Laman » WordPress » 15 Potongan .htaccess yang berguna untuk Laman WordPress Anda

    15 Potongan .htaccess yang berguna untuk Laman WordPress Anda

    Mempunyai a fail .htaccess yang dikonfigurasikan dengan baik adalah penting jika anda mahu meningkatkan keselamatan dan mengurangkan kelemahan di laman WordPress anda. Biasanya matlamat utama mewujudkan a fail .htaccess tersuai adalah untuk menghalang laman web anda daripada digodam tetapi ia juga cara yang sangat baik untuk mengendalikan pelencongan dan menguruskan tugas yang berkaitan dengan cache.

    .htaccess adalah a fail konfigurasi digunakan pada pelayan web Apache. Kebanyakan laman WordPress berjalan di pelayan Apache, walaupun sebahagian kecil adalah dikuasakan oleh Nginx. Dalam artikel ini, anda boleh mencari koleksi coretan kod htaccess, kebanyakannya anda boleh gunakan untuk menjamin laman web anda sementara yang lain melaksanakan ciri-ciri lain yang berguna.

    Jangan lupa back up file .htaccess sebelum anda mengeditnya supaya anda sentiasa boleh kembali ke versi terdahulu jika ada masalah.

    Dan, jika anda seorang yang tidak menyentuh fail konfigurasi saya cadangkan anda Keselamatan BulletProof plugin yang paling boleh dipercayai (dan mungkin yang paling lama) plugin keselamatan .htaccess percuma di pasaran.

    Buat lalai WP .htaccess

    .htaccess berfungsi pada a setiap direktori yang bermaksud bahawa setiap direktori boleh mempunyai fail .htaccess sendiri. Ia dapat dengan mudah berlaku bahawa laman WordPress anda tidak mempunyai fail .htaccess lagi. Jika anda tidak menemui fail .htaccess dalam direktori root anda buat fail teks kosong dan namakannya .htaccess.

    Di bawah, anda boleh mencari lalai .htaccess Menggunakan WordPress. Setiap kali anda memerlukan kod ini, anda boleh dengan cepat melihatnya di WordPress Codex. Perhatikan bahawa terdapat .htaccess yang berbeza untuk WP Multisite.

     # BEGIN WordPress  RewriteEngine Pada RewriteBase / RewriteRule ^ index \ .php $ - [L] RewriteCond% REQUEST_FILENAME! -F RewriteCond% REQUEST_FILENAME! -D RewriteRule. /index.php [L]  # END WordPress 

    Garis yang bermula dengan # adalah komen. Jangan edit apa-apa antara baris # BEGIN WordPress dan # END WordPress. Tambah peraturan htaccess tersuai anda di bawah peraturan lalai ini.

    Semua coretan kod yang anda dapati dalam artikel ini pergi ke fail .htaccess teras dijumpai dalam direktori root anda.

    1. Tolak akses kepada semua fail .htaccess

    Kod di bawah menafikan akses untuk semua fail .htaccess yang telah anda pasang di WordPress anda. Dengan cara ini, anda boleh menghalang orang daripada melihat anda konfigurasi pelayan web.

     # Menolak akses kepada semua fail .htaccess  Perintah Benarkan, Menolak Deny dari semua Memuaskan semua  

    2. Lindungi konfigurasi WP anda

    The wp-config.php fail mengandungi semua konfigurasi WP anda, termasuk log masuk pangkalan data dan kata laluan anda. Anda boleh menafikannya dari semua orang atau memberi kebenaran kepada pentadbir untuk mengaksesnya.

    Jika anda memilih yang terakhir komen keluar yang # Benarkan dari xx.xx.xx.xxx baris (alih keluar # dari permulaan garisan) dan masukkan alamat IP pentadbir sebagai ganti xx.xx.xx.xxx.

     # Melindungi wp-config  Perintah Benarkan, Deny # Benarkan dari xx.xx.xx.xxx # Benarkan dari yy.yy.yy.yyy Deny dari semua  

    3. Mencegah serangan XML-RPC DDoS

    WordPress menyokong XML-RPC secara lalai, iaitu antara muka yang membuat penerbitan jauh mungkin. Bagaimanapun, walaupun ia merupakan ciri yang hebat, ia juga salah satu kelemahan keselamatan terbesar WP sebagai penggodam mengeksploitinya untuk serangan DDoS.

    Sekiranya anda tidak mahu menggunakan ciri ini, lebih baik lagi lumpuhkannya. Seperti dahulu, anda boleh tambah pengecualian dengan memberi komen yang # Benarkan dari xx.xx.xx.xxx talian dan menambah IP dari admin anda (s).

     # Melindungi XML-RPC, menghalang serangan DDoS  Perintah Menolak, Benarkan # Benarkan dari xx.xx.xx.xxx # Benarkan dari yy.yy.yy.yyy Menolak dari semua  

    4. Lindungi kawasan admin anda

    Ia juga merupakan idea yang baik melindungi kawasan admin dengan memberi akses kepada pentadbir sahaja. Di sini, jangan lupa tambah sekurang-kurangnya satu “Benarkan” pengecualian jika tidak, anda tidak dapat mengakses pentadbir anda sama sekali.

     # Melindungi kawasan admin oleh IP AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Kawalan Akses Admin WordPress" AuthType Basic  Perintah Menolak, Benarkan Deny dari semua Benarkan dari xx.xx.xx.xxx Benarkan dari yy.yy.yy.yyy  

    5. Mencegah penyenaraian direktori

    Kebanyakan laman web WordPress tidak melumpuhkan penyenaraian direktori, yang bermaksud sesiapa sahaja boleh melayari folder dan fail mereka, termasuk muat naik media dan fail plugin. Tidak perlu dikatakan bahawa ini adalah kelemahan keselamatan yang besar.

    Di bawah, anda boleh melihat bagaimana a senarai direktori biasa Wordpress kelihatan seperti.

    Nasib baik, anda hanya perlu satu baris kod untuk menyekat ciri ini. Coretan kod ini akan mengembalikan mesej ralat 403 kepada sesiapa sahaja yang ingin mengakses direktori anda.

     # Menghalang senarai direktori Pilihan -Index 

    6. Mencegah penghitungan nama pengguna

    Jika permalink WP diaktifkan, ia agak mudah menghitung nama pengguna menggunakan arkib pengarang. Nama pengguna yang diturunkan (termasuk nama pengguna admin) kemudian boleh digunakan serangan kekerasan.

    Masukkan kod di bawah ke dalam fail .htaccess anda mengelakkan penghitungan nama pengguna.

     # Mencegah penghitungan nama pengguna RewriteCond% QUERY_STRING pengarang = d RewriteRule ^ /? [L, R = 301] 

    7. Sekat spam dan bot

    Kadang-kadang anda mungkin mahu menyekat akses daripada alamat IP tertentu. Coretan kod ini memberikan cara mudah untuk menghalang spammer dan bot yang sudah anda ketahui.

     # Blok spammer dan bot  Perintah Benarkan, Menolak Deny dari xx.xx.xx.xxx Tolak dari yy.yy.yy.yyy  Izinkan dari semua 

    8. Mencegah pautan panas gambar

    Walaupun bukan ancaman keselamatan, hotlink imej masih merupakan perkara yang menjengkelkan. Orang bukan sahaja gunakan imej anda tanpa kebenaran anda tetapi mereka juga melakukannya dengan kos anda. Dengan beberapa baris kod ini, anda boleh melindungi laman web anda dari hotlinking imej.

     # Mencegah RewriteEngine imej hotlinking pada RewriteCond% HTTP_REFERER! ^ $ RewriteCond% HTTP_REFERER! ^ Http (s)?: // (www \.)? Yourwebsite.com [NC] RewriteCond% HTTP_REFERER s) ?: // (www \.)? yourwebsite2.com [NC] RewriteRule \. (jpe? g? | png | gif | ico | pdf | flv | swf | 

    9. Batasi akses terus ke fail PHP plugin & tema

    Ia boleh berbahaya jika seseorang terus memanggil fail plugin dan tema anda, sama ada ia berlaku secara tidak sengaja atau oleh penyerang yang berniat jahat. Coretan kod ini berasal dari syarikat keselamatan laman web Acunetix; anda boleh membaca lebih lanjut tentang kelemahan ini dalam catatan blog mereka.

     # Mengehadkan akses ke fail PHP dari plugin dan direktori tema RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / file / to / exclude \ .php RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / directory / to / exclude / RewriteRule wp-content / plugins / (. * \. php) $ - [R = 404, L] RewriteCond% REQUEST_URI! ^ / wp-content / themes / file / to / exclude \ .php RewriteCond% REQUEST_URI! / Wp-content / themes / directory / to / exclude / RewriteRule wp-content / themes / (. * \. Php) $ - [R = 404, L] 

    10. Sediakan pengalihan kekal

    Anda boleh dengan mudah menguruskan pelencongan kekal dengan .htaccess. Pertama anda perlu menambah URL lama, kemudian ikuti URL baru yang menunjuk pada halaman yang anda mahu alihkan pengguna ke.

     # Pengalihan kekal Redirect 301 / oldurl1 / http://yoursite.com/newurl1 Redirect 301 / oldurl2 / http://yoursite.com/newurl2 

    11. Hantar pengunjung ke laman penyelenggaraan

    Kami menulis tentang teknik ini secara terperinci di sini. Anda perlukan a halaman penyelenggaraan yang berasingan (maintenance.html dalam contoh) untuk peraturan .htaccess ini berfungsi. Kod ini meletakkan laman WordPress anda ke dalam mod penyelenggaraan.

     # Redirects to page maintenance  RewriteEngine pada RewriteCond% REMOTE_ADDR! ^ 123 \ .456 \ .789 \ .000 RewriteCond% REQUEST_URI! /Maintenance.html$ [NC] RewriteCond% REQUEST_URI! \. (Jpe? G? | Png | gif ) [NC] RewriteRule. * /Maintenance.html [R = 503, L]  

    12. Hadkan semua akses kepada WP termasuk

    The / wp-termasuk / folder mengandungi fail WordPress teras yang diperlukan untuk CMS untuk berfungsi. Tiada kandungan, plugin, tema atau apa pun yang pengguna ingin akses di sini. Jadi untuk mengeratkan keselamatan, sebaiknya mengehadkan semua akses kepadanya.

     # Memblokir semua folder dan fail wp-termasuk  RewriteEngine Pada RewriteBase / RewriteRule ^ wp-admin / includes / - [F, L] RewriteRule! ^ Wp-includes / - [S = 3] RewriteRule ^ wp- L] RewriteRule ^ wp-include / js / tinymce / langs /.+ \. Php - [F, L] RewriteRule ^ wp-includes / theme-compat /  

    13. Menyekat skrip silang tapak (XSS)

    Coretan kod berikut adalah dari WP Mix dan ia melindungi laman web anda daripada beberapa serangan XSS biasa, iaitu suntikan skrip dan percubaan untuk mengubah suai pemboleh ubah global dan permintaan.

     # Blok sesetengah serangan XSS  RewriteCond% QUERY_STRING (\ |% 3E) [NC, OR] RewriteCond% QUERY_STRING GLOBALS (= | \ [| \% [0-9A-Z] 0,2) [OR] RewriteCond% QUERY_STRING  _REQUEST (= | \ [| \% [0-9A-Z] 0,2) RewriteRule. * Index.php [F, L]  

    14. Dayakan penyemak imbas penyemak imbas

    Seperti yang saya nyatakan sebelumnya, .htaccess bukan sahaja baik untuk sebab keselamatan dan peralihan tetapi ia juga boleh membantu anda menguruskan cache. Coretan kod di bawah adalah dari Tema Elegant dan ia membuat pelayar penyemak imbas mungkin dengan membolehkan pelawat ke menyimpan beberapa jenis fail, jadi kali seterusnya mereka melawat mereka tidak perlu memuat turun lagi.

     # Membolehkan pelayar penyemak imbas  Capaian 1 tahun "akses ExpiresByType image / jpeg" akses 1 tahun "akses ExpiresByType image / gif" 1 tahun akses akses "ExpiresByType image / png" 1 tahun "akses ExpiresByType text / css" 1 bulan "ExpiresByType application / akses "akses 1 bulan" akses "ExpiresByType teks / x-javascript" akses 1 bulan "akses ExpiresByType / akses x-shockwave-flash" 1 bulan akses "ExpiresByType image / x-icon" akses 2 tahun "ExpiresDefault"  

    15. Sediakan halaman ralat tersuai

    Anda boleh menggunakan .htaccess untuk menyediakan halaman ralat tersuai di laman WordPress anda. Untuk kaedah ini untuk bekerja, anda juga perlu buat halaman kesalahan tersuai (custom-403.html, custom-404.html dalam contoh) dan muat naik mereka ke folder root anda.

    Anda boleh menyediakan halaman ralat tersuai untuk sebarang kod status ralat HTTP (Kod status 4XX dan 5XX) yang anda mahukan.

     # Mengatur halaman ralat tersuai ErrorDocument 403 / custom 403.html ErrorDocument 404 / custom 404.html