Безопасность и .htaccess

Question

Около месяца назад я запустил блог WordPress на хостинном сервере, связанном с хобби. Итак, я новичок в этом в настоящее время.

Поскольку я обеспокоен безопасностью, я сделал одну вещь, чтобы установить плагин WP Scan Scane. Согласно результатам плагина, мой сайт проверяет, за исключением того, что я получаю это в результатах как красный флаг:

Файл .htaccess не существует в wp-admin/ (я буду там, и его не существует)

Итак, я сделал значительный поиск по этому вопросу и нашел слишком много информации о .htaccess. Я прошел затвердевание WordPress на сайте WordPress.org и т. Д., А также столкнулся с этой статьей: http://digwp.com/2010/07/wordpress-security-lockdown/

В любом случае, я в основном столкнулся с множеством доступной информации.

Что должен содержать файл .htaccess в wp-admin? Я прочитал, что этот файл .htaccess должен защищать пароль каталог WP-ADMIN, и я также прочитал, что это может вызвать проблемы с функциональностью.

Помощь с этим очень ценится.

Спасибо. -WDYPDX22

Обновлять Итак, я не вошел в свой блог и использую другой компьютер, чем обычно. Я ввожу URL-адрес www.mysite.com/wordpress/wp-admin/, и есть перенаправление для входа. Если это то, что происходит, то в каталоге WP-ADMIN вообще нужен файл HTACCESS?

Answer 1

ОБНОВИТЬ: Когда я впервые опубликовал свой ответ, я пропустил суть вопроса; Мой ответ был о .htaccess Безопасность в целом и теперь перечислена ниже двойной линии (посмотрите, если она вас интересует.) К сожалению, у меня нет конкретного опыта в защите /wp-admin/ с использованием .htaccess Так что я просто перечислю два ресурса, которые я буду продолжать, когда и если мне это понадобится:

• Укрепление WordPress с .htaccess
• Защита пароля Askapache, для WordPress

Первый рекомендует следующее (и вот Некоторое обсуждение об этом.)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

У последнего есть много информации, особенно в комментариях, но, по общему признанию, предоставление вам список для чтения - это не тот ответ, который вы искали.

Извините, я не мог бы быть более полезным в этом.

========================================

Обычно WordPress имеет только следующее, которое обрабатывает обработку постоянной ссылки и не связана с безопасностью:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Недавно я нашел WP HTACESS CONTROL плагин, который управляет большим количеством .htaccess Для тебя и мне это очень нравится. После настройки настройки он добавил следующие параметры:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Он также добавил эти варианты, которые о производительности вместо безопасности:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Помимо этого есть некоторые плагины, которые я не пробовал, но они ориентированы на безопасность, и это взаимодействует с .htaccess - Вы можете попробовать их каждый, чтобы посмотреть, что они делают с .htaccess файл:

• WP Super Secure и Fast Htaccess (также)
• Пуленепробиваемая безопасность
• Тишина - Золотая защита
• Wp-blockyou
• Стелс. Вход
• HTTP аутентификация
• Askapache Password Protect

Кроме того, если вы хотите узнать (IMO) #1 экспертный ресурс на Apache Security, связанная с WordPress Вы можете найти это на Askapache.com; Чувак хардкор! Его блог не решит ваш "слишком много информации«Проблема, но, по крайней мере, вы можете рассматривать его как авторитетный ресурс!

Вот несколько примеров (хотя не все связаны непосредственно WordPress, все они применимы):

• Advanced WordPress WP-config.php
• Пример .htaccess для WordPress
• Advanced WordPress 404
• Mod_security .htaccess трюки
• .htaccess плагин блокирует спам, хакеры и пароль защищает блог

В любом случае, надеюсь, это поможет.

Answer 2

Идея, стоящая за этим, если у вас есть удушающие файлы, висящие позади из прошлых обновлений или для атак нулевого дня, ваша система может быть взломана. Также обеспечение WP-ADMIN другим методом поможет против атак грубой силы.

Одна идея) Если это просто редактирование сайта, вы можете ограничить доступ к папке с помощью IP, делая что -то вроде

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Сделать его немного более терпимым для динамических IP -систем; Вы должны быть в состоянии разрешить из подблок, поэтому, если ваш IP -пул всегда от 1.2.3.128 - 1.2.3.255, то вы можете сделать что -то вроде 1.2.3.128/25

Другая идея) Требуйте HTTPS, дайте разрешение, отказанное, если они попробуют это по HTTP. Но не перенаправляйте их на HTTPS. Вы можете использовать самореагированный сертификат или один из CA CERT, чтобы получить его без покупки.

Answer 3

Я всегда включаю файл .htaccess в wp-admin, даже если я никогда ничего не вкладываю в него, поскольку он отрицает файл корневого каталога. Некоторые люди используют файл wp-admin .htaccess, чтобы скрыть весь каталог от всех, кроме одного IP-адреса, другие используют его для защиты пароля.

Тем не менее, пароль, защищающий раздел администратора с помощью .htaccess отключит связь AJAX, поскольку они взаимодействуют с WP-ADMIN/Admin-Ajax.PHP.

Как правило, я не вижу причин добавлять что -либо в файл администратора .htaccess, если вы не очень параноик. Атаки обычно нацелены на WP-контент в любом случае.

Answer 4

Я также использую библиотеку Sseqlib для большей безопасности и различных хаков в .htacces; Смотрите ссылки

• Sseq-lib
• .htaccess Пример