Zaščita WordPressa s pomočjo datotek .htaccess

  • WEB
  • 11.10.2016
  • Čas branja: 3:46 min

zascita-wordpressa-s-pomocjo-htaccess

WordPress je najpopularnejši sistem za upravljanje vsebin (CMS) na spletnih straneh. Poganja namreč že več kot 1/4 vseh spletnih strani na svetu, temu primerno pa je tudi na udaru hackerjem. Eden izmed načinov, da se izognemo neljubemu dogodku – vdoru na spletno stran je tudi zaščita s pomočjo datotek .htaccess.

WordPress lahko zaščitimo na različne načine, najpogostejši in enostaven način je uporaba WordPress vtičnikov. Sam veliko raje uporabljam unikatne rešitve oz. držim uporabo WordPress vtičnikov na minimalnem številu, saj tudi tako preprečujemo vdore v WordPress.

S pomočjo .htaccess datotek lahko brez vtičnikov priročno zaščitimo določene dele WordPressa in blokiramo določene IP naslove pri dostopanju do administrativnih strani.

Blokiranje IP naslova s pomočjo .htaccess

Najbolj preprost način zaščite je, da dostop do Admin konzole zaklenemo na naš IP naslov. Slabost te metode je, da potrebujemo fiksen IP naslov in da lahko potem dostopamo do Admin konzole samo iz ene točke. Temu se lahko izognemo tako, da dovolimo dostop do Admin konzole samo iP naslovom, ki jih imamo npr. v Sloveniji oz. poljubnim naslovom, ki ustrezajo vaši situaciji.

Primer:

order deny,allow
# Zamenjajte IP naslov 111.168.1.11 z vašim #
allow from 111.168.1.11
deny from all

.htaccess datoteko posnamete v direktorij “wp-admin”.

Onemogočanje listanja direktorijev

Priporočljivo pa je tudi onemogočiti listanje direktorijev, to namreč omogoča heckerjem enostaven pregled strani in iskanje šibkih točk za napad.

Options -Indexes

Prepoved eksekucija PHP datotek v določenih mapah

Tipičen napad na WordPress stran običajno v določenih mapah za kasnejše dostope shrani PHP datoteke. Te mape so običajno /wp-includes/ in /wp-content/uploads/, kjer po napadu zasledimo PHP datoteke, ki jih hackerji uporabljajo za dostop ali kak drug namen. Temu se lahko izognemo tako, da prepovemo eksekucijo PHP datotek v teh mapah.

Ukaz:

<Files *.php>
deny from all
</Files>

.htaccess datoteko posnamete v direktorij /wp-content/uploads/ in /wp-includes/.

Omejitev dostopa do datotek

S pomočjo .htaccess datoteke lahko vplivamo na dostop določenih datotek. Iz opisanega ugotovimo, da so .htaccess datoteke zelo pomembne saj nam omogočajo veliko različnih opcij. Poleg že omenjene .htaccess datoteke pa je pomebna tudi datoteka wp-config.php, tu se nahajajo vsi ključni podatki našega WordPressa. Zato je zaščita teh datotek ključnega pomena.

.htaccess

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

wp-config.php

<files wp-config.php>
order allow,deny
deny from all
</files>

Uporabni viri:

Komentiraj


*


Sorodne objave