it-swarm-id.com

Keamanan dan .htaccess

Sekitar sebulan yang lalu saya memulai blog WordPress di server yang dihosting terkait dengan hobi. Jadi, saya baru dengan ini saat ini.

Karena saya khawatir dengan keamanan, satu hal yang saya lakukan adalah menginstal plugin WP Pemindaian Keamanan. Menurut hasil plugin, situs saya memeriksa kecuali bahwa saya mendapatkan ini di hasil sebagai tanda merah:

File .htaccess tidak ada di wp-admin/(saya ssh di sana dan tidak ada)

Ok, jadi saya melakukan pencarian yang cukup besar tentang masalah ini dan menemukan terlalu banyak info tentang .htaccess. Saya telah melalui Pengerasan WordPress di situs WordPress.org, dll. Dan juga berlari ke artikel ini: http://digwp.com/2010/07/wordpress-security-lockdown/

Ngomong-ngomong, saya pada dasarnya bingung dengan banyaknya informasi yang tersedia.

Apa yang seharusnya berisi file .htaccess di wp-admin?Saya telah membaca bahwa file .htaccess ini harus melindungi kata sandi direktori wp-admin dan saya juga membaca bahwa ini dapat menyebabkan masalah fungsionalitas. .

Bantuan dengan ini sangat dihargai.

Terima kasih. -wdypdx22

PerbaruiOk, jadi saya tidak masuk ke blog saya dan menggunakan komputer yang berbeda dari biasanya. Saya memasukkan url www.mysite.com/wordpress/wp-admin/ dan ada redirect untuk login. Jika itu yang terjadi, maka apakah file htaccess bahkan diperlukan di direktori wp-admin?

8
wdypdx22

PERBARUI: Ketika saya pertama kali memposting jawaban saya, saya melewatkan inti dari pertanyaan; jawaban saya adalah tentang keamanan .htaccess secara umum dan sekarang terdaftar di bawah garis ganda (lihat ke bawah jika Anda tertarik.) Sayangnya saya tidak memiliki pengalaman khusus dalam mengamankan /wp-admin/ menggunakan .htaccess jadi saya hanya akan mencantumkan dua sumber daya yang akan saya kejar kapan dan jika saya membutuhkannya:

Yang pertama merekomendasikan yang berikut ini (dan ini adalah beberapa diskusi tentang itu .)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Yang terakhir memiliki banyak informasi, terutama di komentar, tetapi diakui memberikan Anda daftar untuk dibaca bukan jawaban yang Anda cari.

Maaf saya tidak bisa lebih membantu yang satu ini.

========================================

Biasanya WordPress hanya memiliki yang menangani pemrosesan permalink berikut ini dan tidak terkait dengan keamanan:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Baru-baru ini saya menemukan plugin WP htacess Control yang mengelola banyak .htaccess untuk Anda dan saya sangat menyukainya. Setelah mengubah pengaturannya, ia menambahkan opsi berikut:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Itu juga menambahkan opsi-opsi ini yang tentang kinerja bukan keamanan:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Di luar yang satu ini ada beberapa plugin yang belum saya coba tetapi yang berfokus pada keamanan dan yang berinteraksi dengan .htaccess - Anda dapat mencobanya masing-masing hanya untuk melihat apa yang mereka lakukan pada file .htaccess:

Selain itu, jika Anda ingin mengetahui sumber daya pakar (IMO) # 1 di keamanan Apache yang terkait dengan WordPress Anda dapat menemukannya di AskApache.com ; Bung hardcore! Blognya tidak akan menyelesaikan masalah Anda " terlalu banyak informasi " tetapi setidaknya Anda dapat melihatnya sebagai sumber daya yang sah!

Berikut adalah beberapa contoh (meskipun tidak semua yang terkait dengan WordPress secara langsung semuanya berlaku):

Bagaimanapun, semoga ini membantu.

8
MikeSchinkel

Gagasan di baliknya, jika Anda memiliki file yang tergantung di belakang dari upgrade sebelumnya atau untuk serangan zero-day, sistem Anda bisa diretas. Juga mengamankan wp-admin dengan metode lain akan membantu melawan serangan brute-force.

One Idea) Jika hanya Anda mengedit situs Anda dapat membatasi akses ke folder dengan ip melakukan sesuatu seperti

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Untuk membuatnya sedikit lebih dapat ditoleransi untuk sistem IP dinamis; Anda harus dapat mengizinkan dari subblock, jadi jika kolam IP Anda selalu dari 1.2.3.128 - 1.2.3.255, maka Anda bisa melakukan sesuatu seperti 1.2.3.128/25

Ide lain) memerlukan HTTPS, beri izin ditolak jika mereka mencobanya melalui http. Tapi jangan mengarahkan mereka ke https. Anda dapat menggunakan sertifikat yang ditandatangani sendiri atau dari CA Cert untuk bertahan tanpa membeli.

4
Ryan Gibbons

Saya selalu menyertakan file .htaccess di wp-admin, bahkan jika saya tidak pernah memasukkan apa pun di dalamnya, karena itu meniadakan file direktori root. Beberapa orang menggunakan file .htaccess wp-admin untuk menyembunyikan seluruh direktori dari semua kecuali satu alamat IP, yang lain menggunakannya untuk kata sandi melindungi direktori.

Namun, kata sandi yang melindungi bagian admin dengan .htaccess akan menonaktifkan komunikasi ajax, karena mereka berinteraksi dengan wp-admin/admin-ajax.php.

Secara umum, saya tidak melihat banyak alasan untuk menambahkan sesuatu ke file admin .htaccess kecuali Anda sangat paranoid. Serangan biasanya menargetkan konten wp.

0
John P Bloch