Как защитить файлы и каталоги WordPress с помощью .htaccess?

Распечатать · Время на чтение: 10мин · Автор: · Опубликовано · Обновлено

воспроизвестиПрослушать статью

Защита файлов и каталогов в WordPress с помощью htaccessФайл .htaccess — это файл конфигурации сервера, поддерживаемый многими веб-серверами, включая самое популярное программное обеспечение веб-сервера Apache. Этот, казалось бы, непритязательный файл наполнен всевозможными функциями, которые при правильном использовании могут очень эффективно определять способ обработки запросов вашим веб-сервером. Узнайте, как ограничить доступ к файлам и каталогам WordPress с помощью файла .htaccess.

Помимо определения того, как веб-сервер обрабатывает запросы, также очень полезно защитить ваши файлы WordPress от несанкционированного доступа хакеров. В этой статье я рассмотрю множество способов защитить файлы и каталоги WordPress с помощью .htaccess.

1. Как защитить файлы и каталоги WordPress с помощью .htaccess?

Давайте рассмотрим некоторые простые методы, которые вы можете использовать для защиты файлов WordPress от посторонних глаз.

Прежде чем я перейду к защите других файлов, давайте начнем с защиты .htaccess. Однако, как я всегда говорю, прежде чем вносить какие-либо изменения (независимо от того, насколько они велики или малы) всегда делайте резервную копию вашего сайта и в этом случае сохраните пару копий вашего файла .htaccess в вашей локальной системе. Это должно предотвратить любой ущерб, который может возникнуть в результате случайного вмешательства в файл.

1.1 Защита файла .htaccess

Файл .htaccess можно легко найти в корневой веб-папке public_html. Есть два способа получить доступ к этому файлу — с помощью FTP , такого как FileZilla, или с помощью файлового менеджера вашей учетной записи хостинга WordPress. В этой статье я использую файловый менеджер для доступа к файлу и покажу вам, как вы можете защитить его.

Шаг 1: Войдите в свою учетную запись веб-хостинга, используя свое имя пользователя и пароль. Если вы не уверены в учетных данных своей учетной записи веб-хостинга, обратитесь за помощью к хостинг провайдеру.
Шаг 2: Нажмите «Файловый менеджер».

открыть файловый менеджер

Выберите «Файловый менеджер».

Шаг 3: Затем щелкните папку public_html.

открыть общедоступную папку html

Выберите «public_html».

Шаг 4: Внутри вы увидите файл .htaccess. Щелкните его правой кнопкой мыши. И выберите вариант редактирования.

Получив доступ к файлу, поместите в него следующий фрагмент кода.

# Deny access to .htaccess

<Files .htaccess>

Order allow,deny

Deny from all

</Files>

Это ограничит доступ пользователей к вашему файлу .htaccess. Просто, не так ли?
Теперь, когда мы защитили файл .htaccess, пришло время перейти к остальным. Итак, давайте начнем с защиты папки wp-admin.

1.2 Ограничить доступ к папке wp-admin с помощью .htaccess

Папка wp-admin содержит файлы, которые вместе обеспечивают работу инструментов администрирования. Файл admin.php в этой папке выполняет следующие функции:

  • Позволяет подключиться к базе данных.
  • Отображает панель инструментов WordPress.
  • Управляйте страницей входа на сайт.

Как видите, каталог wp-admin очень важен, и необходимо позаботиться о его защите от несанкционированного доступа. Это потому, что доступ к панели администратора позволит хакеру создать хаос на вашем сайте. Для этого ограничьте доступ пользователей к папке администратора WordPress с помощью файла .htaccess. Разрешите доступ к определенным IP-адресам по вашему выбору. Для этого вам нужно будет создать отдельный файл .htaccess с определенным кодом (тот, что в синем поле ниже) и загрузить его в папку wp-admin.

Чтобы создать новый файл .htaccess, просто откройте новый файл в текстовом редакторе по умолчанию и назовите его .htaccess. Не .htaccess.txt или .htaccess.doc или любые другие дополнительные расширения файлов. Просто .htaccess. Как только вы это сделаете, вставьте в него следующий код.

# Limit logins and admin by IP

<Limit GET POST PUT>

order deny,allow

deny from all

allow from 12.34.56.78

</Limit>

Чтобы загрузить только что созданный файл .htaccess в папку wp-admin, войдите в свою учетную запись веб-хостинга и откройте файловый менеджер, как показано ниже.

откройте файловый менеджер

Выберите «Файловый менеджер».

После того, как вы нажмете «Диспетчер файлов», вы увидите все файлы и папки на вашем сайте, как показано ниже. Затем щелкните папку public_html.

откройте общедоступную папку html

Выберите «public_html».

Нажмите на папку wp-admin.

папка wp admin в файловом менеджере

Выберите «wp-админ».

Затем нажмите кнопку загрузки, как показано выше.

кнопка загрузки в файловом менеджере

Выберите «Загрузить».

Выберите .htaccess, который вы только что создали в своей локальной системе, и загрузите его в открывшемся окне.

загрузите свой .htaccess файл

Загрузите файл.

Как только вы загрузили новый файл .htaccess, все готово! Эти новые меры безопасности будут ограничивать доступ пользователей к вашей панели администратора, кроме тех, которым вы явно дали разрешение.

Обратите внимание, что это ограничит доступ только к wp-admin и не ограничит доступ к сайту WordPress полностью. Зарегистрированные пользователи по-прежнему могут получить доступ к wp-admin, но это также может быть ограничено ролями пользователей. Можно ограничить разрешения для пользователей, чтобы не каждый зарегистрированный пользователь мог получить доступ к папке.

1.3 Заблокировать несанкционированный доступ к wp-config.php

Файл wp-config обрабатывает базовые конфигурации WordPress и содержит конфиденциальную информацию о вашей установке WordPress, такую ​​как настройки MySQL, секретные ключи, сведения о подключении к базе данных WordPress и т. д. от посторонних глаз.

Файл .htaccess может пригодиться для защиты этого очень важного файла, к которому обращается веб-пользователь. Для этого все, что вам нужно сделать, это скопировать приведенный ниже код в ваш файл .htaccess.

Как описано в разделе «Защита файла .htaccess», откройте файл .htaccess из диспетчера файлов и добавьте в него следующий код.

<files wp-config.php>

order allow,deny

deny from all

</files>

Как только вы добавите приведенный выше код, вы заблокируете несанкционированный доступ к wp-config.php.

1.4 Как заблокировать доступ к wp-контенту/загрузкам и отключить выполнение pHp?

Часто хакеры оставляют бэкдор для доступа к файлам на вашем сайте, так что, даже если взлом будет обнаружен и устранен, они смогут легко получить доступ к сайту в будущем. Эти файлы бэкдора часто маскируются под файлы WordPress в каталогах wp-includes или wp-content/uploads/. И это часто файлы .php. Чтобы лучше защитить ваши файлы и папки WordPress, вам необходимо отключить выполнение таких файлов. Это может помочь с ограничением доступа WordPress, и это можно сделать, отключив выполнение PHP в этих каталогах.

Отключение выполнения PHP с помощью .htaccess — очень простой процесс, если вы будете следовать этим простым инструкциям в файле.

Прежде всего, создайте новый файл .htaccess в текстовом редакторе и добавьте в него следующий код.

<Files *.php>

deny from all

</Files>

В качестве следующего шага войдите в свою учетную запись веб-хостинга и откройте диспетчер файлов. Здесь вы получаете доступ к содержимому и папке загрузки. Найдите папку wp-content/upload/.

папка загрузки содержимого wp

Выберите «загрузки» из «wp-content».

Нажмите кнопку «Загрузить» и загрузите только что созданный файл .htaccess.

кнопка загрузки в файловом менеджере изображение 2

Выберите «Загрузить».

При нажатии кнопки «Загрузить» откроется новое окно, в котором вы сможете выбрать файл .htaccess из вашей локальной системы.

загрузите свой .htaccess - изображение 2

Загрузить файл.

После того как вы загрузили файл .htaccess в папку wp-content/upload/, вы должны добавить его в папку wp-includes.

Аналогично добавлению в папку wp-content/upload/, откройте файловый менеджер, чтобы получить доступ к папке wp-includes из домашнего каталога вашего сайта.

access wp включает папку в файловом менеджере

Выберите «wp-includes».

Щелкните папку wp-includes, а затем нажмите кнопку загрузки.

кнопка загрузки в файловом менеджере - изображение 3

Выберите «Загрузить».

После того, как вы нажмете кнопку загрузки, вы сможете выбрать файл из вашей локальной системы. Выберите только что созданный файл .htaccess и загрузите его.

загрузите свой .htaccess - изображение 3

Загрузите ваш файл.

После того, как вы добавили .htaccess в обе эти очень важные папки, вы успешно отключили любое выполнение PHP в этих папках.

1.5 Отключите просмотр каталогов в WordPress с помощью htaccess

Просмотр каталогов — это функция, при которой вы видите список файлов и папок вместо веб-страницы, когда пытаетесь получить доступ к веб-сайту. Например, у вас есть каталог с именем private (в качестве примера) на вашем веб-сайте, скажем, www.example.com. Если просмотр каталога не был отключен в этом конкретном каталоге, то если кто-то введет www.example.com/private/, он увидит все файлы и папки в частном каталоге.

Это может иметь катастрофические последствия для вашего сайта, потому что хакер может получить огромное количество информации. Кто может затем приступить к планированию атаки на ваш сайт, вооруженный знаниями о файловой иерархии вашего сайта? Отключив просмотр каталогов в WordPress с помощью htaccess, вы ограничите уровень доступа к своему сайту.

Чтобы отключить просмотр каталога для определенного каталога, создайте файл .htaccess в текстовом редакторе и сохраните его как .htaccess (без каких-либо дополнительных расширений файлов). Затем добавьте в него следующий код и ограничьте доступ к вашим файлам WordPress.

# disable directory browsing

Options All -Indexes

После добавления кода загрузите этот вновь созданный файл .htaccess в каталог, для которого вы хотите отключить эту функцию. Например, если вы хотите отключить просмотр каталога для папки wp-includes, загрузите этот файл .htaccess в папку wp-includes, как это было сделано ранее через диспетчер файлов.

1.6 Блокировка определенных IP-адресов от доступа к сайту

Вы могли заметить, что некоторые пользователи с определенных IP-адресов неоднократно рассылали спам, предпринимали попытки взлома или просто пытались получить несанкционированный доступ к вашему сайту WordPress. Вы можете полностью предотвратить несанкционированный доступ пользователя WordPress, заблокировав его IP-адрес от доступа к вашему сайту с помощью файла .htaccess. Для этого скопируйте приведенный ниже код в свой файл .htaccess.

<Limit GET POST>

order allow,deny

deny from 128.476.75.1

allow from all

</Limit>

IP-адрес, указанный в приведенном выше коде, является просто фиктивным. Вы можете заменить эти значения IP-адресом, который хотите заблокировать. Если вместо одного у вас есть несколько, просто добавьте каждый по отдельности в строку, которая выглядит так:

deny from 213.546.87.9

Если вместо полного IP-адреса вы хотите запретить доступ к блоку IP-адресов, просто опустите последний октет, как показано ниже.

deny from 213.546.87.9

Это заблокирует все IP-адреса от 213.546.87.0 до 213.546.87.255.

1.7 Блокировка определенных доменов от доступа к вашему сайту

Вы не всегда можете знать конкретные IP-адреса, которые рассылают вам спам. Однако вы можете знать, что эти атаки исходят из ссылок, размещенных на определенных вредоносных доменах. .htaccess позволяет заблокировать любого посетителя, зашедшего на ваш сайт по ссылке с таких вредоносных сайтов.

Чтобы заблокировать доменное имя, добавьте следующий код в файл .htaccess.

SetEnvIfNoCase Referer "badsite.com" bad_referer

Order Allow,Deny

Allow from ALL

Deny from env=bad_referer

В приведенном выше коде замените «плохой сайт» доменом, который вы хотите заблокировать. При этом всякий раз, когда пользователь пытается получить доступ к вашему сайту с заблокированного вами домена, он получит сообщение об ошибке и не сможет получить доступ к вашему сайту.

2. Альтернативное решение

Хотя все вышеперечисленные решения эффективны для ограничения доступа к файлам и каталогам в WordPress, нельзя отрицать, что они представляют большой риск для вашего сайта. Почему? Ну, потому что вы возитесь с очень важным файлом конфигурации. Даже неуместная точка может нарушить функциональность вашего сайта! Страшно, правда?

Поэтому, если вы не являетесь экспертом, лучше всего использовать плагин безопасности для веб-сайта WordPress, так как он поможет защитить ваш сайт. Плагины WordPress под названием  Wordfence, All In One WP Security и MalCare могут позаботиться об аспектах безопасности вашего сайта. Будь то занесение определенных IP-адресов в черный список, внедрение мер по усилению защиты веб-сайта, защита вашей страницы входа в систему, сканирование на наличие вредоносных программ или многие другие важные меры безопасности, эти плагины безопасности делает все это!

Спасибо, что читаешь Nicola Top

Насколько публикация полезна?

Нажмите на смайлик, чтобы оценить!

Средняя оценка 5 / 5. Количество оценок: 74

Оценок пока нет. Поставьте оценку первым.

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

четыре × 1 =