セキュリティと.htaccess

Question

約1か月前、私は趣味に関連するホストサーバーでWordPressブログを始めました。だから、私は現在これに慣れていません。

私はセキュリティを心配しているので、私がしたことの1つは、プラグインWPセキュリティスキャンをインストールすることでした。プラグインの結果によると、私のサイトはレッドフラグとして結果を得ることを除いてチェックアウトします。

ファイル.htaccessはwp-admin/に存在しません（そこにssh'dで、存在しません）

わかりました、だから私はこの問題についてかなりの検索を行い、.htaccessに関するあまりにも多くの情報を見つけました。私はWordPress.orgサイトなどでWordPressを強化してきましたが、この記事にも遭遇しました。 http://digwp.com/2010/07/wordpress-security-lockdown/

とにかく、私は基本的に利用可能な多くの情報と混同されています。

WP-Adminの.htaccessファイルには何が含まれるべきですか？ この.htaccessファイルは、パスワードWP-Adminディレクトリを保護する必要があることを読みました。また、これが機能の問題を引き起こす可能性があることも読みました。

これについての助けは大歓迎です。

ありがとう。 -wdypdx22

アップデート わかりました、だから私は自分のブログにログインしていて、通常とは異なるコンピューターを使用していません。 URL www.mysite.com/wordpress/wp-admin/を入力すると、ログインするリダイレクトがあります。それが何が起こるのか、WP-ADMINディレクトリで必要なHTACCESSファイルも必要ですか？

Answer 1

アップデート: ：最初に答えを投稿したとき、質問の核心を逃しました。私の答えはについてでした .htaccess 一般的にセキュリティがあり、現在、ダブルラインの下にリストされています（興味がある場合は軽視してください。）残念ながら、私は確保の特定の経験がありません /wp-admin/ 使用 .htaccess だから、私がそれを必要とする場合に追求する2つのリソースを単にリストするだけです：

• .htaccessでワードプレスを硬化させます
• WordPress用のAskapacheパスワード保護

最初のものは次のことをお勧めします（そしてここにあります それについてのいくつかの議論.)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

後者には、特にコメントでは多くの情報がありますが、確かに読むリストを提供することは、あなたが探していた答えではありません。

申し訳ありませんが、これについてこれ以上役に立つことはできませんでした。

========================================

通常、WordPressには、パーマリンク処理を処理し、セキュリティに関連していない以下のみがあります。

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

最近、私はそれを見つけました WP HTACESSコントロール 多くを管理するプラグイン .htaccess あなたと私はむしろそれがとても好きです。微調整した後、設定は次のオプションを追加しました。

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

また、セキュリティの代わりにパフォーマンスに関するこれらのオプションを追加しました。

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

これを超えて、私が試したことのないいくつかのプラグインがありますが、それはセキュリティに焦点を合わせており、それが対話します .htaccess - あなたは彼らが何をしているのかを見るためにそれぞれを試してみるかもしれません .htaccess ファイル：

• WP Super SecureとFast Htaccess (また)
• 防弾セキュリティ
• 沈黙はゴールデンガードです
• wp-blockyou
• ステルスログイン
• HTTP認証
• Askapacheパスワード保護

それを超えて、（IMO）＃1の専門家のリソースを知りたい場合 WordPressに関連するApacheセキュリティ あなたはそれを見つけることができます askapache.com;男は筋金入りです！彼のブログはあなたを解決しません」多すぎる情報「問題ですが、少なくともあなたはそれを権威あるリソースとして見ることができます！

いくつかの例を次に示します（すべてが直接WordPressに関連するわけではありませんが、それらはすべて適用可能です）：

• 高度なWordPress WP-Config.phpの調整
• 例.htaccess for wordpress
• Advanced WordPress 404
• mod_security .htaccessトリック
• .htaccessプラグインブロックスパム、ハッカー、パスワードはブログを保護します

とにかく、これが役立つことを願っています。

Answer 2

その背後にあるアイデアは、過去のアップグレードから後ろにぶら下がっているファイルを絞め殺している場合、またはゼロデイの攻撃のために、システムをハッキングする可能性があります。また、別の方法でWP-Adminを保護することは、ブルートフォース攻撃に対して役立ちます。

1つのアイデア）それがあなただけである場合、あなたはIPを行うことによってフォルダーへのアクセスを制限することができます。

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

動的IPシステムにもう少し許容できるようにするため。サブブロックから許可できるはずなので、IPプールが常に1.2.3.128-1.2.3.255の場合、1.2.3.128/25のようなことができます

別のアイデア）httpsが必要であり、HTTPを介して試してみると許可された拒否を与えます。ただし、それらをHTTPSにリダイレクトしないでください。セルフ署名の証明書またはCA CERTの1つを使用して、購入せずに使用できます。

Answer 3

ルートディレクトリのファイルを無効にするため、私は常に何も入れなくても、WP-Adminに.htaccessファイルを常に含めます。 WP-Admin .htaccessファイルを使用して、1つのIPアドレスからディレクトリ全体を非表示にする人もいれば、パスワードを使用してディレクトリを保護する人もいます。

ただし、.htaccessで管理セクションを保護するパスワードは、WP-Admin/Admin-ajax.phpと対話するため、Ajax通信を無効にします。

一般的に、あなたが非常に妄想しない限り、管理者.htaccessファイルに何かを追加する理由はあまりありません。攻撃は通常、とにかくWPコンテンツをターゲットにします。

Answer 4

また、より多くのセキュリティと.htaccesのさまざまなハッキングのためにライブラリSSEQLIBを使用しています。リンクを参照してください

• SSEQ-LIB
• .htaccessの例