Как защитить файлы и каталоги WordPress с помощью .htaccess?
· Время на чтение: 10мин · Автор:
·
Опубликовано
· Обновлено
Прослушать эту статью
Файл .htaccess — это файл конфигурации сервера, поддерживаемый многими веб-серверами, включая самое популярное программное обеспечение веб-сервера Apache. Этот, казалось бы, непритязательный файл наполнен всевозможными функциями, которые при правильном использовании могут очень эффективно определять способ обработки запросов вашим веб-сервером. Узнайте, как ограничить доступ к файлам и каталогам WordPress с помощью файла .htaccess.
Помимо определения того, как веб-сервер обрабатывает запросы, также очень полезно защитить ваши файлы WordPress от несанкционированного доступа хакеров. В этой статье я рассмотрю множество способов защитить файлы и каталоги WordPress с помощью .htaccess.
Содержание статьи:
- 1. Как защитить файлы и каталоги WordPress с помощью .htaccess?
- 1.1 Защита файла .htaccess
- 1.2 Ограничить доступ к папке wp-admin с помощью .htaccess
- 1.3 Заблокировать несанкционированный доступ к wp-config.php
- 1.4 Как заблокировать доступ к wp-контенту/загрузкам и отключить выполнение pHp?
- 1.5 Отключите просмотр каталогов в WordPress
- 1.6 Блокировка определенных IP-адресов от доступа к сайту
- 1.7 Блокировка определенных доменов от доступа к вашему сайту
- 2. Альтернативное решение
1. Как защитить файлы и каталоги WordPress с помощью .htaccess?
Давайте рассмотрим некоторые простые методы, которые вы можете использовать для защиты файлов WordPress от посторонних глаз.
Прежде чем я перейду к защите других файлов, давайте начнем с защиты .htaccess. Однако, как я всегда говорю, прежде чем вносить какие-либо изменения (независимо от того, насколько они велики или малы) всегда делайте резервную копию вашего сайта и в этом случае сохраните пару копий вашего файла .htaccess в вашей локальной системе. Это должно предотвратить любой ущерб, который может возникнуть в результате случайного вмешательства в файл.
1.1 Защита файла .htaccess
Файл .htaccess можно легко найти в корневой веб-папке public_html. Есть два способа получить доступ к этому файлу — с помощью FTP , такого как FileZilla, или с помощью файлового менеджера вашей учетной записи хостинга WordPress. В этой статье я использую файловый менеджер для доступа к файлу и покажу вам, как вы можете защитить его.
Шаг 1: Войдите в свою учетную запись веб-хостинга, используя свое имя пользователя и пароль. Если вы не уверены в учетных данных своей учетной записи веб-хостинга, обратитесь за помощью к хостинг провайдеру.
Шаг 2: Нажмите «Файловый менеджер».
Выберите «Файловый менеджер».
Шаг 3: Затем щелкните папку public_html.
Выберите «public_html».
Шаг 4: Внутри вы увидите файл .htaccess. Щелкните его правой кнопкой мыши. И выберите вариант редактирования.
Получив доступ к файлу, поместите в него следующий фрагмент кода.
# Deny access to .htaccess <Files .htaccess> Order allow,deny Deny from all </Files>
Это ограничит доступ пользователей к вашему файлу .htaccess. Просто, не так ли?
Теперь, когда мы защитили файл .htaccess, пришло время перейти к остальным. Итак, давайте начнем с защиты папки wp-admin.
1.2 Ограничить доступ к папке wp-admin с помощью .htaccess
Папка wp-admin содержит файлы, которые вместе обеспечивают работу инструментов администрирования. Файл admin.php в этой папке выполняет следующие функции:
- Позволяет подключиться к базе данных.
- Отображает панель инструментов WordPress.
- Управляйте страницей входа на сайт.
Как видите, каталог wp-admin очень важен, и необходимо позаботиться о его защите от несанкционированного доступа. Это потому, что доступ к панели администратора позволит хакеру создать хаос на вашем сайте. Для этого ограничьте доступ пользователей к папке администратора WordPress с помощью файла .htaccess. Разрешите доступ к определенным IP-адресам по вашему выбору. Для этого вам нужно будет создать отдельный файл .htaccess с определенным кодом (тот, что в синем поле ниже) и загрузить его в папку wp-admin.
Чтобы создать новый файл .htaccess, просто откройте новый файл в текстовом редакторе по умолчанию и назовите его .htaccess. Не .htaccess.txt или .htaccess.doc или любые другие дополнительные расширения файлов. Просто .htaccess. Как только вы это сделаете, вставьте в него следующий код.
# Limit logins and admin by IP <Limit GET POST PUT> order deny,allow deny from all allow from 12.34.56.78 </Limit>
Чтобы загрузить только что созданный файл .htaccess в папку wp-admin, войдите в свою учетную запись веб-хостинга и откройте файловый менеджер, как показано ниже.
Выберите «Файловый менеджер».
После того, как вы нажмете «Диспетчер файлов», вы увидите все файлы и папки на вашем сайте, как показано ниже. Затем щелкните папку public_html.
Выберите «public_html».
Нажмите на папку wp-admin.
Выберите «wp-админ».
Затем нажмите кнопку загрузки, как показано выше.
Выберите «Загрузить».
Выберите .htaccess, который вы только что создали в своей локальной системе, и загрузите его в открывшемся окне.
Загрузите файл.
Как только вы загрузили новый файл .htaccess, все готово! Эти новые меры безопасности будут ограничивать доступ пользователей к вашей панели администратора, кроме тех, которым вы явно дали разрешение.
Обратите внимание, что это ограничит доступ только к wp-admin и не ограничит доступ к сайту WordPress полностью. Зарегистрированные пользователи по-прежнему могут получить доступ к wp-admin, но это также может быть ограничено ролями пользователей. Можно ограничить разрешения для пользователей, чтобы не каждый зарегистрированный пользователь мог получить доступ к папке.
1.3 Заблокировать несанкционированный доступ к wp-config.php
Файл wp-config обрабатывает базовые конфигурации WordPress и содержит конфиденциальную информацию о вашей установке WordPress, такую как настройки MySQL, секретные ключи, сведения о подключении к базе данных WordPress и т. д. от посторонних глаз.
Файл .htaccess может пригодиться для защиты этого очень важного файла, к которому обращается веб-пользователь. Для этого все, что вам нужно сделать, это скопировать приведенный ниже код в ваш файл .htaccess.
Как описано в разделе «Защита файла .htaccess», откройте файл .htaccess из диспетчера файлов и добавьте в него следующий код.
<files wp-config.php> order allow,deny deny from all </files>
Как только вы добавите приведенный выше код, вы заблокируете несанкционированный доступ к wp-config.php.
1.4 Как заблокировать доступ к wp-контенту/загрузкам и отключить выполнение pHp?
Часто хакеры оставляют бэкдор для доступа к файлам на вашем сайте, так что, даже если взлом будет обнаружен и устранен, они смогут легко получить доступ к сайту в будущем. Эти файлы бэкдора часто маскируются под файлы WordPress в каталогах wp-includes или wp-content/uploads/. И это часто файлы .php. Чтобы лучше защитить ваши файлы и папки WordPress, вам необходимо отключить выполнение таких файлов. Это может помочь с ограничением доступа WordPress, и это можно сделать, отключив выполнение PHP в этих каталогах.
Отключение выполнения PHP с помощью .htaccess — очень простой процесс, если вы будете следовать этим простым инструкциям в файле.
Прежде всего, создайте новый файл .htaccess в текстовом редакторе и добавьте в него следующий код.
<Files *.php> deny from all </Files>
В качестве следующего шага войдите в свою учетную запись веб-хостинга и откройте диспетчер файлов. Здесь вы получаете доступ к содержимому и папке загрузки. Найдите папку wp-content/upload/.
Выберите «загрузки» из «wp-content».
Нажмите кнопку «Загрузить» и загрузите только что созданный файл .htaccess.
Выберите «Загрузить».
При нажатии кнопки «Загрузить» откроется новое окно, в котором вы сможете выбрать файл .htaccess из вашей локальной системы.
Загрузить файл.
После того как вы загрузили файл .htaccess в папку wp-content/upload/, вы должны добавить его в папку wp-includes.
Аналогично добавлению в папку wp-content/upload/, откройте файловый менеджер, чтобы получить доступ к папке wp-includes из домашнего каталога вашего сайта.
Выберите «wp-includes».
Щелкните папку wp-includes, а затем нажмите кнопку загрузки.
Выберите «Загрузить».
После того, как вы нажмете кнопку загрузки, вы сможете выбрать файл из вашей локальной системы. Выберите только что созданный файл .htaccess и загрузите его.
Загрузите ваш файл.
После того, как вы добавили .htaccess в обе эти очень важные папки, вы успешно отключили любое выполнение PHP в этих папках.
1.5 Отключите просмотр каталогов в WordPress с помощью htaccess
Просмотр каталогов — это функция, при которой вы видите список файлов и папок вместо веб-страницы, когда пытаетесь получить доступ к веб-сайту. Например, у вас есть каталог с именем private (в качестве примера) на вашем веб-сайте, скажем, www.example.com. Если просмотр каталога не был отключен в этом конкретном каталоге, то если кто-то введет www.example.com/private/, он увидит все файлы и папки в частном каталоге.
Это может иметь катастрофические последствия для вашего сайта, потому что хакер может получить огромное количество информации. Кто может затем приступить к планированию атаки на ваш сайт, вооруженный знаниями о файловой иерархии вашего сайта? Отключив просмотр каталогов в WordPress с помощью htaccess, вы ограничите уровень доступа к своему сайту.
Чтобы отключить просмотр каталога для определенного каталога, создайте файл .htaccess в текстовом редакторе и сохраните его как .htaccess (без каких-либо дополнительных расширений файлов). Затем добавьте в него следующий код и ограничьте доступ к вашим файлам WordPress.
# disable directory browsing Options All -Indexes
После добавления кода загрузите этот вновь созданный файл .htaccess в каталог, для которого вы хотите отключить эту функцию. Например, если вы хотите отключить просмотр каталога для папки wp-includes, загрузите этот файл .htaccess в папку wp-includes, как это было сделано ранее через диспетчер файлов.
1.6 Блокировка определенных IP-адресов от доступа к сайту
Вы могли заметить, что некоторые пользователи с определенных IP-адресов неоднократно рассылали спам, предпринимали попытки взлома или просто пытались получить несанкционированный доступ к вашему сайту WordPress. Вы можете полностью предотвратить несанкционированный доступ пользователя WordPress, заблокировав его IP-адрес от доступа к вашему сайту с помощью файла .htaccess. Для этого скопируйте приведенный ниже код в свой файл .htaccess.
<Limit GET POST> order allow,deny deny from 128.476.75.1 allow from all </Limit>
IP-адрес, указанный в приведенном выше коде, является просто фиктивным. Вы можете заменить эти значения IP-адресом, который хотите заблокировать. Если вместо одного у вас есть несколько, просто добавьте каждый по отдельности в строку, которая выглядит так:
deny from 213.546.87.9
Если вместо полного IP-адреса вы хотите запретить доступ к блоку IP-адресов, просто опустите последний октет, как показано ниже.
deny from 213.546.87.9
Это заблокирует все IP-адреса от 213.546.87.0 до 213.546.87.255.
1.7 Блокировка определенных доменов от доступа к вашему сайту
Вы не всегда можете знать конкретные IP-адреса, которые рассылают вам спам. Однако вы можете знать, что эти атаки исходят из ссылок, размещенных на определенных вредоносных доменах. .htaccess позволяет заблокировать любого посетителя, зашедшего на ваш сайт по ссылке с таких вредоносных сайтов.
Чтобы заблокировать доменное имя, добавьте следующий код в файл .htaccess.
SetEnvIfNoCase Referer "badsite.com" bad_referer Order Allow,Deny Allow from ALL Deny from env=bad_referer
В приведенном выше коде замените «плохой сайт» доменом, который вы хотите заблокировать. При этом всякий раз, когда пользователь пытается получить доступ к вашему сайту с заблокированного вами домена, он получит сообщение об ошибке и не сможет получить доступ к вашему сайту.
2. Альтернативное решение
Хотя все вышеперечисленные решения эффективны для ограничения доступа к файлам и каталогам в WordPress, нельзя отрицать, что они представляют большой риск для вашего сайта. Почему? Ну, потому что вы возитесь с очень важным файлом конфигурации. Даже неуместная точка может нарушить функциональность вашего сайта! Страшно, правда?
Поэтому, если вы не являетесь экспертом, лучше всего использовать плагин безопасности для веб-сайта WordPress, так как он поможет защитить ваш сайт. Плагины WordPress под названием Wordfence, All In One WP Security и MalCare могут позаботиться об аспектах безопасности вашего сайта. Будь то занесение определенных IP-адресов в черный список, внедрение мер по усилению защиты веб-сайта, защита вашей страницы входа в систему, сканирование на наличие вредоносных программ или многие другие важные меры безопасности, эти плагины безопасности делает все это!
С этой статьей читают:
- Как уменьшить количество спама в контактной форме в WordPress
- XSS-атаки на WordPress: как их предотвратить
Спасибо, что читаешь: SEO HELPER | NICOLA.TOP
