Sicurezza e .htaccess

Question

Circa un mese fa ho iniziato un blog WordPress su un server ospitato relative a un hobby. Quindi, io sono nuovo a questo al momento.

Dal momento che sto preoccupati per la sicurezza, una cosa che ho fatto è stato quello di installare il plugin WP Security Scan. Secondo i risultati del plugin, i miei assegni sito fuori se non che ottengo questo nei risultati come una bandiera rossa:

Il .htaccess file non esiste in wp-admin / (I ssh'd in là e non esiste)

Ok, così ho fatto una ricerca considerevole sulla questione e trovare troppe informazioni su .htaccess. Ho passato indurimento WordPress sul sito WordPress.org, ecc E anche imbattuto in questo articolo: http: //digwp.com/2010/07/wordpress-security-lockdown/

In ogni caso, ho praticamente ottenuto confuso con la pletora di informazioni disponibili.

Quale dovrebbe essere il file .htaccess in wp-admin contiene? Ho letto che questo file .htaccess dovrebbe proteggere con password la directory wp-admin e ho anche letto che questo può causare funzionalità i problemi.

Aiuto di questa è molto apprezzato.

Grazie. -wdypdx22

Aggiorna Ok, quindi non ho collegato al mio blog e utilizzando un computer diverso dal solito. Entro il www.mysite.com/wordpress/wp-admin/ url e c'è un reindirizzamento al login. Se questo è ciò che accade, quindi è un file .htaccess ancora necessari nella directory wp-admin?

Answer 1

Aggiorna : Quando ho inviato la mia risposta mi mancava il nocciolo della questione; la mia risposta è stata per la sicurezza .htaccess in generale ed è ora elencato sotto la doppia linea (guardare in basso, se vi interessa). Purtroppo non ho esperienza specifica con fissaggio /wp-admin/ utilizzando .htaccess quindi mi limiterò semplicemente elencare le due risorse Inseguirò quando e se ne ho bisogno:

• indurimento WordPress con .htaccess
• AskApache Password Protection, per WordPress

Il primo raccomanda quanto segue (e qui è qualche discussione su di esso ).

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Il secondo ha un sacco di informazioni, in particolare nei commenti, ma certamente si fornisce una lista di lettura non è la risposta che stavate cercando.

Mi dispiace non avrebbe potuto essere più disponibile su questo.

========================================

In genere ha WordPress solo a seguito della quale ha gestito l'elaborazione permalink e non è correlato alla sicurezza:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Recentemente ho trovato il WP htacess controllo plugin che gestisce un sacco di .htaccess per voi e ho un po 'come un sacco. Dopo tweaking di impostazioni ha aggiunto le seguenti opzioni:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

E 'anche aggiunto queste opzioni che sono circa le prestazioni invece che di sicurezza:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Al di là di questo ci sono alcuni plugin non ho provato, ma che si concentrano sulla sicurezza e che interagiscono con .htaccess - si potrebbe provare a loro ogni tanto per vedere cosa fanno al file .htaccess:

• WP Super sicuro e veloce .htaccess (also )
• BulletProof Sicurezza
• Silence is Golden Guardia
• WP-BlockYou
• Stealth Accesso
• autenticazione HTTP
• AskApache Password Protect

Al di là di questo, se si desidera conoscere il (IMO) # 1 risorsa esperto di Apache sicurezza relativi a WordPress si può trovare su AskApache.com ; tizio è hardcore! Il suo blog non risolverà il vostro " troppe informazioni " problema, ma almeno si può vederlo come una risorsa autorevole!

Ecco alcuni esempi (anche se non tutti sono direttamente correlati WordPress sono tutti applicabili):

• avanzata WordPress wp-config.php Tweaks
• Esempio .htaccess per WordPress
• avanzata WordPress 404
• mod_security .htaccess trucchi
• .htaccess Plugin blocca lo spam, hacker,e Password Protegge Blog

In ogni caso, spero che questo aiuta.

Answer 2

L'idea alla base, se avete strangolando i file appeso dietro dagli aggiornamenti del passato o per gli attacchi zero-day, il sistema potrebbe essere violato. Anche il fissaggio wp-admin con un altro metodo aiuterà contro gli attacchi di forza bruta.

Un'Idea) Se si tratta solo di te modificando il sito è possibile limitare l'accesso alla cartella da ip facendo qualcosa di simile

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Per rendere un po 'più tollerabile per i sistemi IP dinamico; si dovrebbe essere in grado di consentire da un blocco secondario, quindi se un pool IP è sempre da 1.2.3.128 - 1.2.3.255, allora si potrebbe fare qualcosa di simile 1.2.3.128/25

Un'altra idea) richiedono HTTPS, dare un gestite le autorizzazioni negato se cercano sopra http. Ma non li reindirizza alla https. È possibile utilizzare un cert autofirmato o uno da CA Cert a fare a meno di acquistare uno.

Answer 3

Ho sempre includere un file .htaccess in wp-admin, anche se non ho mai messo niente in esso, in quanto nega il file della directory principale. Alcune persone usano il file wp-admin .htaccess per nascondere l'intera directory da tutti, ma un indirizzo IP, altri lo usano per proteggere con password la directory.

Tuttavia, password che protegge la sezione di amministrazione con .htaccess disattiverà ajax comunicazioni, in quanto interagiscono con wp-admin / admin-ajax.php.

In generale, non vedo molti motivi per aggiungere qualcosa al file .htaccess di amministrazione meno che non siate estremamente paranoica. Gli attacchi di solito bersaglio comunque wp-content.

Answer 4

io uso anche lo sseqlib libreria per una maggiore sicurezza e diversi hack nei .htacces; vedere i collegamenti

• sseq-lib
• . esempio .htaccess