Nasz kochany .htaccess


Nie stój z boku, tylko podejmij próbę obrony plików WordPressa. Obejmij dodatkową ochroną pliki strategiczne dla bezpieczeństwa, bo tworzenie stron www to nie tylko budowa oparta na prawidłowej strukturze kodu.
  • wp-config.php - zawiera konfigurację bazową w tym pełne informacje o bazie danych,
  • .htaccess - zawiera dodatkowe reguły chroniące, które zaraz dodamy do niego.
Wyedytuj plik .htaccess i za frazą RewriteEngine On na samej górze sugeruję dopisać poniższy kod:
<Files .htaccess>
order allow,deny
deny from all
</Files>
<Files wp-config.php>
order allow,deny
deny from all
</Files>
Nieuprawniony dostęp do wyżej wymienionych plików mamy załatwiony, teraz pliki są zablokowane i wyświetli się strona błędu 403 nie uprawnionym ciekawskim. Nie zapomnij jeszcze zmienić uprawnienia dostępu dla plików z domyślnej wartości 644 na następujące:
  • 600 (lub 400) - dla pliku wp-config.php
  • 404 - dla pliku .htacces
  • 600 - dla pliku php.ini
Teraz pliki są tylko do odczytu dla systemu WordPress, bez możliwości zapisu zmian. Pamiętaj że zmian praw dostępu należy zmienić za pomocą klienta FTP.

Katalog wp-includes

WordPress w katalogu wp-includes przechowuje pliki bardzo ważne dla poprawnego działania systemu. Aby zablokować dostęp do tych zasobów przed ingerencją hakerów umieść w pliku .htaccess poniższy przykład, który pozwoli ci zabezpieczyć ten katalog.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
Pamiętaj, aby po zastosowaniu reguł ochrony za każdym razem sprawdzać poprawność działania strony internetowej zarówno od frontu, jak i od zaplecza.

Zablokuj niechciane rozszerzenia

Obce pliki mogą pojawić się w każdym folderze WordPressa, a ich obecność nie jest tam wskazana. Tym bardziej jeśli ich obecność wskazuje udane włamanie. Za pomocą pliku .htaccess możemy zapobiec niechcianym działaniom, utwórz nowy plik i zapisz w nim poniższą regułę.
RewriteEngine On
<Files *.php>
order allow,deny
deny from all
</Files>
<Files *.bin>
order allow,deny
deny from all
</Files>
<Files *.sh>
order allow,deny
deny from all
</Files>
Następnie umieść plik w poniższych folderach na serwerze:
  • /wp-content/uploads/,
  • /wp-content/themes/NazwaMotywu/css/,
  • /wp-content/themes/NazwaMotywu/images/,
  • /wp-content/themes/NazwaMotywu/js/,
  • /wp-admin/css/,
  • /wp-admin/images/,
  • /wp-admin/js/,
Powyższa reguła nie zablokuje możliwości dodania plików przez hakera, ale utrudni agresorowi skorzystanie z tych plików. Zdecydowanie warto wykorzystać tę metodę. Pamiętaj o zmianie uprawnień dla tych plików zgodnie z powyższą regułą.
Pliki z rozszerzeniem .txt są niegroźne, ale zbyt często zawierają informacje, które ułatwiają poznać wersje WordPressa, motywu oraz wtyczki. Ogranicz do nich dostęp, albo wręcz kasuj je z serwera.
Pamiętaj o przedstawionych zasadach, nieświadome opuszczenie jednego katalogu czy pliku tworzy słabe ogniwo w twojej stronie, który wcześniej czy później zostanie wykorzystane przez hakera.

Komentarze

Prześlij komentarz

Popularne posty z tego bloga

Zacznij tworzyć a nie psuć

Obraz
Programiści wywodzący się ze społeczeństwa Open Source, tworzą przede wszystkim systemy CMS, aby osoby, które nie znają technologii PHP i MySQL w łatwy sposób tworzyły serwisy internetowe oraz nimi zarządzali. Od ponad 10 lat milin osób wykorzystuje tego typu systemy do budowy stron i sklepów internetowych. Cieszy mnie to, że z roku na rok rośnie liczba użytkowników, u których rośnie świadomość bezpieczeństwa stron www . Najczęstszym powodem włamania jest lenistwo lub brak wiedzy ze strony projektanta, wydaje mi się czasami że rutyna robi swoje. Ze względu na to, że nie ma mechanizmów, które załatwią całą sprawę za ciebie, musisz wziąć się do roboty i zadbać przede wszystkim o to, aby uniknąć kilku typowych zagrożeń dla twojej strony internetowej , takich jak: SQL injection - Atak polega na wstrzyknięciu do aplikacji fragmentu zapytania SQL. Skutkuje to nieautoryzowanym dostępem w trybie odczytu lub zapisu do całej bazy danych. Cross-Site Scripting (XSS) - Atak polega na ws...
Czytaj więcej

6G Firewall

Obraz
Firewall pełni funkcję zapory, który zapewnia ochronę przed atakami że strony robotów sieciowych, script kiddies oraz hakerów. Dlatego stosowanie firewalli stało się koniecznością i nikogo nie trzeba dziś przekonywać do ich stosowania. Wartym polecenia oraz wypróbowania jest rozwiązanie Jeffa Startą (http://perishablepress.com/6g/) 6G Firewall. Założeniem realizowanym przez Jeffa jest stworzenie uniwersalnego kodu dla pliku .htaccess , pozwalające chronić stronę internetową przed podejrzanym ruchem . Projekt 6G Firewall jest w pełni darmowy na licencji Open Source i można wykorzystać go na serwerach Apache. Rozwiązanie 6G Firewall z powodzeniem można wykorzystywać w systemach CMS-owych takich jak WordPress czy Joomla. Należy a raczej zaleca się doklejenie poniższego kodu przed istniejącym w pliku .htaccess , który powinien być w głównym katalogu twojej strony internetowej. # 6G FIREWALL/BLACKLIST # @ https://perishablepress.com/6g/ # 6G:[QUERY STRINGS] <IfModule mod_rewr...
Czytaj więcej