財神娛樂首存即享優惠回饋唷~詳情請進👉

加強WordPress寧靜性的15個倍數.htaccess代碼片斷

如下代碼由PHP站長網 52php.cn網絡自互聯網目前PHP站長網小編把它分享給人人,僅供參考

若是您想提高寧靜性并淘汰 wordpress 網站上的漏洞,那末領有一個設置優秀的.htaccess 文件至關緊張。平日,創立自界說.htaccess 文件的首要目的是防止您的網站被黑客入侵,但它也是處置重定向以及治理緩存相關使命的盡佳方式。

.htaccess 是 Apache Web 服務器上使用的設置文件。大多半 WordPress 站點都在 Apache 服務器上運轉,絕管個中一小部門由 Nginx 供應支撐。在本文中,您可以找到.htaccess 代碼片斷的聚攏,個中大部門可用于珍愛您的網站,而其他代碼片斷完成其余有效的功效。若是你是一個不喜歡觸摸設置文件的人,我保舉你使用 BulletProof Security 插件,它是市場上最靠得住(也多是最老的)收費.htaccess 寧靜插件。

創立 WP 默許的 .htaccess

.htaccess 基于每個目次事情,這象征著每個目次都可以領有本人的.htaccess 文件。極可能你的 WordPress 網站尚未.htaccess 文件。若是在根目次中找不到.htaccess 文件,請創立一個空文本文件并將其定名為.htaccess。上面,您可以找到 WordPress 使用的默許.htaccess。無論何時必要此代碼,您都可以在 WordPre捕魚達人攻略ss Codex 中疾速查找。請注重,WP Multisite(多站點)有一個不同的.htaccess 。

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index.php$ – [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

以# 開首的行是正文。不要編纂任何# BEGIN WordPress 以及# END WordPress 之間的代碼。在這些默許規定下增添自界說.htaccess 規定。有效的.htaccess 代碼,你可以在本文中找到的一切代碼段,然后增添到根目次的焦點.htaccess 文件。

1.謝絕走訪一切.htaccess 文件

上面的代碼謝絕走訪你 WordPress 中的一切.htaccess 文件。如許,您可以制止他人查望你的 Web 服務器設置。

# Denies access to all .htaccess files

<Files ~ “大眾^.*.([Hh][Tt][Aa])”大眾>

Order Allow,Deny

Deny from all

Satisfy all

</Files>

2.珍愛你的 WP 設置文件

wp-config.php 文件包括一切 WP 設置,包含數據庫登錄名以及暗碼。您可以謝絕一切人或者許可治理員走訪它。若是你選擇后者,往除# Allow from xx.xx.xx.xxx 后面的 # ,并拔出治理員的 IP 地址來代替 xx.xx.xx.xxx。

# Protects wp-config

<Files wp-config.php>

Order Allow,Deny

# Allow from xx.xx.xx.xxx

# Allow from yy.yy.yy.yyy

Deny from all

</Files>

3.防止 XML-RPC DDoS 進擊

WordPress 默許支撐 XML-RPC,這是一個使遙程發布接口。然而,固然它是一個很棒的功效,但它也是 WP 最大的寧靜漏洞之一,由于黑客可能行使它來進行 DDoS 進擊。若是您不想使用此功效,最佳禁用它。以及曩昔同樣,你可以經由過程往除偏財運意思# Allow from xx.xx.xx.xxx 后面的 # 以及增添治理員(或者多個)的 IP 地址。

# Protects XML-RPC,prevents DDoS attack

<FilesMatch “大眾^(xmlrpc.php)”大眾>

Order Deny,Allow

# Allow from xx.xx.xx.xxx

# Allow from yy.yy.yy.yyy

Deny from all

</FilesMatch>

4.珍愛網站后臺

經由過程僅向治理員供應走訪權限來珍愛網站后臺也是一個好主張。在這里,不要忘掉增添最少一個“許可”破例 IP,不然您基本沒法走訪網站后臺。

若是你的寬帶沒有固定的 IP,請務必不要配置,不然你可能沒法走訪網站后臺!

# Protects admin area by IP

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName 公眾WordPress Admin Access Control公眾

AuthType Basic

<LIMIT GET>

Order Deny,Allow

Deny from all

Allow from xx.xx.xx.xxx

Allow from yy.yy.yy.yyy

</LIMIT>

5.制止目次列表

大多半 WordPress 網站不會禁用目次列表,這象征著任何人都可以涉獵其文件夾以及文件,包含媒體上傳以及插件文件。不消說,這是一個偉大的寧靜漏洞。上面,你可以望到典型的 WordPress 目次列表的表面。

榮幸的是,您只要捕魚達人序號要一行代碼就可以制止此功效。此代碼段將向想要走訪您的目次的任何人返歸 403 過錯新聞。

# Prevents directory listing

Options -Indexes

6.防止用戶名羅列

若是啟用了 WP 永遠鏈接,則使用作者存檔羅列用戶名特別很是輕易。然后,顯示的用戶名(包含治理員的用戶名)可用于暴力進擊。將上面的代碼拔出.htaccess 文件以防止用戶名羅列。

# Prevents username enumeration

RewriteCond %{QUERY_STRING} author=d

RewriteRule ^ /? [L,R=301]

7.制止渣滓郵件發送者以及機械人

偶然你可能但愿限定某些 I偏財運占卜P 地址的走訪。此代碼段供應了一種簡略的要領來制止你已經經曉得的渣滓郵件發送者以及機械人。

# Blocks spammers and bots

<Limit GET POST>

Order Allow,Deny

Deny from xx.xx.xx.xxx

Deny from yy.yy.yy.yyy

</Limit>

Allow from all

8.防止圖片盜鏈

固然不是寧靜要挾,但圖片盜鏈依然是一件煩人的工作。人們不僅在未經您允許的環境下使用你的圖片,可能會致使你的帶寬用度付出。使用這幾行代碼,您可以珍愛你的網站被盜鏈圖片。

# Prevents image hotlinking

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourwebsite.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourwebsite2.com [NC]

RewriteRule .(jpe?g?|png|gif|ico|pdf|flv|swf|gz)$ – [NC,F,L]

9.限定對插件以及主題 PHP 文件的間接走訪

若是有人間接挪用您的插件以及主題文件,無論是不測產生仍是歹意進擊者,都邑很傷害。此代碼段來自 Acunetix 網站寧靜公司 ; 您可以在他們的博文中閱讀無關此漏洞的更多信息。

# Restricts access to PHP files from plugin and theme directories

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/

RewriteRule wp-content/plugins/(.*.php)$ – [R=404,L]

RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php

RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/

RewriteRule wp-content/themes/(.*.php)$ – [R=404,L]

10.配置永遠重定向

你可以使用.htaccess 輕松處置永遠重定向。起首,你必需增添舊 URL,然后按照指向要將用戶重定向到的頁面的新 URL。

# Permanent redirects

Redirect 301 /oldurl1/ http://yoursite.com/newurl1

Redirect 301 /oldurl2/ http://yoursite.com/newurl2

11.將走訪者發送到維護頁面

若是你的網站在維護,咱們但愿見告訪客這個工作,可以使用規定往完成。你必要一個零丁的維護頁面(maintenance.html 在示例中)才能使此.htaccess 規定見效。此代碼將你的 WordPress 站點置于維護模式。

# Redirects to maintenance page

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{REMOTE_ADDR} !^123.456.789.000

RewriteCond %{REQUEST_URI} !/maintenance.html$ [NC]

RewriteCond %{REQUEST_URI} !.(jpe?g?|png|gif) [NC]

RewriteRule .* /maintenance.html [R=503,L]

</IfModule>

12.限定對 wp-includes 目次的一切走訪

/wp-includes/文件夾包括必須的焦點 WordPress 文件。沒有內容、插件、主題或者用戶可能想要走訪的任何其余內容。是以,為了增強寧靜性,最佳限定對它的一切走訪。

# Blocks all wp-includes folders and files

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ – [F,L]

RewriteRule !^wp-includes/ – [S=3]

RewriteRule ^wp-includes/[^/]+.php$ – [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L]

RewriteRule ^wp-includes/theme-compat/ – [F,L]

</IfModule>

13.制止跨站點劇本(XSS)

如下代碼片斷來自 WP Mix,它可以珍愛你的站點免受一些常見的 XSS 進擊,即劇本注入以及測驗考試點竄全局以及哀求變量。

# Blocks some XSS attacks

<IfModule mod_rewrite.c>

RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})

RewriteRule .* index.php [F,L]

</IfModule>

14.啟用涉獵器緩存

【免責聲明電競下注】本站內容轉載自互聯網,其相關談吐僅代表作者小我私家概念盡非權勢巨子,不代表本站態度。如您發明內容存在版權成績,請提交相關鏈接至郵箱:,咱們將實時予以處置。