Kuidas kaitsta WordPressi faile ja katalooge .htaccessiga?

Kuulake seda artiklit

Htaccess-fail on serveri konfiguratsioonifailmida toetavad paljud veebiserverid, sealhulgas kõige populaarsem Apache veebiserveri tarkvara. See näiliselt tagasihoidlik fail on täis kõikvõimalikke funktsioone, mis õigel kasutamisel võivad väga tõhusalt määrata, kuidas teie veebiserver päringuid käsitleb. Siit saate teada, kuidas piirata juurdepääsu WordPressi failidele ja kataloogidele .htaccess-failiga.

Lisaks sellele, kuidas veebiserver päringuid töötleb, on väga kasulik kaitsta oma WordPressi faile häkkerite volitamata juurdepääsu eest. Selles artiklis vaatlen paljusid võimalusi WordPressi failide ja kataloogide kaitsmiseks .htaccessiga.

Artikli sisu:

• 1. Kuidas kaitsta WordPressi faile ja katalooge .htaccessiga?
  • 1.1 Htaccess-faili kaitsmine
  • 1.2 Piirake juurdepääsu kaustale wp-admin .htaccessiga
  • 1.3 Blokeerige volitamata juurdepääs saidile wp-config.php
  • 1.4 Kuidas blokeerida juurdepääs wp sisule/allalaadimistele ja keelata pHp täitmine?
  • 1.5 Keelake WordPressis kataloogisirvimine
  • 1.6 Teatud IP-aadresside saidile juurdepääsu blokeerimine
  • 1.7 Teatud domeenide saidile juurdepääsu blokeerimine
• 2. Alternatiivne lahendus

1. Kuidas kaitsta WordPressi faile ja katalooge .htaccessiga?

Vaatame mõnda lihtsat meetodit, mille abil saate oma WordPressi faile võõraste pilkude eest kaitsta.

Enne kui asun teiste failide kaitsmise juurde, alustame faili .htaccess kaitsmisega. Kuid nagu ma alati ütlen, tehke enne muudatuste tegemist (ükskõik kui suured või väikesed) alati oma saidist varukoopia ja hoidke sel juhul paar koopiat oma .htaccess-failist oma kohalikus süsteemis. See peaks vältima kahjustusi, mis võivad tuleneda faili juhuslikust muutmisest.

1.1 Htaccess-faili kaitsmine

Htaccess-faili leiate hõlpsalt juurveebikaustast avalik_html. Sellele failile pääseb juurde kahel viisil – kasutades FTP-d nagu FileZilla või kasutades oma WordPressi hostimiskonto failihaldurit. Selles artiklis kasutan failile juurdepääsuks failihaldurit ja näitan teile, kuidas saate seda kaitsta.

Samm 1: logige sisse oma veebimajutuskontole, kasutades oma kasutajanime ja parooli. Kui te pole oma veebimajutuskonto mandaatides kindel, võtke abi saamiseks ühendust oma hostiteenuse pakkujaga.
2. samm: klõpsake "Failihaldur".

Valige failihaldur.

3. samm: Seejärel klõpsake kausta public_html.

Valige "public_html".

4. samm: sees näete .htaccess-faili. Paremklõpsake seda. Ja vali valik toimetamine.

Kui teil on failile juurdepääs, sisestage sellesse järgmine koodilõik.

# Keela juurdepääs .htaccessile Telli luba, keela Keela kõigilt

See piirab kasutaja juurdepääsu teie htaccess-failile. Lihtne, eks?
Nüüd, kui oleme .htaccess-faili turvanud, on aeg ülejäänu juurde liikuda. Alustame kausta wp-admin turvamisega.

1.2 Piirake juurdepääsu kaustale wp-admin .htaccessiga

Wp-admin kaust sisaldab faile, mis koos panevad haldustööriistad tööle. Selles kaustas olev fail admin.php täidab järgmisi funktsioone:

• Võimaldab luua ühenduse andmebaasiga.
• Kuvab WordPressi tööriistariba.
• Hallake saidi sisselogimislehte.

Nagu näete, on kataloog wp-admin väga oluline ja selle eest tuleb hoolitseda volitamata juurdepääsu eest. Selle põhjuseks on asjaolu, et juurdepääs administraatoripaneelile võimaldab häkkeril teie saiti hävitada. Selleks piirake kasutajate juurdepääsu WordPressi administraatori kaustale, kasutades faili .htaccess. Lubage juurdepääs konkreetsetele teie valitud IP-aadressidele. Selleks peate looma eraldi .htaccess-faili mõne koodiga (see, mis asub allolevas sinises kastis) ja laadige see üles kausta wp-admin.

Uue htaccess-faili loomiseks avage lihtsalt uus fail oma vaiketekstiredaktoris ja nimetage see .htaccess-iks. Mitte .htaccess.txt või .htaccess.doc ega muud täiendavad faililaiendid. Lihtsalt .htaccess. Kui olete seda teinud, kleepige sellele järgmine kood.

# Piira sisselogimisi ja administraatorit IP järgi käsk keelata, luba keelata kõigilt lubada alates 12.34.56.78

Uue .htaccess-faili üleslaadimiseks kausta wp-admin logige sisse oma veebimajutuskontole ja avage failihaldur, nagu allpool näidatud.

Valige failihaldur.

Kui klõpsate failihalduril, näete kõiki oma saidil olevaid faile ja kaustu, nagu allpool näidatud. Seejärel klõpsake kausta public_html.

Valige "public_html".

Klõpsake kausta wp-admin.

Valige "wp-admin".

Seejärel klõpsake ülaltoodud viisil allalaadimisnuppu.

Valige Laadi alla.

Valige oma kohalikus süsteemis just loodud .htaccess ja laadige see avanevas aknas üles.

Laadige fail alla.

Kui olete oma uue .htaccess-faili üles laadinud, oletegi valmis! Need uued turvameetmed piiravad kasutajatel juurdepääsu teie administraatoripaneelile, välja arvatud need, millele olete selgesõnaliselt loa andnud.

Pange tähele, et see piirab ainult juurdepääsu wp-adminile ega piira juurdepääsu WordPressi saidile täielikult. Registreeritud kasutajatel on endiselt juurdepääs wp-adminile, kuid seda võivad piirata ka kasutajarollid. Saate piirata kasutajate õigusi, nii et kõik registreeritud kasutajad ei pääse kaustale juurde.

1.3 Blokeerige volitamata juurdepääs saidile wp-config.php

Wp-config fail käsitleb WordPressi põhikonfiguratsioone ja hoiab teie WordPressi installimise kohta tundlikku teavet, nagu MySQL-i sätted, salajased võtmed, WordPressi andmebaasiühenduse üksikasjad jne, võõraste pilkude eest.

Htaccess-fail võib olla kasulik selle väga olulise faili kaitsmiseks, millele veebikasutaja juurde pääseb. Selleks piisab, kui kopeerida allolev kood oma .htaccess-faili.

Nagu on kirjeldatud jaotises Htaccess-faili kaitsmine, avage failihalduris htaccess-fail ja lisage sellele järgmine kood.

käsk luba, keela keela kõigilt

Kui olete ülaloleva koodi lisanud, blokeerite volitamata juurdepääsu saidile wp-config.php.

1.4 Kuidas blokeerida juurdepääs wp sisule/allalaadimistele ja keelata pHp täitmine?

Sageli jätavad häkkerid teie saidil olevatele failidele juurdepääsuks tagaukse, nii et isegi kui häkkimine avastatakse ja parandatakse, pääsevad nad saidile tulevikus hõlpsasti juurde. Need tagaukse failid on sageli maskeeritud WordPressi failidena kataloogides wp-includes või wp-content/uploads/. Ja need on sageli .php-failid. Oma WordPressi failide ja kaustade paremaks kaitsmiseks peate selliste failide täitmise keelama. See võib aidata piirata WordPressi juurdepääsu ja seda saab teha PHP täitmise keelamisega nendes kataloogides.

PHP täitmise keelamine .htaccessiga on väga lihtne protsess, kui järgite failis neid lihtsaid juhiseid.

Kõigepealt loo tekstiredaktoris uus .htaccess fail ja lisa sellele järgmine kood.

keelata kõigest

Järgmise sammuna logige sisse oma veebimajutuskontole ja avage failihaldur. Siit pääsete juurde sisule ja allalaadimiskaustale. Leidke kaust wp-content/upload/.

vali "allalaadimised" alates "wp-sisu".

Klõpsake nuppuLae allaja laadige üles äsja loodud .htaccess-fail.

Valige Laadi alla.

Vajutades nuppu "Lae alla» Avaneb uus aken, kus saate valida kohalikust süsteemist .htaccess-faili.

Faili üles laadima.

Kui olete .htaccess-faili kausta üles laadinud wp-content/upload/, peate selle kausta lisama wp-sisaldab.

Sama nagu kausta lisamine wp-content/upload/, avage kaustale juurdepääsuks failihaldur wp-sisaldab teie saidi kodukataloogist.

vali "wp-sisaldab".

Klõpsake kaustal wp-sisaldabja seejärel klõpsake allalaadimisnuppu.

Valige Laadi alla.

Pärast allalaadimisnupul klõpsamist saate valida faili oma kohalikust süsteemist. Valige äsja loodud .htaccess-fail ja laadige see üles.

Laadige oma fail alla.

Kui olete lisanud .htaccess mõlemale väga olulisele kaustale, olete nendes kaustades edukalt keelanud igasuguse PHP täitmise.

1.5 Keelake kataloogis sirvimine WordPressis htaccessiga

Kataloogide sirvimine on funktsioon, mille puhul näete veebisaidile juurdepääsu proovimisel veebilehe asemel failide ja kaustade loendit. Näiteks on teil kataloog nimega privaatne (näiteks) teie veebisaidil www.example.com. Kui kataloogi sirvimine pole selles konkreetses kataloogis keelatud, siis kui keegi tippib www.example.com/private/, näeb see kõiki faile ja kaustu privaatkataloog.

See võib teie saidile olla katastroofiline, sest häkker võib hankida tohutul hulgal teavet. Kes saab seejärel teie saidi vastu rünnakut kavandada, olles varustatud teadmistega teie saidi failihierarhiast? Kui keelate WordPressis kataloogisirvimise htaccessiga, piirate oma saidile juurdepääsu taset.

Kataloogisirvimise keelamiseks konkreetse kataloogi jaoks looge tekstiredaktoris htaccess-fail ja salvestage see htaccess-failina (ilma täiendavate faililaienditeta). Seejärel lisage sellele järgmine kood ja piirake juurdepääsu oma WordPressi failidele.

# keelab kataloogi sirvimise Valikud Kõik -indeksid

Pärast koodi lisamist laadige see vastloodud .htaccess-fail üles kataloogi, kus soovite selle funktsiooni keelata. Näiteks kui soovite keelata kataloogi sirvimise kausta wp-includes jaoks, laadige see htaccess-fail üles kausta wp-includes, nagu tegite varem failihalduri kaudu.

1.6 Teatud IP-aadresside saidile juurdepääsu blokeerimine

Võib-olla olete märganud, et mõned kasutajad teatud IP-aadressidelt on korduvalt rämpsposti saatnud, häkkida üritanud või lihtsalt püüdnud saada volitamata juurdepääsu teie WordPressi saidile. Saate täielikult takistada WordPressi kasutaja volitamata juurdepääsu, blokeerides nende IP-aadressil juurdepääsu teie saidile, kasutades faili .htaccess. Selleks kopeerige allolev kood oma .htaccess-faili.

järjestus luba, keela keela alates 128.476.75.1 luba kõigilt

Ülaltoodud koodis antud IP-aadress on lihtsalt näiv. Saate need väärtused asendada IP-aadressiga, mille soovite blokeerida. Kui teil on ühe asemel mitu, lisage igaüks eraldi reale, mis näeb välja järgmine:

deny from 213.546.87.9

Kui soovite täieliku IP-aadressi asemel keelata juurdepääsu IP-aadresside plokile, jätke lihtsalt viimane oktett välja, nagu allpool näidatud.

deny from 213.546.87.9

See blokeerib kõik IP-aadressid vahemikus 213.546.87.0 kuni 213.546.87.255.

1.7 Teatud domeenide saidile juurdepääsu blokeerimine

Te ei pruugi alati teada konkreetseid IP-aadresse, mis teile rämpsposti saadavad. Siiski võite olla teadlik, et need rünnakud pärinevad teatud pahatahtlikel domeenidel hostitud linkidelt. .htaccess võimaldab teil blokeerida kõik külastajad, kes sattusid teie saidile selliste pahatahtlike saitide lingi kaudu.

Domeeninime blokeerimiseks lisage oma .htaccess-faili järgmine kood.

SetEnvIfNoCase viitaja "badsite.com" bad_referer Telli Luba, Keela luba KÕIKilt Keela saidilt env=bad_referer

Ülaltoodud koodis asendage "halb sait" domeeniga, mille soovite blokeerida. Siiski, kui kasutaja proovib teie saidile juurde pääseda teie blokeeritud domeenilt, kuvatakse talle veateade ja nad ei pääse teie saidile juurde.

2. Alternatiivne lahendus

Kuigi kõik ülaltoodud lahendused piiravad tõhusalt juurdepääsu WordPressi failidele ja kataloogidele, ei saa eitada, et need kujutavad teie saidile suurt ohtu. Miks? Noh, sest sa ajad väga olulise konfiguratsioonifailiga jama. Isegi sobimatu punkt võib teie saidi funktsionaalsust rikkuda! Õudne, eks?

Seega, kui te pole ekspert, on kõige parem kasutada WordPressi veebisaidi turvapluginat, kuna see aitab teie veebisaiti kaitsta. WordPressi pistikprogrammid nimega Wordfence, All In One WP Security ja MalCare saavad teie veebisaidi turvaaspektide eest hoolitseda. Olgu selleks konkreetsete IP-aadresside lisamine musta nimekirja, veebisaitide tugevdamise meetmete rakendamine, sisselogimislehe kaitsmine, pahavara otsimine või paljud muud olulised turvameetmed, need turbepluginad teevad seda kõike!

Seda artiklit lugedes:

• Kuidas WordPressis kontaktivormi rämpsposti vähendada
• XSS-rünnakud WordPressi vastu: kuidas neid ära hoida

Täname lugemise eest: SEO HELPER | NICOLA.TOP