Вернуться назад

Защита с помощью .htaccess WP и не только

Настройка файла .htaccess

 

Наряду с использованием плагинов, есть ряд способов защиты, которые вы можете применить с помощью файла .htaccess, в сочетании с плагинами и регулярными обновлениями — это повысит уровень безопасности вашего сайта и даст вам дополнительный уровень защиты.

Я расскажу о некоторых способах защиты, и покажу вам, как и где можно добавить фрагменты кода, которые помогут вам обезопасить ваш сайт.

Типичный .htaccess файл в WordPress выглядит примерно так:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Я бы советовал любые изменения в файл .htaccess добавлять после #END WordPress.

Это позволит вам не сломать какой-либо базовый функционал в WordPress. До внесения изменений в файл .htaccess я настоятельно рекомендую сделать резервное копирование данных и сохранить их в безопасном месте!

Защита WP-config.php

WP-config.php — это файл в корневом каталоге, который хранит информацию о вашем сайте, а также о базе данных.

Чтобы предотвратить доступ к wp-config.php добавьте следующие строки в ваш файл .htaccess:

 <Files wp-config.php>
order allow,deny
deny from all
</Files>

Доступ в админку только с вашего IP

Вы можете ограничить доступ в админку по IP-адресу, для этого вам нужно будет создать новый файл .htaccess в обычном текстовом редакторе и загрузить его в свою папку wp-admin.

Cледующий код запрещает доступ в админку для всех IP-адресов, за исключением вашего IP-адреса, но имейте в виду, если у вас динамический IP, вам, возможно, придется регулярно изменять этот файл, в противном случае вам также будет отказано в доступе!

 order deny,allow
allow from 202.090.21.1 (замените это (202.090.21.1) на ваш IP адрес)
deny from all

Баним подозрительных пользователей

Если вы обнаружили в логах, что кто-то пытается взломать ваш сайт или посылает очень много запросов к вашему сайту, то вы можете запретить ему доступ к сайту с помощью этого простого кода в .htaccess:

 <Limit GET POST>
order allow,deny
deny from 202.090.21.1
allow from all
</Limit>

Этот пользователь или бот теперь не сможет получить доступ к сайту пока не сменит IP адрес. Но вы можете добавить сколько угодно запрещенных IP адресов, например:

 <Limit GET POST>
order allow,deny
deny from 202.090.21.1
deny from 204.090.21.2
allow from all
</Limit>

Запрет на просмотр списка файлов в каталоге

Так как WordPress в настоящее время очень популярен, многие знают структуру WordPress и знают, где искать, чтобы выяснить какие плагины можно использовать или какие-либо другие файлы, которые могут дать много информации о Вашем сайте, один из способов борьбы с этим является запрет на просмотр каталогов.

 Options All -Indexes

Запрет на доступ к wp-content

Папка wp-content содержит изображения, темы и плагины, это очень важная папка WordPress, так что имеет смысл предотвратить несанкционированный доступ к ней.

Это потребует создания отдельного файла .htaccess, который должен находиться в папке wp-content, что позволит пользователям просматривать изображения, CSS-файлы и т.д., но защищает важные PHP-файлы:

 Order deny,allow
Deny from all
<Files ~ «.(xml|css|jpe?g|png|gif|js)$»>
Allow from all
</Files>

Индивидуальная защита файлов

Есть определенные файлы, которые вы можете защитить отдельно, а не блокировать всю папку. Например данный код показывает как вы можете предотвратить доступ к файлу .htaccess. Имя файла может быть изменено на любой файл, который вы хотите защитить:

 # Protect the .htaccess
<files .htaccess=»»>
order allow,deny
deny from all
</files>

Защита .htaccess

Звучит безумно, да? Мы тратим так много времени, беспокоясь, все ли последние обновления безопасности установлены, но мы упускаем из виду тот факт, что файл .htaccess остается открытым для атак.

Этот код запрещает просмотр любого файла на вашем сайте, который начинается с «.hta», это защитит его и сделает немного более безопасным.

 <Files ~ «^.*\.([Hh][Tt][Aa])»>
order allow,deny
deny from all
satisfy all
</Files>

Источник: Как защитить WordPress-сайт с помощью .htaccesshttp://www.webmasters.by/articles/wordpress/1757-protect-your-wordpress-site-htaccess.html#ixzz3OAKOia5N

---