•  16-10-2019
  •  | 
  •  

Pregunta

Hace aproximadamente un mes empecé un blog de WordPress en un servidor alojado relacionada con un hobby. Por lo tanto, yo soy nuevo en esto en la actualidad.

Desde que estoy preocupado por la seguridad, una cosa que hice fue instalar el plugin WP Security Scan. De acuerdo con los resultados del plugin, mi sitio cheques, excepto que me sale esto en los resultados como una señal de alerta:

El archivo .htaccess no existe en wp-admin / (I ssh'd allí y que no existe)

Ok, así que hice una búsqueda importante en el tema y encontrar demasiada información sobre .htaccess. He pasado por endurecimiento en el sitio de WordPress WordPress.org, etc, y también encontré con este artículo: http: //digwp.com/2010/07/wordpress-security-lockdown/

De todos modos, he conseguido básicamente confundido con la gran cantidad de información disponible.

¿Qué debe el archivo .htaccess en wp-admin contener? He leído que este archivo .htaccess debe proteger con contraseña el directorio wp-admin y también he leído que esto puede causar funcionalidad problemas.

Ayuda con esto es muy apreciada.

Gracias. -wdypdx22

Actualizar Ok, así que no estoy conectado a mi blog y utilizando un equipo diferente de lo habitual. Entro en el www.mysite.com/wordpress/wp-admin/ url y hay una redirección al inicio de sesión. Si eso pasa, entonces es un archivo .htaccess incluso necesario en el directorio wp-admin?

¿Fue útil?

Solución

Actualizar : La primera vez que puse mi respuesta me perdí el quid de la cuestión; mi respuesta fue acerca de la seguridad .htaccess en general y ahora está en la lista debajo de la línea doble (mirar hacia abajo si le interesa.) Por desgracia no tengo experiencia específica con la obtención de /wp-admin/ usando .htaccess así que voy a enumerar simplemente los dos recursos perseguiré cuando y si lo necesito:

La primera de ellas recomienda lo siguiente (y aquí está alguna discusión al respecto .) 

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Este último tiene mucha información, sobre todo en los comentarios, pero la verdad es que proporciona una lista de lectura no es la respuesta que estaba buscando.

Lo siento, no podría haber sido más útil en este caso.

========================================

Normalmente WordPress sólo tiene la siguiente que maneja el procesamiento de enlace permanente y no está relacionado con la seguridad: 

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Recientemente he encontrado el WP htacess plugin de control que maneja una gran cantidad de .htaccess para usted y yo más bien me gusta mucho. Después de ajustar la configuración de TI se añadió a las siguientes opciones: 

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

También añadió estas opciones que están sobre el rendimiento en lugar de la seguridad: 

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Más allá de esto, hay algunos plugins no he probado pero que se centran en la seguridad y que interactúan con .htaccess - usted puede tratar a cada uno sólo para ver lo que hacen en el fichero de .htaccess:

Más allá de eso, si usted quiere saber el (OMI) # 1 recurso experto en seguridad de Apache relacionada con WordPress se puede encontrar en AskApache.com ; tipo es duro! Su blog no va a resolver su " demasiada información " problema, pero al menos se puede ver como un recurso de autoridad!

Estos son algunos ejemplos (aunque no todos están directamente relacionados con WordPress todos ellos son aplicables):

De todos modos, espero que esta ayuda.

Otros consejos

La idea detrás de esto, si ha estrangular archivos que cuelgan detrás de las actualizaciones anteriores o de los ataques de día cero, el sistema podría ser pirateado. También asegurar el wp-admin por otro método ayudará contra los ataques de fuerza bruta.

Una Idea) Si se acaba de edición de la página se puede limitar el acceso a la carpeta por ip hacer algo como 

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Para que sea un poco más tolerable para los sistemas IP dinámicas; usted debe ser capaz de permitir a partir de un sub-bloque, así que si la piscina IP es siempre desde 1.2.3.128 - 1.2.3.255, entonces se podría hacer algo como 1.2.3.128/25

Otra idea) requieren HTTPS, dan una permissioned negado si lo intentan a través de HTTP. Pero no redirigirlos a la https. Puede utilizar un certificado autofirmado o uno de CA Cert para salir del paso sin necesidad de comprar uno.

Siempre incluye un archivo .htaccess en wp-admin, incluso si no pongo nada en ella, ya que niega el archivo del directorio raíz. Algunas personas utilizan el archivo .htaccess wp-admin para ocultar todo el directorio de todas menos una dirección IP, otros lo utilizan para proteger con contraseña el directorio.

Sin embargo, la protección de contraseña la sección de administración con .htaccess deshabilitará ajax comunicaciones, ya que interactúan con wp-admin / admin-ajax.php.

En general, no veo mucha razón para añadir nada al archivo .htaccess de administración a menos que esté muy paranoico. Usualmente, los ataques se dirigen todos modos wp-content.

i utilizar también la sseqlib biblioteca para más seguridad y diferentes hacks en los .htacces; ver los enlaces

Licenciado bajo: CC-BY-SA con atribución
scroll top