码段拒绝为每个人访问admin文件夹,但您的IP地址除外,但请注意,如果您有动态IP,则可能需要定期更改此文件,否则您将被拒绝访问自己!

订单拒绝,允许从202.090.21.1(替换为您的IP地址)拒绝所有

禁止坏用户

如果您有相同的IP地址试图访问您的内容或试图暴力管理您的管理页面,您可以使用.htaccess禁止此人使用这个简单的代码段:

订单允许,denydeny来自202.090.21.1允许所有人

此人现在无法访问您的网站。您可以通过复制拒绝行来添加更多内容,例如:

订单允许,denydeny从202.090.21.1deny从204.090.21.2允许所有

没有目录浏览

由于WordPress现在如此受欢迎,很多人都知道WordPress安装的结构,知道在哪里可以发现你可能使用的插件或任何其他文件可能会泄露有关你网站的太多信息,解决这个问题的一种方法是防止目录浏览。

#directory browsersOptions All -Indexes

阻止访问wp内容

Wp-content文件夹包含图像,主题和插件,它是WordPress安装中非常重要的文件夹,因此防止外人访问它是有意义的。

这需要它自己的.htaccess文件,必须添加到wp-content文件夹,它允许用户查看图像,CSS等...但保护重要的PHP文件:

命令拒绝,允许所有人拒绝允许所有人

个人文件保护

您可能希望单独保护某些文件,而不是阻止整个文件夹或选择。示例代码段显示了如何阻止访问.htaccess文件,如果有人访问则会抛出403。文件名可以更改为您要保护的文件:

#保护.htaccess 命令允许,denydeny来自所有人

保护.htaccess

听起来很疯狂,对吧?我们花了很多时间担心我们是否安装了正确的插件和修复程序,我们忽略了.htaccess文件仍然可以攻击的事实。

此代码段基本上会阻止任何人查看以您开头的网站上的任何文件“HTA”这将保护它并使其更安全。

订单允许,denydeny来自allsatisfy all 

我们已经介绍了如何禁止用户,阻止任何人访问您的管理文件夹,如何防止目录浏览,保护您的wp-config.php文件,保护您的wp-content文件夹,保护单个文件甚至保护您的.htaccess文件。

这个代码段列表并没有用尽,你可以通过.htaccess保护你的网站还有很多其他的东西,但我所涵盖的项目有助于保护你网站上的一些关键文件和文件夹并保留它们远离窥探的眼睛。



翻译字数超限