it-swarm-eu.dev

Zabezpečení a .htaccess

Asi před měsícem jsem začal blog WordPress na hostovaném serveru v souvislosti s koníčkem. V současné době jsem k tomu nový.

Protože jsem znepokojen bezpečností, jedna věc, kterou jsem udělal, bylo nainstalovat plugin WP Security Scan. Podle výsledků pluginů moje stránky kontrolují kromě toho, že to ve výsledcích získám jako červenou vlajku:

Soubor .htaccess neexistuje v wp-admin/(I ssh'd tam a neexistuje)

Ok, takže jsem se na problém zaměřil a našel příliš mnoho informací o .htaccess. Byl jsem přes Hardening WordPress na stránkách WordPress.org, atd. A také běžel do tohoto článku: http://digwp.com/2010/07/wordpress-security-lockdown/

Mimochodem, jsem v podstatě zmatený s množstvím dostupných informací.

Co by měl obsahovat soubor .htaccess v wp-admin? Četl jsem, že tento soubor .htaccess by měl chránit adresář wp-admin a také jsem četl, že to může způsobit problémy s funkčností.

Pomoc s tímto je velmi oceňována.

Dík. -wdypdx22

Update Ok, takže nejsem přihlášen do svého blogu a používám jiný počítač než obvykle. Zadávám adresu URL www.mysite.com/wordpress/wp-admin/ a přesměrování na přihlášení. Pokud se tak stane, je v adresáři wp-admin třeba soubor htaccess?

8
wdypdx22

UPDATE: Když jsem poprvé zaslal svou odpověď, zmeškal jsem podstatu otázky; moje odpověď byla o zabezpečení .htaccess obecně a nyní je uvedena pod dvojitou linií (podívejte se dolů, pokud vás to zajímá.) Bohužel nemám specifické zkušenosti s zabezpečením /wp-admin/ pomocí .htaccess, takže jednoduše uvedu dva zdroje, které budu sledovat kdy a jestli to potřebuji:

První z nich doporučuje následující (a zde je nějaká diskuse o tom .)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Ten má spoustu informací, zejména v komentářích, ale pokud vám poskytneme seznam ke čtení, není to odpověď, kterou jste hledali.

Je mi líto, že jsem nemohl být na tomto místě užitečnější.

========================

Obvykle WordPress má pouze následující, které zpracovávaly zpracování permalinků a nesouvisí s bezpečností:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Nedávno jsem našel WP htacess Control plugin, který spravuje spoustu .htaccess pro vás a já to mám moc rád. Po úpravě nastavení přidala následující možnosti:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Přidala také tyto možnosti, které se týkají výkonu místo zabezpečení:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Kromě toho jsou některé pluginy, které jsem se nesnažil, ale které jsou zaměřeny na zabezpečení a které pracují s .htaccess - můžete je zkusit každý, abyste viděli, co dělají v souboru .htaccess:

Kromě toho, pokud chcete znát (IMO) # 1 expert zdroj na zabezpečení Apache související s WordPress můžete najít na AskApache.com ; vole je hardcore! Jeho blog nevyřeší váš problém "příliš mnoho informací", ale alespoň ho můžete zobrazit jako autoritativní zdroj!

Zde jsou některé příklady (i když ne všechny jsou přímo související s WordPressem)

Každopádně doufám, že to pomůže.

8
MikeSchinkel

Myšlenka za tím, pokud máte škrtící soubory visící za minulými upgrady nebo útoky na nulový den, váš systém by mohl být napaden. Také zabezpečení wp-admin jiným způsobem pomůže před útoky brutální síly.

Jedna myšlenka) Pokud je to právě editace webu, můžete omezit přístup ke složce pomocí ipu, který dělá něco takového

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Aby byl pro dynamické IP systémy trochu tolerovatelnější; měli byste být schopni povolit z podbloku, takže pokud máte IP fond vždy od 1.2.3.128 - 1.2.3.255, pak byste mohli udělat něco jako 1.2.3.128/25

Další myšlenka) vyžaduje HTTPS, udělejte svolení, které bylo odepřeno, pokud to zkusí přes http. Ale nepřesměrujte je na https. Můžete použít self-signed cert nebo jeden z CA Cert, abyste se dostali bez zakoupení.

4
Ryan Gibbons

Do souboru wp-admin vždy vložím soubor .htaccess, i když do něj nikdy nic nevložím, protože neguje soubor kořenového adresáře. Někteří lidé používají soubor wp-admin .htaccess ke skrytí celého adresáře ze všech, kromě jedné adresy IP, jiní jej používají k ochraně adresáře heslem.

Nicméně, ochrana heslem sekce admin s .htaccess vypne iax komunikaci, protože komunikují s wp-admin/admin-ajax.php.

Obecně platí, že nevidím důvod k tomu, abych něco přidal do souboru admin .htaccess, pokud nejste extrémně paranoidní. Útoky se však obvykle zaměřují na obsah wp.

0
John P Bloch