Как защитить файлы и каталоги WordPress с помощью .htaccess?

Распечатать · Время на чтение: 10мин · Автор: · Опубликовано · Обновлено

playПрослушать эту статью

Защита файлов и каталогов в WordPress с помощью htaccessФайл .htaccess — это файл конфигурации сервера, поддерживаемый многими веб-серверами, включая самое популярное программное обеспечение веб-сервера Apache. Этот, казалось бы, непритязательный файл наполнен всевозможными функциями, которые при правильном использовании могут очень эффективно определять способ обработки запросов вашим веб-сервером. Узнайте, как ограничить доступ к файлам и каталогам WordPress с помощью файла .htaccess.

Помимо определения того, как веб-сервер обрабатывает запросы, также очень полезно защитить ваши файлы WordPress от несанкционированного доступа хакеров. В этой статье я рассмотрю множество способов защитить файлы и каталоги WordPress с помощью .htaccess.

Содержание статьи:

1. Как защитить файлы и каталоги WordPress с помощью .htaccess?

Давайте рассмотрим некоторые простые методы, которые вы можете использовать для защиты файлов WordPress от посторонних глаз.

Прежде чем я перейду к защите других файлов, давайте начнем с защиты .htaccess. Однако, как я всегда говорю, прежде чем вносить какие-либо изменения (независимо от того, насколько они велики или малы) всегда делайте резервную копию вашего сайта и в этом случае сохраните пару копий вашего файла .htaccess в вашей локальной системе. Это должно предотвратить любой ущерб, который может возникнуть в результате случайного вмешательства в файл.

1.1 Защита файла .htaccess

Файл .htaccess можно легко найти в корневой веб-папке public_html. Есть два способа получить доступ к этому файлу — с помощью FTP , такого как FileZilla, или с помощью файлового менеджера вашей учетной записи хостинга WordPress. В этой статье я использую файловый менеджер для доступа к файлу и покажу вам, как вы можете защитить его.

Шаг 1: Войдите в свою учетную запись веб-хостинга, используя свое имя пользователя и пароль. Если вы не уверены в учетных данных своей учетной записи веб-хостинга, обратитесь за помощью к хостинг провайдеру.
Шаг 2: Нажмите «Файловый менеджер».

открыть файловый менеджер

Выберите «Файловый менеджер».

Шаг 3: Затем щелкните папку public_html.

открыть общедоступную папку html

Выберите «public_html».

Шаг 4: Внутри вы увидите файл .htaccess. Щелкните его правой кнопкой мыши. И выберите вариант редактирования.

Получив доступ к файлу, поместите в него следующий фрагмент кода.

# Deny access to .htaccess

<Files .htaccess>

Order allow,deny

Deny from all

</Files>

Это ограничит доступ пользователей к вашему файлу .htaccess. Просто, не так ли?
Теперь, когда мы защитили файл .htaccess, пришло время перейти к остальным. Итак, давайте начнем с защиты папки wp-admin.

1.2 Ограничить доступ к папке wp-admin с помощью .htaccess

Папка wp-admin содержит файлы, которые вместе обеспечивают работу инструментов администрирования. Файл admin.php в этой папке выполняет следующие функции:

  • Позволяет подключиться к базе данных.
  • Отображает панель инструментов WordPress.
  • Управляйте страницей входа на сайт.

Как видите, каталог wp-admin очень важен, и необходимо позаботиться о его защите от несанкционированного доступа. Это потому, что доступ к панели администратора позволит хакеру создать хаос на вашем сайте. Для этого ограничьте доступ пользователей к папке администратора WordPress с помощью файла .htaccess. Разрешите доступ к определенным IP-адресам по вашему выбору. Для этого вам нужно будет создать отдельный файл .htaccess с определенным кодом (тот, что в синем поле ниже) и загрузить его в папку wp-admin.

Чтобы создать новый файл .htaccess, просто откройте новый файл в текстовом редакторе по умолчанию и назовите его .htaccess. Не .htaccess.txt или .htaccess.doc или любые другие дополнительные расширения файлов. Просто .htaccess. Как только вы это сделаете, вставьте в него следующий код.

# Limit logins and admin by IP

<Limit GET POST PUT>

order deny,allow

deny from all

allow from 12.34.56.78

</Limit>

Чтобы загрузить только что созданный файл .htaccess в папку wp-admin, войдите в свою учетную запись веб-хостинга и откройте файловый менеджер, как показано ниже.

откройте файловый менеджер

Выберите «Файловый менеджер».

После того, как вы нажмете «Диспетчер файлов», вы увидите все файлы и папки на вашем сайте, как показано ниже. Затем щелкните папку public_html.

откройте общедоступную папку html

Выберите «public_html».

Нажмите на папку wp-admin.

папка wp admin в файловом менеджере

Выберите «wp-админ».

Затем нажмите кнопку загрузки, как показано выше.

кнопка загрузки в файловом менеджере

Выберите «Загрузить».

Выберите .htaccess, который вы только что создали в своей локальной системе, и загрузите его в открывшемся окне.

загрузите свой .htaccess файл

Загрузите файл.

Как только вы загрузили новый файл .htaccess, все готово! Эти новые меры безопасности будут ограничивать доступ пользователей к вашей панели администратора, кроме тех, которым вы явно дали разрешение.

Обратите внимание, что это ограничит доступ только к wp-admin и не ограничит доступ к сайту WordPress полностью. Зарегистрированные пользователи по-прежнему могут получить доступ к wp-admin, но это также может быть ограничено ролями пользователей. Можно ограничить разрешения для пользователей, чтобы не каждый зарегистрированный пользователь мог получить доступ к папке.

1.3 Заблокировать несанкционированный доступ к wp-config.php

Файл wp-config обрабатывает базовые конфигурации WordPress и содержит конфиденциальную информацию о вашей установке WordPress, такую ​​как настройки MySQL, секретные ключи, сведения о подключении к базе данных WordPress и т. д. от посторонних глаз.

Файл .htaccess может пригодиться для защиты этого очень важного файла, к которому обращается веб-пользователь. Для этого все, что вам нужно сделать, это скопировать приведенный ниже код в ваш файл .htaccess.

Как описано в разделе «Защита файла .htaccess», откройте файл .htaccess из диспетчера файлов и добавьте в него следующий код.

<files wp-config.php>

order allow,deny

deny from all

</files>

Как только вы добавите приведенный выше код, вы заблокируете несанкционированный доступ к wp-config.php.

1.4 Как заблокировать доступ к wp-контенту/загрузкам и отключить выполнение pHp?

Часто хакеры оставляют бэкдор для доступа к файлам на вашем сайте, так что, даже если взлом будет обнаружен и устранен, они смогут легко получить доступ к сайту в будущем. Эти файлы бэкдора часто маскируются под файлы WordPress в каталогах wp-includes или wp-content/uploads/. И это часто файлы .php. Чтобы лучше защитить ваши файлы и папки WordPress, вам необходимо отключить выполнение таких файлов. Это может помочь с ограничением доступа WordPress, и это можно сделать, отключив выполнение PHP в этих каталогах.

Отключение выполнения PHP с помощью .htaccess — очень простой процесс, если вы будете следовать этим простым инструкциям в файле.

Прежде всего, создайте новый файл .htaccess в текстовом редакторе и добавьте в него следующий код.

<Files *.php>

deny from all

</Files>

В качестве следующего шага войдите в свою учетную запись веб-хостинга и откройте диспетчер файлов. Здесь вы получаете доступ к содержимому и папке загрузки. Найдите папку wp-content/upload/.

папка загрузки содержимого wp

Выберите «загрузки» из «wp-content».

Нажмите кнопку «Загрузить» и загрузите только что созданный файл .htaccess.

кнопка загрузки в файловом менеджере изображение 2

Выберите «Загрузить».

При нажатии кнопки «Загрузить» откроется новое окно, в котором вы сможете выбрать файл .htaccess из вашей локальной системы.

загрузите свой .htaccess - изображение 2

Загрузить файл.

После того как вы загрузили файл .htaccess в папку wp-content/upload/, вы должны добавить его в папку wp-includes.

Аналогично добавлению в папку wp-content/upload/, откройте файловый менеджер, чтобы получить доступ к папке wp-includes из домашнего каталога вашего сайта.

access wp включает папку в файловом менеджере

Выберите «wp-includes».

Щелкните папку wp-includes, а затем нажмите кнопку загрузки.

кнопка загрузки в файловом менеджере - изображение 3

Выберите «Загрузить».

После того, как вы нажмете кнопку загрузки, вы сможете выбрать файл из вашей локальной системы. Выберите только что созданный файл .htaccess и загрузите его.

загрузите свой .htaccess - изображение 3

Загрузите ваш файл.

После того, как вы добавили .htaccess в обе эти очень важные папки, вы успешно отключили любое выполнение PHP в этих папках.

1.5 Отключите просмотр каталогов в WordPress с помощью htaccess

Просмотр каталогов — это функция, при которой вы видите список файлов и папок вместо веб-страницы, когда пытаетесь получить доступ к веб-сайту. Например, у вас есть каталог с именем private (в качестве примера) на вашем веб-сайте, скажем, www.example.com. Если просмотр каталога не был отключен в этом конкретном каталоге, то если кто-то введет www.example.com/private/, он увидит все файлы и папки в частном каталоге.

Это может иметь катастрофические последствия для вашего сайта, потому что хакер может получить огромное количество информации. Кто может затем приступить к планированию атаки на ваш сайт, вооруженный знаниями о файловой иерархии вашего сайта? Отключив просмотр каталогов в WordPress с помощью htaccess, вы ограничите уровень доступа к своему сайту.

Чтобы отключить просмотр каталога для определенного каталога, создайте файл .htaccess в текстовом редакторе и сохраните его как .htaccess (без каких-либо дополнительных расширений файлов). Затем добавьте в него следующий код и ограничьте доступ к вашим файлам WordPress.

# disable directory browsing

Options All -Indexes

После добавления кода загрузите этот вновь созданный файл .htaccess в каталог, для которого вы хотите отключить эту функцию. Например, если вы хотите отключить просмотр каталога для папки wp-includes, загрузите этот файл .htaccess в папку wp-includes, как это было сделано ранее через диспетчер файлов.

1.6 Блокировка определенных IP-адресов от доступа к сайту

Вы могли заметить, что некоторые пользователи с определенных IP-адресов неоднократно рассылали спам, предпринимали попытки взлома или просто пытались получить несанкционированный доступ к вашему сайту WordPress. Вы можете полностью предотвратить несанкционированный доступ пользователя WordPress, заблокировав его IP-адрес от доступа к вашему сайту с помощью файла .htaccess. Для этого скопируйте приведенный ниже код в свой файл .htaccess.

<Limit GET POST>

order allow,deny

deny from 128.476.75.1

allow from all

</Limit>

IP-адрес, указанный в приведенном выше коде, является просто фиктивным. Вы можете заменить эти значения IP-адресом, который хотите заблокировать. Если вместо одного у вас есть несколько, просто добавьте каждый по отдельности в строку, которая выглядит так:

deny from 213.546.87.9

Если вместо полного IP-адреса вы хотите запретить доступ к блоку IP-адресов, просто опустите последний октет, как показано ниже.

deny from 213.546.87.9

Это заблокирует все IP-адреса от 213.546.87.0 до 213.546.87.255.

1.7 Блокировка определенных доменов от доступа к вашему сайту

Вы не всегда можете знать конкретные IP-адреса, которые рассылают вам спам. Однако вы можете знать, что эти атаки исходят из ссылок, размещенных на определенных вредоносных доменах. .htaccess позволяет заблокировать любого посетителя, зашедшего на ваш сайт по ссылке с таких вредоносных сайтов.

Чтобы заблокировать доменное имя, добавьте следующий код в файл .htaccess.

SetEnvIfNoCase Referer "badsite.com" bad_referer

Order Allow,Deny

Allow from ALL

Deny from env=bad_referer

В приведенном выше коде замените «плохой сайт» доменом, который вы хотите заблокировать. При этом всякий раз, когда пользователь пытается получить доступ к вашему сайту с заблокированного вами домена, он получит сообщение об ошибке и не сможет получить доступ к вашему сайту.

2. Альтернативное решение

Хотя все вышеперечисленные решения эффективны для ограничения доступа к файлам и каталогам в WordPress, нельзя отрицать, что они представляют большой риск для вашего сайта. Почему? Ну, потому что вы возитесь с очень важным файлом конфигурации. Даже неуместная точка может нарушить функциональность вашего сайта! Страшно, правда?

Поэтому, если вы не являетесь экспертом, лучше всего использовать плагин безопасности для веб-сайта WordPress, так как он поможет защитить ваш сайт. Плагины WordPress под названием  Wordfence, All In One WP Security и MalCare могут позаботиться об аспектах безопасности вашего сайта. Будь то занесение определенных IP-адресов в черный список, внедрение мер по усилению защиты веб-сайта, защита вашей страницы входа в систему, сканирование на наличие вредоносных программ или многие другие важные меры безопасности, эти плагины безопасности делает все это!

С этой статьей читают:

Спасибо, что читаешь: SEO HELPER | NICOLA.TOP

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 5 / 5. Количество оценок: 383

Оценок пока нет. Поставьте оценку первым.

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

шестнадцать − четыре =