Защита WordPress .htaccess
Оглавление
В одной из других статей я познакомил пользователей с содержимым .htaccess. Обсудили значимость для защиты (рассказали об оптимизации работы сайта с помощью .htaccess). Сегодня мы снова будет рассматривать данный файлик, но уже с другой стороны. На этот раз нас интересует защита htaccess wordpress. Мне было достаточно моих неглубоких познаний в области программирования и обслуживания сайтов, чтобы с легкостью проникнуться данной темой. Если Вы из категории дилетантов, не стоит переживать, у Вас тоже всё прекрасно получится.
От Вас потребуются только поверхностные знания системы WordPress, начальные знания кода веб-программирования и малость свободного времени.
Это одна из излюбленных моих систем, я постоянно выбираю для работы WordPress. Большинство блогеров меня поддержат. У этой блоговой системы аудитория пользователей шире, чем у Drupal и Joomla.
Периодически в панели администратора всплывают сообщения, что пора установить обновления движка. Вышла очередная порция обновлений. Зачем же нам всё это проделывать, если и так всё замечательно работает? Предлагаю простыми словами порассуждать о безопасности, о высоком и недосягаемом.
С точки зрения безопасности, очень хорошо, что численность веб-мастеров на WordPress — возрастает. Если есть какие-то сложности с установкой расширений, тем или просто возникают ошибки. Мы отправляемся на официальный форум проекта. Сообщество настолько разрослось, что поддержку получить не составляет никакого труда. Любой ответ на вопрос будет получен в кратчайшие сроки. С другой стороны, есть масса странных людей, которые пытаются противодействовать нормальной работе сайтов.
В моем здравом понимании ситуации, какие-то вещи лучше полностью скрыть от лишних глаз. Разработчики плагинов не дремлют и предлагают надёжные и эффективные способы защиты. К примеру, один из плагинов — LoginDown (я о нём уже писал).
Многие обновления системы носят вынужденный характер, и закрывают бреши в безопасности движка. Взломщики постоянно находят различные ухищрения и дыры, а разработчики моментально их устраняют. Для обновления системы требуются считанные минуты.
WordPress защита htaccess
Конечно, любой плагин значительно упрощает работу. Скачал, поставил и не вспоминаешь. Не требуется ковырять многозначный код систем, особенно если плохо в этом разбираешься. Есть риск что-то нарушить, повредить и вообще сломать работу сайта. С другой стороны, всё до такой степени примитивно, что разобраться может обычный ребенок. Причем, даже ученик начальных классов.
Предлагаю поближе рассмотреть правку файла .htaccess. Не нужно использовать все изменения одновременно, применяйте только самое необходимое. В стандартном виде файл представляет из себя следующий код:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule index.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Любые изменения в файл вносятся не раньше позиции #END. Тогда Вы точно будете знать, что именно Вы изменили в .htaccess, и как удалить лишний ненужный код. Откатить назад в таком случае не составит большого труда.
Защищаем файл wp-config.php
Для тех кто самостоятельно занимается установкой Вордпресс, очень хорошо знаком файл config.php. Все отлично знают, что он располагается в корневой директории папки сайта и открыт для доступ. Чтобы действительно спрятать его от нежелательных гостей, которые ищут данные БД, нужно подправить .htaccess (замените завычки):
"Files wp-config.php"
order allow,deny
deny from all
"/Files"
IP-блокировка через .htaccess
Здесь значение имеет тип используемого Вами сетевого доступа. При использовании современных роутеров, выдается обычно динамический IP-адрес, который постоянно меняется. Исправить неудобство можно довольно быстро, достаточно зайти в настройки сетевого оборудования и переключить режим с динамического IP-адреса на статический. В результате у нас получится один и тот же айпишник, сколько бы мы раз не подключались к сети. Я не буду рассматривать каждый случай индивидуально, т. к. от разнообразия сетевого оборудования разбегаются глаза. Да и просто, это не главная тема нашего сегодняшнего разговора.
Если вход осуществляется через IP-адрес, который не меняется, то ограничения можно внести в тот же самый .htaccess. Заходим в Notepad или Notepad++, создаем новый файл с названием .htaccess, потом загружаем его на сервер. Внутри файла должен размещаться следующий небольшой код:
order deny,allow
allow from 202.090.21.1 (замените это (202.090.21.1) на ваш IP адрес)
deny from all
