Need help? Chat now!

Hostwinds 博客

寻找结果为:


这些.htaccess提示加强WordPress安全性 特色图片

这些.htaccess提示加强WordPress安全性

通过: Hostwinds Team  /  三行 24, 2017


有一个文件可以为您提供WordPress网站功能的令人难以置信的力量以及您的.htaccess文件的安全。了解可用于使用的不同命令以及如何使用它们可以帮助您从增加WordPress安全性,设置基本重定向,限制文件或密码保护特定内容的所有命令。本指南将向您展示可能性和.htaccess提示和技巧让您入门。

使用这些简单的.htaccess调整来阻止黑客并提高您的WordPress安全性. 点击鸣叫.

注意:始终保持备份最新。

什么是.htaccess?

.htaccess代表超文本访问。对于WordPress站点,您选择更改永久链接的设置时会自动创建。但它通常隐藏,这意味着您在查看网站的文件时不会自动看到它。您可以在CPANEL的文件管理器中更改此功能。

只需单击右上角的"设置"按钮,然后在提出的框中,将复选标记显示为显示隐藏文件(Dotfiles),然后保存。

如何创建.htaccess文件?

在某些情况下,您尚未缺少.htaccess文件。如果是这种情况,请使用记事本或您喜欢的文本编辑器创建一个。请创建一个新文件并将其命名为htaccess.text

假设您的网站正在WordPress上运行(标准安装,而不是多路或任何东西),最好立即添加此文件中的内容。将以下内容放在文件中并保存:

`

开始WordPress

``重写重写件/ rewriterule ^ index \ .php $ - [l] rewritecond%{request_filename}!-f rewritecond%{request_filename}!-d rewriterule。 /index.php [l]#结束wordpress`

现在将此文件上传到您的网站的根目录,然后将其重命名为.htaccess(有时您可以将其命名为首先,但许多次您的服务器不会让您执行此操作...所以这是一个解决方法)。

接下来,您需要确保该文件具有正确的权限。将此.htaccess文件的权限设置为644.在文件管理器中,您右键单击它以执行此操作并开始使用这些.htaccess提示。

关于编辑.htaccess文件的警告词

在您进一步进一步之前,您应该知道此文件中的一个微小错误可以急剧结束。它甚至可以完全打破你的网站。我们正在谈论一个像一个语法错误一样小的东西。请不要让这让您不要学习如何调整此文件。只需确保您有备份即可滚动,应该出错(您的网站和您当前的.htaccess文件)。就那么简单。

现在,我们可以开始调整此文件,以为您的WordPress网站添加功能和安全性。 您添加的任何内容都应在我们上面添加的代码之前或之后。

注意:数字符号#在线的开头使用来发表评论。该行上的任何内容都不被视为代码,仅作为提醒,以保持所有组织和清洁。

注意:一次进行一次更改,并在每个变化之间刷新您的站点,以确保没有任何突破。 这样,如果出现问题,你知道需要修复哪一行代码。

如何打开和使用这些.htaccess提示

首先,进入cPanel>文件管理器> public_html

如果您有多个网站,那么您还需要双击要使用的网站的文件夹。

找到.htaccess文件并右键单击它,然后单击"编辑"。

注意:您可以获得关于编码的弹出框,只需忽略它并单击"编辑"按钮

保护您的.htaccess文件免受黑客攻击

您应该做的第一件事是保护您的.htaccess文件,而在我们的同时,请为WP-config.php,php.ini(或php5.ini)和错误日志添加保护。只需将此代码添加到.htaccess文件:

<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all

注意:请检查您是否具有php.ini或php5.ini,并在上面的代码中使用适当的文件名。

禁用文件夹浏览

现在让我们禁用文件夹浏览。任何人都可以在地址栏中键入您的域名和目录,并在那里查看所有内容。使用WordPress,这很容易做,因为所有WordPress站点都具有相同的默认结构。这就像隐藏着你最喜欢的糖果,然后把一个标志放在冰箱上,告诉他们它的位置。因此,让我们阻止任何潜在的黑客能够访问您网站上所有内容的直接布局:

# disable directory browsing

选项全部-索引

阻止用户名枚举

用户名枚举是当Hacker获取您网站上的作者用户名时。但是,这可能听起来不像是一个大问题。这是安全的不使用的.htaccess提示。如果他们知道与帐户关联的用户名,那么这只是一个更轻微的障碍,因为他们也很容易这样做。

它们所要做的就是在地址栏中域的末尾放置/?作者= 1。然后,它们被带到了该用户的作者页面,显示了作者的用户名。

不要添加以下代码:

RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]

黑客可以轻松找到您的WordPress用户名-使用这两行代码将其阻止在他们的跟踪中! 点击鸣叫

阻止访问WP-Computile目录中的重要文件您的WP-inseral目录通常会成为一个目标,因为这里有一个非常重要的文件需要运行任何WordPress Iste。让我们阻止将是黑客访问它的以下代码:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]

限制对重要PHP文件的访问

您可以添加以下代码以防止直接访问主题和插件中编辑PHP文件,使得WOME-BE HACKERS更加难以向其中添加恶意代码:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]

防止脚本注入

接下来,让我们阻止它们能够通过添加以下代码来停止插入通常通过_Request和Globals完成的脚本注入:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

通过将所有这些添加到您的.htaccess文件中,您将您提出许多障碍黑客将必须克服您的网站。但是使用这些.htaccess提示调整您的网站只是增加WordPress网站安全的许多方法之一。您可以调整为您的WP-Config文件,或者可以添加安全插件。如果你想继续前进,这里是 您可以做的20件事 以增加WordPress的安全性。

你做了什么来保护你的WordPress网站?是否有其他.htaccess提示您在此列出的情况下未列出?

当然,如果您发现此帮助,请分享!

撰写者 Hostwinds Team  /  三行 24, 2017