Sicherheit und .htaccess

Question

Vor ungefähr einem Monat habe ich ein WordPress -Blog auf einem gehosteten Server mit einem Hobby gestartet. Also bin ich derzeit neu dabei.

Da ich mir Sorgen um Sicherheit habe, war ich eine Sache, die ich getan habe, den Plugin -WP -Sicherheits -Scan zu installieren. Nach den Plugin -Ergebnissen überprüft meine Website, außer dass ich dies in den Ergebnissen als rote Fahne bekomme:

Die Datei .htaccess existiert nicht in WP-admin/ (ich bin dort drin und es existiert nicht)

Ok, also habe ich eine beträchtliche Suche zu diesem Thema durchgeführt und zu viele Informationen über .htaccess gefunden. Ich habe WordPress auf der Website wordPress.org usw. durchgehärtet und bin auch in diesem Artikel gestoßen: http://digwp.com/2010/07/wordpress-security-lockdown/

Wie auch immer, ich bin im Grunde genommen verwirrt mit der Fülle der verfügbaren Informationen.

Was sollte die .htaccess-Datei in WP-Admin enthalten? Ich habe gelesen, dass diese .htaccess-Datei das Kennwort des WP-Admin-Verzeichnisses schützen sollte, und ich habe auch gelesen, dass dies Funktionalitätsprobleme verursachen kann.

Hilfe dabei wird sehr geschätzt.

Vielen Dank. -WDYPDX22

Aktualisieren Ok, ich bin nicht in meinem Blog angemeldet und benutze einen anderen Computer als gewöhnlich. Ich fasse die URL www.mysite.com/wordpress/wp-admin/ ein und es gibt eine Weiterleitung zum Anmelden. Wenn das passiert, ist dann eine HTaccess-Datei, die im Verzeichnis WP-Admin-Verzeichnis sogar benötigt wird?

Answer 1

AKTUALISIEREN: Als ich meine Antwort zum ersten Mal gepostet habe, habe ich den Kern der Frage verpasst. Meine Antwort ging um .htaccess Sicherheit im Allgemeinen und ist jetzt unterhalb der Doppelzeile aufgeführt (schauen Sie nach unten, wenn es Sie interessiert). Leider habe ich keine spezifischen Erfahrungen mit der Sicherung /wp-admin/ Verwendung .htaccess Also werde ich einfach die beiden Ressourcen auflisten, die ich verfolgen werde, wann und wenn ich sie brauche:

• WordPress mit .htaccess härten
• Askapache -Passwortschutz für WordPress

Der erste empfiehlt Folgendes (und hier ist Einige Diskussionen darüber.)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Letzteres hat viele Informationen, insbesondere in den Kommentaren, aber zugegebenermaßen ist es nicht die Antwort, nach der Sie gesucht haben.

Entschuldigung, ich hätte in diesem Fall nicht hilfreicher sein können.

========================================

Normalerweise hat WordPress nur die folgenden Permalink -Verarbeitung und ist nicht mit der Sicherheit zusammenhängen:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Kürzlich habe ich das gefunden WP HTACESS -Kontrolle Plugin, das viel verwaltet .htaccess Für dich und ich mag es lieber sehr. Nachdem es angepasst wurde, wurden die Einstellungen hinzugefügt: Die folgenden Optionen wurden hinzugefügt:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Außerdem wurden diese Optionen hinzugefügt, bei denen es sich um Leistung anstelle von Sicherheit handelt:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Jenseits dieser gibt es einige Plugins, die ich nicht ausprobiert habe, die sich aber auf die Sicherheit konzentrieren und mit denen interagiert .htaccess - Sie könnten sie jeden probieren, nur um zu sehen, was sie mit dem tun .htaccess Datei:

• Wp super sicher und schnell htaccess (Auch)
• Kugelsichere Sicherheit
• Stille ist goldener Wachmann
• Wp-blockyou
• Stealth Login
• HTTP -Authentifizierung
• Askapache Passwort Protect

Darüber hinaus möchten Sie die (IMO) #1 Expert -Ressource kennenlernen Apache -Sicherheit im Zusammenhang mit WordPress Sie können es finden Askapache.com; Alter ist Hardcore! Sein Blog wird deine nicht lösen "zu viel Information"Problem, aber zumindest können Sie es als maßgebliche Ressource ansehen!

Hier sind einige Beispiele (obwohl nicht alle direkt mit WordPress zusammenhängen, sind sie alle anwendbar):

• Erweiterte WordPress wp-config.php optimiert
• Beispiel .htaccess für WordPress
• Erweitert WordPress 404
• Mod_security .htaccess Tricks
• .htaccess Plugin -Blöcke Spam, Hacker und Passwort schützen Blog

Wie auch immer, hoffe das hilft.

Answer 2

Die Idee dahinter, wenn Sie Dateien erwürgen lassen, die von früheren Upgrades oder für Zero-Day-Angriffe hingen, könnte Ihr System gehackt werden. Die Sicherung der WP-Admin nach einer anderen Methode hilft auch gegen Brute-Force-Angriffe.

Eine Idee) Wenn nur Sie die Website bearbeiten, können Sie den Zugriff auf den Ordner durch IP beschränken

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Um es für dynamische IP -Systeme etwas erträglicher zu machen; Sie sollten in der Lage sein, von einem Unterblock aus zuzulassen. Wenn Ihr IP -Pool also immer ab 1.2.3.128 - 1.2.3.255 ist, können Sie so etwas wie 1.2.3.128/25 machen

Eine andere Idee) erfordern HTTPS, geben Sie eine Erlaubnis ab, wenn sie es über http versuchen. Aber leiten Sie sie nicht in die HTTPS um. Sie können ein selbstsigniertes Zertifikat oder eines vom CA-Zertifikat verwenden, um sie ohne zu kaufen.

Answer 3

Ich füge immer eine .htaccess-Datei in WP-Admin hinzu, auch wenn ich nie etwas hineingefügt habe, da sie die Datei des Root-Verzeichnisses negiert. Einige Leute verwenden die WP-Admin-.htaccess-Datei, um das gesamte Verzeichnis vor allen außer einer IP-Adresse zu verbergen. Andere verwenden sie, um das Verzeichnis zu schützen.

Der schützende Kennwort zum Schutz des Administrators mit .htaccess deaktiviert jedoch die AJAX-Kommunikation, da sie mit WP-Admin/admin-ajax.php interagieren.

Im Allgemeinen sehe ich nicht viel Grund, der Admin -.htaccess -Datei etwas hinzuzufügen, es sei denn, Sie sind extrem paranoid. Angriffe zielen normalerweise sowieso auf WP-Inhalt.

Answer 4

Ich benutze auch die Bibliothek SSEQLIB für mehr Sicherheit und verschiedene Hacks in den .htacces; Siehe die Links

• SSEQ-LIB
• .htaccess Beispiel