it-swarm.asia

Güvenlik ve .htaccess

Bir ay kadar önce bir hobi ile ilgili barındırılan bir sunucuda bir WordPress bloguna başladım. Yani, şu anda bunun için yeni.

Güvenlik konusunda endişeliyim, yaptığım tek şey, eklentiyi WP Güvenlik Taraması'nı yüklemekti. Eklenti sonuçlarına göre, sonuçlarda bunu kırmızı bayrak olarak almam dışında sitem kontrol etti:

.Htaccess dosyası wp-admin/içinde mevcut değil (orada ssh'dim ve yok)

Tamam, bu yüzden konuyla ilgili önemli bir araştırma yaptım ve .htaccess hakkında çok fazla bilgi buldum. WordPress.org sitesindeki WordPress'i sertleştirdim, vb. Bu makaleyi de okudum: http://digwp.com/2010/07/wordpress-security-lockdown/

Her neyse, temelde mevcut olan bilgilerin bolluğuyla karıştırıldım.

wp-admin içindeki .htaccess dosyası ne içermelidir? Bu .htaccess dosyasının şifre wp-admin dizinini korumasını gerektiğini okudum ve bunun işlevsellik sorunlarına neden olabileceğini de okudum.

Bu konuda yardım büyük beğeni topluyor.

Teşekkürler. -wdypdx22

Update Tamam, bu yüzden bloguma giriş yapmıyorum ve normalden farklı bir bilgisayar kullanıyorum. Www.mysite.com/wordpress/wp-admin/ adresini giriyorum ve giriş yapmak için bir yönlendirme var. Eğer bu olursa, wp-admin dizininde bir htaccess dosyası gerekli mi?

8
wdypdx22

UPDATE: Cevabımı ilk gönderdiğimde sorunun kaygısını kaçırdım; Cevabım genel olarak .htaccess güvenliği ile ilgiliydi ve şimdi çift satırın altında listeleniyor (sizi ilgilendiriyorsa aşağıya bakın.) Maalesef /wp-admin/ kullanarak .htaccess güvenliğini sağlama konusunda belirli bir deneyimim yok, bu yüzden takip edeceğim iki kaynağı listeleyeceğim ne zaman ve ihtiyacım olursa:

İlki şunları tavsiye eder (ve işte işte bununla ilgili bir tartışma .)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

İkincisi, özellikle yorumlarda çok fazla bilgi var, ancak kuşkusuz size bir liste okuyarak aradığınız cevap değil.

Üzgünüm bu konuda daha fazla yardımcı olamazdım.

========================================

Genellikle WordPress, yalnızca kalıcı bağlantı işlemlerini işleyen ve güvenlikle ilgili olmayan aşağıdakilere sahiptir:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Son zamanlarda, sizin için birçok .htaccess dosyasını yöneten WP htacess Control eklentisini buldum ve tercih etmekten çok hoşlanıyorum. Ayarları değiştirdikten sonra, aşağıdaki seçenekleri ekledi:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Ayrıca güvenlik yerine performansla ilgili bu seçenekleri de ekledi:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Bunun ötesinde, denemediğim, ancak güvenlik odaklı ve .htaccess ile etkileşime giren bazı eklentiler var. Bunları .htaccess dosyasına ne yaptıklarını görmek için deneyebilirsiniz:

Bunun ötesinde, IMO) # 1 uzman kaynağını bilmek istersen _ (WordPress ile ilgili Apache güvenliği onu bulabilirsin AskApache.com ; dostum çok sert! "çok fazla bilgi" sorun ancak en azından bunu yetkili bir kaynak olarak görebilirsiniz!

İşte bazı örnekler (hepsi doğrudan WordPress ile ilgili olmasa da hepsi uygulanabilir):

Neyse, umarım bu yardımcı olur.

8
MikeSchinkel

Arkasındaki fikir, geçmiş yükseltmelerden veya sıfır günlük saldırılardan ardında asılı boğulan dosyalar varsa, sisteminiz saldırıya uğramış olabilir. Ayrıca wp-admin'in başka bir yöntemle güvence altına alınması kaba kuvvet saldırılarına karşı yardımcı olacaktır.

Tek Fikir) Siteyi sadece düzenliyorsanız, ip gibi bir şey yaparak klasöre erişimi sınırlayabilirsiniz.

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Dinamik IP sistemleri için biraz daha tolere edilebilir hale getirmek için; Bir alt bloktan izin verebilmelisiniz, bu nedenle IP havuzunuz her zaman 1.2.3.128 - 1.2.3.255 arasındaysa, 1.2.3.128/25 gibi bir şey yapabilirsiniz.

Başka bir Fikir) HTTPS gerektirir, eğer http üzerinden denerlerse izin verilmez. Ama onları https'ye yönlendirmeyin. Satın almadan satın almak için kendinden imzalı bir sertifika veya CA Cert'ten bir tane kullanabilirsiniz.

4
Ryan Gibbons

Kök yöneticinin dosyasını olumsuz etkilediğinden, içine hiçbir şey koymama rağmen, her zaman wp-admin içine bir .htaccess dosyası eklerim. Bazı insanlar wp-admin .htaccess dosyasını kullanarak tüm dizini bir IP adresinden gizleyebilir, bazıları da dizini şifre korumasında kullanır.

Ancak, yönetici bölümünü .htaccess ile koruyan parola, wp-admin/admin-ajax.php ile etkileşime girdiklerinden ajax iletişimini devre dışı bırakacaktır.

Genellikle, çok paranoyak olmadıkça admin .htaccess dosyasına hiçbir şey eklemek için fazla sebep göremiyorum. Saldırılar genellikle yine de wp içeriğini hedef alır.

0
John P Bloch