Como proteger arquivos e diretórios do WordPress com .htaccess?

imprimir · Время на чтение: 10mínimo · por · Publicados · Atualizada

jogarOuça este artigo

Protegendo arquivos e diretórios no WordPress com htaccessO arquivo .htaccess é um arquivo de configuração do servidorsuportado por muitos servidores web, incluindo o mais popular software de servidor web Apache. Este arquivo aparentemente despretensioso é preenchido com todos os tipos de funções que, quando usadas corretamente, podem determinar com muita eficiência como seu servidor web lida com solicitações. Saiba como restringir o acesso a arquivos e diretórios do WordPress com um arquivo .htaccess.

Além de determinar como o servidor web processa as solicitações, também é muito útil proteger seus arquivos do WordPress contra acesso não autorizado de hackers. Neste artigo, examinarei várias maneiras de proteger arquivos e diretórios do WordPress com .htaccess.

O conteúdo do artigo:

1. Como proteger arquivos e diretórios do WordPress com .htaccess?

Vamos dar uma olhada em alguns métodos simples que você pode usar para manter seus arquivos do WordPress protegidos de olhares indiscretos.

Antes de passar para a proteção de outros arquivos, vamos começar protegendo .htaccess. No entanto, como eu sempre digo, antes de fazer qualquer alteração (não importa quão grande ou pequena), sempre faça uma cópia de backup do seu site e, neste caso, mantenha algumas cópias do arquivo .htaccess em seu sistema local. Isso deve evitar qualquer dano que possa resultar de adulteração acidental do arquivo.

1.1 Protegendo o arquivo .htaccess

O arquivo .htaccess pode ser facilmente encontrado na pasta raiz da web public_html. Existem duas maneiras de acessar este arquivo - usando FTP como o FileZilla ou usando o gerenciador de arquivos da sua conta de hospedagem WordPress. Neste artigo, uso um gerenciador de arquivos para acessar um arquivo e mostrar como você pode protegê-lo.

Passo 1: Faça login na sua conta de hospedagem na web usando seu nome de usuário e senha. Se você não tiver certeza das credenciais da sua conta de hospedagem na web, entre em contato com seu provedor de hospedagem para obter assistência.
Passo 2: Clique em "Gerenciador de arquivos".

abra o gerenciador de arquivos

Selecione Gerenciador de arquivos.

etapa 3: Em seguida, clique na pasta public_html.

abra a pasta html pública

Selecione "public_html".

Passo 4: Dentro você verá um arquivo .htaccess. Clique com o botão direito. E escolha uma opção editando.

Depois de ter acesso ao arquivo, coloque o seguinte trecho de código nele.

# Negar acesso a .htaccess Ordem permitir, negar negar de todos

Isso restringirá o acesso do usuário ao seu arquivo .htaccess. Simples, certo?
Agora que protegemos o arquivo .htaccess, é hora de passar para o resto. Então, vamos começar protegendo a pasta wp-admin.

1.2 Restrinja o acesso à pasta wp-admin com .htaccess

A pasta wp-admin contém os arquivos que juntos fazem as ferramentas de administração funcionarem. O arquivo admin.php nesta pasta executa as seguintes funções:

  • Permite que você se conecte ao banco de dados.
  • Exibe a barra de ferramentas do WordPress.
  • Gerenciar a página de login do site.

Como você pode ver, o diretório wp-admin é muito importante e deve-se tomar cuidado para protegê-lo contra acesso não autorizado. Isso ocorre porque o acesso ao painel de administração permitirá que um hacker cause estragos em seu site. Para fazer isso, restrinja o acesso dos usuários à pasta admin do WordPress usando o arquivo .htaccess. Permita o acesso a endereços IP específicos de sua escolha. Para fazer isso, você precisará criar um arquivo .htaccess separado com algum código (o da caixa azul abaixo) e carregue-o na pasta wp-admin.

Para criar um novo arquivo .htaccess, simplesmente abra o novo arquivo em seu editor de texto padrão e nomeie-o como .htaccess. Não .htaccess.txt ou .htaccess.doc ou qualquer outra extensão de arquivo adicional. Apenas .htaccess. Depois de fazer isso, cole o seguinte código nele.

# Limitar logins e admin por IP ordem negar, permitir negar de todos permitir de 34.12.56.78

Para carregar o arquivo .htaccess recém-criado para a pasta wp-admin, faça login em sua conta de hospedagem na web e abra o gerenciador de arquivos conforme mostrado abaixo.

abra o gerenciador de arquivos

Selecione Gerenciador de arquivos.

Depois de clicar em Gerenciador de arquivos, você verá todos os arquivos e pastas em seu site, conforme mostrado abaixo. Em seguida, clique na pasta public_html.

abra a pasta html pública

Selecione "public_html".

Clique na pasta wp-admin.

pasta wp admin no gerenciador de arquivos

Selecione "wp-admin".

Em seguida, clique no botão de download, conforme mostrado acima.

botão de download no gerenciador de arquivos

Selecione Baixar.

Selecione o .htaccess que você acabou de criar em seu sistema local e carregue-o na janela que se abre.

carregue seu arquivo .htaccess

Baixe o arquivo.

Depois de carregar seu novo arquivo .htaccess, está pronto! Essas novas medidas de segurança restringirão o acesso de usuários ao seu painel de administração, exceto aqueles aos quais você deu permissão explicitamente.

Observe que isso apenas restringirá o acesso ao wp-admin e não restringirá completamente o acesso ao site WordPress. Os usuários registrados ainda podem acessar o wp-admin, mas isso também pode ser limitado pelas funções do usuário. Você pode restringir as permissões dos usuários para que nem todos os usuários registrados possam acessar a pasta.

1.3 Bloquear acesso não autorizado a wp-config.php

O arquivo wp-config lida com as configurações básicas do WordPress e mantém informações confidenciais sobre a instalação do WordPress, como configurações do MySQL, chaves secretas, detalhes da conexão do banco de dados do WordPress, etc., de olhares indiscretos.

O arquivo .htaccess pode ser útil para proteger este arquivo tão importante acessado por um usuário da web. Para fazer isso, basta copiar o código abaixo em seu arquivo .htaccess.

Conforme descrito na seção Protegendo o arquivo .htaccess, abra o arquivo .htaccess no gerenciador de arquivos e adicione o seguinte código a ele.

ordem permitir, negar negar de todos

Depois de adicionar o código acima, você bloqueará o acesso não autorizado ao wp-config.php.

1.4 Como bloquear o acesso ao conteúdo/downloads do wp e desabilitar a execução do pHp?

Freqüentemente, os hackers deixam uma porta dos fundos para acessar os arquivos em seu site, de modo que, mesmo que o hack seja descoberto e corrigido, eles possam acessar facilmente o site no futuro. Esses arquivos backdoor geralmente são disfarçados como arquivos WordPress nos diretórios wp-includes ou wp-content/uploads/. E geralmente são arquivos .php. Para proteger melhor seus arquivos e pastas do WordPress, você precisa desabilitar a execução desses arquivos. Isso pode ajudar a restringir o acesso ao WordPress, e isso pode ser feito desativando a execução do PHP nesses diretórios.

Desativar a execução do PHP com .htaccess é um processo muito simples se você seguir estas instruções simples no arquivo.

Em primeiro lugar, crie um novo arquivo .htaccess em um editor de texto e adicione o seguinte código a ele.

negar de todos

Como próximo passo, faça login em sua conta de hospedagem na web e abra gerenciador de arquivos. É aqui que você acessa a pasta de conteúdo e download. Encontre uma pasta wp-content/upload/.

pasta de download de conteúdo wp

Selecione "Transferências" de "wp-content".

Clique no botãoDownload' e carregue o arquivo .htaccess que você acabou de criar.

botão de download na imagem do gerenciador de arquivos 2

Selecione Baixar.

Ao pressionar o botão "Download» Uma nova janela será aberta onde você pode selecionar um arquivo .htaccess de seu sistema local.

carregue seu .htaccess - imagem 2

Subir arquivo.

Depois de carregar o arquivo .htaccess para a pasta wp-content/upload/, você deve adicioná-lo à pasta wp-includes.

O mesmo que adicionar à pasta wp-content/upload/, abra o gerenciador de arquivos para acessar a pasta wp-includes do diretório inicial do seu site.

acesse a pasta wp include no gerenciador de arquivos

Selecione "wp-includes".

Clique em uma pasta wp-includese, em seguida, clique no botão de download.

botão de download no gerenciador de arquivos - imagem 3

Selecione Baixar.

Depois de clicar no botão de download, você poderá selecionar um arquivo do seu sistema local. Selecione o arquivo .htaccess que você acabou de criar e faça o upload.

carregue seu .htaccess - imagem 3

Baixe seu arquivo.

Depois de adicionar .htaccess a essas duas pastas muito importantes, você desabilitou com sucesso qualquer execução do PHP nessas pastas.

1.5 Desative a navegação no diretório no WordPress com htaccess

A navegação no diretório é um recurso em que você vê uma lista de arquivos e pastas em vez de uma página da Web ao tentar acessar um site. Por exemplo, você tem um diretório chamado privado (como exemplo) em seu site, digamos www.example.com. Se a navegação no diretório não tiver sido desativada nesse diretório específico, se alguém digitar www.example.com/private/, ele verá todos os arquivos e pastas em diretório privado.

Isso pode ser desastroso para o seu site porque um hacker pode obter uma grande quantidade de informações. Quem pode planejar um ataque ao seu site, munido do conhecimento da hierarquia de arquivos do seu site? Ao desativar a navegação no diretório no WordPress com htaccess, você limitará o nível de acesso ao seu site.

Para desabilitar a navegação em um diretório específico, crie um arquivo .htaccess em um editor de texto e salve-o como .htaccess (sem nenhuma extensão de arquivo adicional). Em seguida, adicione o seguinte código a ele e restrinja o acesso aos seus arquivos do WordPress.

# desativa a navegação no diretório Options All -Indexes

Depois de adicionar o código, carregue o arquivo .htaccess recém-criado no diretório para o qual deseja desabilitar esse recurso. Por exemplo, se você deseja desabilitar a navegação no diretório para a pasta wp-includes, carregue este arquivo .htaccess para a pasta wp-includes como fez anteriormente através do gerenciador de arquivos.

1.6 Bloquear determinados endereços IP de acessar o site

Você deve ter notado que alguns usuários de determinados endereços IP repetidamente enviaram spam, tentaram hackear ou simplesmente tentaram obter acesso não autorizado ao seu site WordPress. Você pode impedir completamente o acesso não autorizado de um usuário do WordPress bloqueando seu endereço IP de acessar seu site usando o arquivo .htaccess. Para fazer isso, copie o código abaixo em seu arquivo .htaccess.

ordem permitir, negar negar de 128.476.75.1 permitir de todos

O endereço IP fornecido no código acima é apenas uma simulação. Você pode substituir esses valores pelo endereço IP que deseja bloquear. Se você tiver vários em vez de um, basta adicionar cada um individualmente a uma linha semelhante a esta:

negar de 213.546.87.9

Se, em vez do endereço IP completo, você quiser negar o acesso a um bloco de endereços IP, basta omitir o último octeto conforme mostrado abaixo.

negar de 213.546.87.9

Isso bloqueará todos os endereços IP de 213.546.87.0 a 213.546.87.255.

1.7 Bloquear o acesso de determinados domínios ao seu site

Você pode nem sempre saber os endereços IP específicos que estão enviando spam para você. No entanto, você deve estar ciente de que esses ataques vêm de links hospedados em determinados domínios maliciosos. O .htaccess permite que você bloqueie qualquer visitante que acesse seu site por meio de um link desses sites maliciosos.

Para bloquear um nome de domínio, adicione o seguinte código ao seu arquivo .htaccess.

SetEnvIfNoCase Referer "badsite.com" bad_referer Ordenar Permitir, Negar Permitir de TODOS Negar de env=bad_referer

No código acima, substitua "site ruim" pelo domínio que deseja bloquear. No entanto, sempre que um usuário tentar acessar seu site a partir de um domínio que você bloqueou, ele receberá uma mensagem de erro e não poderá acessar seu site.

2. Solução alternativa

Embora todas as soluções acima sejam eficazes para restringir o acesso a arquivos e diretórios no WordPress, não se pode negar que elas representam um grande risco para o seu site. Por que? Bem, porque você está mexendo com um arquivo de configuração muito importante. Mesmo um ponto inadequado pode interromper a funcionalidade do seu site! Assustador, certo?

Portanto, se você não for um especialista, é melhor usar um plug-in de segurança do site WordPress, pois ajudará a proteger seu site. Plugins do WordPress chamados Wordfence, All In One WP Security e MalCare podem cuidar dos aspectos de segurança do seu site. Seja lista negra de endereços IP específicos, implementação de medidas de proteção de sites, proteção de sua página de login, verificação de malware ou muitas outras medidas de segurança essenciais, esses plug-ins de segurança fazem tudo!

Lendo este artigo:

Obrigado por ler: AJUDANTE DE SEO | NICOLA.TOP

Quão útil foi este post?

Clique em uma estrela para avaliá-la!

Classificação média 5 / 5. contagem de votos: 383

Nenhum voto até agora! Seja o primeiro a avaliar este post.

Você pode gostar...

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

quinze − 6 =