Vor ungefähr einem Monat habe ich ein WordPress-Blog auf einem gehosteten Server gestartet, der sich auf ein Hobby bezieht. Daher bin ich derzeit neu in diesem Bereich.
Da ich mir Sorgen um die Sicherheit mache, habe ich das Plugin WP Security Scan installiert. Gemäß den Plugin-Ergebnissen wird meine Site ausgecheckt, außer dass ich dies in den Ergebnissen als rote Fahne erhalte:
Die Datei .htaccess existiert nicht in wp-admin / (ich habe dort ssh'd und es existiert nicht)
Ok, also habe ich eine beträchtliche Suche zu diesem Thema durchgeführt und zu viele Informationen zu .htaccess gefunden. Ich habe WordPress auf der WordPress.org-Website usw. gehärtet und bin auch auf diesen Artikel gestoßen : http://digwp.com/2010/07/wordpress-security-lockdown/
Wie auch immer, ich bin im Grunde genommen verwirrt mit der Fülle der verfügbaren Informationen.
Was sollte die .htaccess-Datei in wp-admin enthalten? Ich habe gelesen, dass diese .htaccess-Datei das Verzeichnis wp-admin mit einem Kennwort schützen soll, und ich habe auch gelesen, dass dies zu Funktionsproblemen führen kann.
Hilfe dabei wird sehr geschätzt.
Vielen Dank. -wdypdx22
Update OK, daher bin ich nicht in meinem Blog angemeldet und verwende einen anderen Computer als gewöhnlich. Ich gebe die URL www.mysite.com/wordpress/wp-admin/ ein und es gibt eine Weiterleitung zum Anmelden. Wenn das passiert, wird dann überhaupt eine htaccess-Datei im Verzeichnis wp-admin benötigt?
Antworten:
UPDATE : Als ich meine Antwort zum ersten Mal veröffentlichte, habe ich den Kern der Frage verpasst. Meine Antwort betraf die
.htaccess
Sicherheit im Allgemeinen und ist jetzt unter der doppelten Zeile aufgeführt (schauen Sie nach unten, wenn es Sie interessiert). Leider habe ich keine besonderen Erfahrungen mit der Sicherung der/wp-admin/
Verwendung,.htaccess
daher werde ich einfach die beiden Ressourcenauflisten, dieich wann und wenn verfolgen werde Ich brauche es:Der erste empfiehlt Folgendes (und hier ist eine Diskussion darüber .)
Letzteres enthält viele Informationen, insbesondere in den Kommentaren, aber es ist zugegebenermaßen nicht die Antwort, nach der Sie gesucht haben, Ihnen eine Liste zum Lesen zur Verfügung zu stellen.
Entschuldigung, ich hätte in diesem Fall nicht hilfreicher sein können.
=======================================
Normalerweise hat WordPress nur Folgendes, das die Permalink-Verarbeitung handhabt und nicht mit der Sicherheit zusammenhängt:
Kürzlich habe ich das WP htacess Control Plugin gefunden, das viel
.htaccess
für Sie verwaltet, und es gefällt mir sehr gut. Nach dem Ändern der Einstellungen wurden die folgenden Optionen hinzugefügt:Außerdem wurden die folgenden Optionen hinzugefügt, bei denen es um Leistung statt um Sicherheit geht:
Darüber hinaus gibt es einige Plugins, die ich nicht ausprobiert habe, die sich jedoch auf die Sicherheit konzentrieren und mit denen sie interagieren.
.htaccess
Sie können sie jeweils ausprobieren, um zu sehen, was sie mit der.htaccess
Datei tun :Wenn Sie darüber hinaus die Expertenressource (IMO) Nr. 1 zur Apache-Sicherheit in Bezug auf WordPress kennen möchten, finden Sie sie auf AskApache.com . Alter ist Hardcore! Sein Blog wird Ihr Problem mit " zu vielen Informationen " nicht lösen, aber zumindest können Sie es als maßgebliche Ressource ansehen!
Hier sind einige Beispiele (obwohl nicht alle direkt mit WordPress zusammenhängen, sind sie alle anwendbar):
Wie auch immer, hoffe das hilft.
quelle
Die Idee dahinter: Wenn Sie erwürgende Dateien von früheren Upgrades oder für Zero-Day-Angriffe haben, könnte Ihr System gehackt werden. Auch das Sichern des wp-admin durch eine andere Methode hilft gegen Brute-Force-Angriffe.
Eine Idee) Wenn Sie nur die Site bearbeiten, können Sie den Zugriff auf den Ordner durch IP-Aktionen einschränken
Um es für dynamische IP-Systeme etwas erträglicher zu machen; Sie sollten in der Lage sein, von einem Unterblock aus zuzulassen. Wenn Ihr IP-Pool also immer zwischen 1.2.3.128 und 1.2.3.255 liegt, können Sie beispielsweise 1.2.3.128/25 ausführen
Eine andere Idee) erfordern HTTPS, geben Sie eine Berechtigung verweigert, wenn sie es über http versuchen. Leiten Sie sie jedoch nicht an https weiter. Sie können ein selbstsigniertes Zertifikat oder ein Zertifikat von CA Cert verwenden, um auszukommen, ohne eines zu kaufen.
quelle
Ich füge immer eine .htaccess-Datei in wp-admin ein, auch wenn ich nie etwas darin abgelegt habe, da dadurch die Datei des Stammverzeichnisses negiert wird. Einige Benutzer verwenden die Datei wp-admin .htaccess, um das gesamte Verzeichnis vor allen bis auf eine IP-Adresse zu verbergen, andere verwenden sie, um das Verzeichnis mit einem Kennwort zu schützen.
Durch das Kennwort, das den Administratorbereich mit .htaccess schützt, wird die Ajax-Kommunikation jedoch deaktiviert, da sie mit wp-admin / admin-ajax.php interagieren.
Im Allgemeinen sehe ich keinen Grund, der admin .htaccess-Datei etwas hinzuzufügen, es sei denn, Sie sind extrem paranoid. Angriffe zielen normalerweise sowieso auf wp-Inhalte ab.
quelle
Ich benutze auch die Bibliothek sseqlib für mehr Sicherheit und verschiedene Hacks in den .htacces; siehe die Links
quelle