Sécurité et .htaccess

Question

Il y a environ un mois, j'ai commencé un blog WordPress sur un serveur hébergé lié à un passe-temps. Donc, je suis nouveau à ce à l'heure actuelle.

Depuis que je suis préoccupé par la sécurité, une chose que je l'ai fait était d'installer le plugin WP Security Scan. Selon les résultats du plug-in, mes chèques de site, sauf que je reçois ce dans les résultats comme un drapeau rouge:

  

Le fichier .htaccess n'existe pas dans wp-admin / (je ssh'd là-bas et il n'existe pas)

Ok, donc je fait une recherche considérable sur la question et trouver des informations trop sur .htaccess. Je suis passé par WordPress Durcissement sur le site WordPress.org, etc. Et aussi couru dans cet article: http: //digwp.com/2010/07/wordpress-security-lockdown/

Quoi qu'il en soit, je l'ai confondu avec essentiellement eu la pléthore d'informations disponibles.

Que doit faire le fichier .htaccess dans wp-admin contiennent? J'ai lu que ce fichier .htaccess doit protéger le mot de passe dans le répertoire wp-admin et je l'ai lu aussi que cela peut provoquer une fonctionnalité problèmes.

Aide avec ceci est très apprécié.

Merci. -wdypdx22

Mise à jour Ok, donc je ne suis pas loggué sur mon blog et en utilisant un autre ordinateur que d'habitude. Je rentre dans la www.mysite.com/wordpress/wp-admin/ url et il y a une redirection de connexion. Si tel est ce qui se passe, est alors un fichier htaccess même nécessaire dans le répertoire wp-admin?

Answer 1

UPDATE : Quand je posté ma réponse que je manqué le point crucial de la question; ma réponse était sur la sécurité .htaccess en général et est maintenant ci-dessous la ligne double (regarder vers le bas si cela vous intéresse.) Malheureusement, je n'ai pas d'expérience spécifique avec la sécurisation /wp-admin/ à l'aide .htaccess donc je vais énumérer simplement les deux ressources que je poursuivrai quand et si je besoin:

• Durcissement WordPress avec .htaccess
• AskApache Protection de mot de passe, pour WordPress

La première recommande ce qui suit (et une discussion à ce sujet ici .)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Ce dernier a beaucoup d'informations, en particulier dans les commentaires, mais il est vrai que vous fournit une liste de lecture n'est pas la réponse que vous recherchez.

Désolé, je ne pouvais pas avoir été plus utile sur celui-ci.

========================================

En général WordPress seulement le suivant qui a traité le traitement permalien et ne sont pas liés à la sécurité:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Récemment, je l'ai trouvé WP htacess plug-in contrôle qui gère un grand nombre de .htaccess pour vous et je préfère l'aime beaucoup. Après peaufinage des réglages de il a ajouté les options suivantes:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Il a également ajouté ces options qui sont sur la performance au lieu de la sécurité:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Au-delà de celui-ci il y a quelques plugins que je ne l'ai pas essayé, mais qui sont axés sur la sécurité et qui interagissent avec .htaccess - vous pouvez les essayer chacun juste pour voir ce qu'ils font au fichier .htaccess:

• WP Super Secure rapide htaccess (also )
• sécurité BulletProof
• Le silence est d'or Garde
• WP-BlockYou
• furtif Connexion
• authentification HTTP
• AskApache Mot de passe protégé

Au-delà, si vous voulez connaître le (OMI) # 1 ressource d'experts sur la sécurité Apache lié à WordPress vous pouvez le trouver sur AskApache.com ; mec est hardcore! Son blog ne résoudra pas votre « trop d'informations » problème, mais au moins vous pouvez le voir comme une ressource faisant autorité!

Voici quelques exemples (bien que tous ne sont pas directement WordPress ils sont tous liés applicables):

• avancée WordPress wp-config.php Tweaks
• Exemple .htaccess pour WordPress
• avancée WordPress 404
• Mod_security tours .htaccess
• .htaccess Plugin Spam, blocs pirates informatiques,et mot de passe protège Blog

Quoi qu'il en soit, espérons que cette aide.

Answer 2

L'idée derrière, si vous avez des fichiers étranglant suspendus derrière des mises à niveau passées ou pour les attaques zero-day, votre système pourrait être piraté. assurer aussi le wp-admin par une autre méthode aidera contre les attaques par la force brute.

Une idée) si elle est juste édition, vous le site que vous pouvez limiter l'accès au dossier par ip faire quelque chose comme

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Pour le rendre un peu plus tolérable pour les systèmes IP dynamique; vous devriez être en mesure de permettre à partir d'un sous-bloc, donc si vous pool d'adresses IP est toujours de 1.2.3.128 - 1.2.3.255, alors vous pourriez faire quelque chose comme 1.2.3.128/25

Une autre idée) exigent HTTPS, donner une Permissioned refusée s'ils l'essayer sur http. Mais ne les redirige pas vers https. Vous pouvez utiliser un certificat auto-signé ou un de CA Cert pour obtenir sans que l'achat d'un.

Answer 3

Je toujours inclure un fichier .htaccess dans wp-admin, même si je ne mets jamais rien dedans, puisqu'il réduit à néant le fichier du répertoire racine. Certaines personnes utilisent le fichier wp-admin pour cacher tout le répertoire de tous, mais une adresse IP, d'autres l'utilisent pour protéger le mot de passe dans le répertoire.

Cependant, mot de passe protégeant la section admin avec .htaccess désactivera ajax communications, car ils interagissent avec wp-admin / admin-ajax.php.

En général, je ne vois pas beaucoup de raisons d'ajouter quoi que ce soit dans le fichier .htaccess d'administration, sauf si vous êtes extrêmement paranoïaque. Les attaques ciblent généralement de toute façon wp-content.

Answer 4

J'utilise aussi la bibliothèque sseqlib pour plus de sécurité et différents hacks dans les .htacces; voir les liens

• SSEQ-lib
• . exemple htaccess