Jak nastavit interní ochranu pro .htaccess
Tato část je použitelná pouze pro případy, kdy si přejete ručně nastavit všechna potřebná nastavení a pravidla. Všechna tato nastavení lze nastavit automaticky pomocí zabezpečených pluginů (zejména BulletProof Security). Doporučujeme nejprve použít zabezpečené pluginy a teprve v případě, že nedokážou poskytnout potřebnou kontrolu, proveďte ruční konfiguraci. Pokud potřebujete provést konkrétní změny v souboru .htaccess ručně, použijte laskavě níže uvedeného průvodce:
.htaccess (hypertextový přístup) je výchozí název konfiguračního souboru na úrovni adresáře specifického pro webové servery se systémem Apache.
Toto je soubor, který se nejčastěji upravuje při přesměrování a také se často používá ke změně typů souborů, aby byly spustitelné. Je to také ten, který budete používat ke zpevnění svého prostředí.
Chcete-li jej chránit, použijte několik jednoduchých pravidel – nastavte nízká oprávnění a odepřete přístup.
Použít nízká oprávnění
Základní pokyny pro oprávnění jsou jednoduché:čím nižší číslo, tím obtížnější je přístup. Dobrým pravidlem je udržovat číslo na co nejnižší úrovni, pokud to nemá vliv na výkon nebo funkčnost. Pro většinu uživatelů nastavení na 640 vám poskytne úroveň přístupu, kterou potřebujete.
Přidat směrnice .HTACCESS
Zde je důležité poznamenat, že to funguje pouze v případě, že je útok externí. To vás neochrání před interními útoky (pokud je například hacknut celý účet cPanel)
Toto je direktiva .htaccess, kterou můžete použít:
#PROTECT HTACCESS
Objednávka povolit, odmítnout
Odmítnout všem
Poznámka: Tím je soubor chráněn pouze před externím přístupem.
- Zakázat procházení adresářů
Pokud nechcete, aby vaši návštěvníci procházeli celým vaším adresářem, jednoduše přidejte část 2 řádků ve vašem .htaccess do kořenového adresáře vašeho blogu WordPress:
# zakázat procházení adresářů
Možnosti Všechny -Indexy
- ochrana souboru wp-config
Wp-config.php je důležitý, protože obsahuje všechna citlivá data a konfiguraci vašeho blogu, a proto by měl být uzamčen přes .htaccess. Přidejte níže uvedený kód do souboru .htaccess v kořenovém adresáři:
objednat povolit,zakázat
odmítnout všem
Kód odepře přístup k souboru wp-config.php všem.
- Přístup do adresáře wp-content
Wp-content obsahuje veškerý obsah pro vaši instalaci WordPressu. Toto je velmi důležitá složka a měla by být zabezpečena. Uživatelé by měli mít možnost prohlížet a přistupovat pouze k určitým typům souborů, jako jsou obrázky (jpg, gif, png), Javascript, css a XML.
Umístěte níže uvedený kód do souboru .htaccess ve složce wp-content (nikoli do kořenové složky):
Odmítnout objednávku, povolit
Odmítnout všem
Povolit všem
- soubory wp-admin
Wp-admin by měl být přístupný pouze vám a vašim kolegům bloggerům (pokud existují). Můžete použít .htaccess k omezení přístupu a povolení pouze konkrétních IP adres k tomuto adresáři.
Pokud máte statickou IP adresu a blogujete vždy ze svého počítače, může to být pro vás dobrá volba. Pokud však provozujete blog pro více uživatelů, můžete se z něj odhlásit nebo můžete povolit přístup z řady IP adres.
Zkopírujte a vložte níže uvedený kód do .htaccess ve složce wp-admin (nikoli v kořenové složce):
# odepřít přístup wp admin
zakázat objednávku, povolit
povolit z xx.xx.xx.xx # Toto je vaše statická IP
odepřít všem
Výše uvedený kód zabrání prohlížeči v přístupu k jakémukoli souboru v těchto adresářích kromě „xx.xx.xx.xx“, což by měla být vaše statická IP adresa.
- Zabránit vkládání skriptu
Chcete-li chránit svůj blog WordPress před vkládáním skriptů a nechtěnými úpravami _REQUEST a/nebo GLOBALS, zkopírujte a vložte níže uvedený kód do svého .htaccess v kořenovém adresáři:
# chránit před sql injection
Možnosti +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [ NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [NEBO]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
To je ono!
Potřebujete pomoc? Kontaktujte náš HelpDesk