Nasz kochany .htaccess

Nie stój z boku, tylko podejmij próbę obrony plików WordPressa. Obejmij dodatkową ochroną pliki strategiczne dla bezpieczeństwa, bo projektowanie stron internetowych no nie tylko budowa oparta na prawidłowej strukturze kodu.

  • wp-config.php – zawiera konfigurację bazową w tym pełne informacje o bazie danych,
  • .htaccess – zawiera dodatkowe reguły chroniące, które zaraz dodamy do niego.

Wyedytuj plik .htaccess i za frazą RewriteEngine On na samej górze sugeruję dopisać poniższy kod:

<Files .htaccess>
order allow,deny
deny from all
</Files>
<Files wp-config.php>
order allow,deny
deny from all
</Files>

Nieuprawniony dostęp do wyżej wymienionych plików mamy załatwiony, teraz pliki są zablokowane i wyświetli się strona błędu 403 nie uprawnionym ciekawskim. Nie zapomnij jeszcze zmienić uprawnienia dostępu dla plików z domyślnej wartości 644 na następujące:

  • 600 (lub 400) – dla pliku wp-config.php
  • 404 – dla pliku .htacces
  • 600 – dla pliku php.ini

Teraz pliki są tylko do odczytu dla systemu WordPress, bez możliwości zapisu zmian. Pamiętaj że zmian praw dostępu należy zmienić za pomocą klienta FTP.

Katalog wp-includes

WordPress w katalogu wp-includes przechowuje pliki bardzo ważne dla poprawnego działania systemu. Aby zablokować dostęp do tych zasobów przed ingerencją hakerów umieść w pliku .htaccess poniższy przykład, który pozwoli ci zabezpieczyć ten katalog.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>


Pamiętaj, aby po zastosowaniu reguł ochrony za każdym razem sprawdzać poprawność działania strony internetowej zarówno od frontu, jak i od zaplecza.


Zablokuj niechciane rozszerzenia

Obce pliki mogą pojawić się w każdym folderze WordPressa, a ich obecność nie jest tam wskazana. Tym bardziej jeśli ich obecność wskazuje udane włamanie. Za pomocą pliku .htaccess możemy zapobiec niechcianym działaniom, utwórz nowy plik i zapisz w nim poniższą regułę.

RewriteEngine On
<Files *.php>
order allow,deny
deny from all
</Files>
<Files *.bin>
order allow,deny
deny from all
</Files>
<Files *.sh>
order allow,deny
deny from all
</Files>

Następnie umieść plik w poniższych folderach na serwerze:

  • /wp-content/uploads/,
  • /wp-content/themes/NazwaMotywu/css/,
  • /wp-content/themes/NazwaMotywu/images/,
  • /wp-content/themes/NazwaMotywu/js/,
  • /wp-admin/css/,
  • /wp-admin/images/,
  • /wp-admin/js/,

Powyższa reguła nie zablokuje możliwości dodania plików przez hakera, ale utrudni agresorowi skorzystanie z tych plików. Zdecydowanie warto wykorzystać tę metodę. Pamiętaj o zmianie uprawnień dla tych plików zgodnie z powyższą regułą.


Pliki z rozszerzeniem .txt są niegroźne, ale zbyt często zawierają informacje, które ułatwiają poznać wersje WordPressa, motywu oraz wtyczki. Ogranicz do nich dostęp, albo wręcz kasuj je z serwera.


Pamiętaj o przedstawionych zasadach, nieświadome opuszczenie jednego katalogu czy pliku tworzy słabe ogniwo w twojej stronie, który wcześniej czy później zostanie wykorzystane przez hakera.

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

w

Connecting to %s