Proteajeaza-ti blog-ul folosind .htaccess

WordPress

Written by:

Dupa cum probabil stiti deja 25% din toate site-urile care ruleaza un CMS ( Content Management System ) pe internet, folosesc WordPress. Popularitatea aduce lucrui bune, de obicei, dar orice lucru bun vine cu unele rele : WordPress-ul este deseori tinta atacurilor hackerilor.

O modalitate de a ne proteja blogul de atacuri este folosirea fisierul .htaccess. Cu ajutorul acestui fisier se pot obtine mult mai multe , de exemplu : browser caching, url rewrites – pentru link-uri, redirectari etc.

Cu siguranta ne vom mai lovi de acest fisier si vom mai discuta despre el si despre multitudinea de lucruri care pot fi facute cu ajutorul lui si in alte articole, acum sa ne concentram la ce avem de facut : protejarea WordPress-ului.

In randurile de mai jos o sa va prezint cateva code snippet-uri care vor trebui adaugate in fisierul dumneavoastra .htaccess.  Acesta se gaseste in folderul root al WordPress (unde gasiti si fisierul wp-config.php sau folderele wp-content, wp-admin si wp-includes).

Inainte de a trece la editarea fisierului, ar fi bine sa va faceti un back-up. .htaccess-ul e destul de sensibil la greseli. Cea mai mica greseala poate sa va strice website-ul.

1. Protejarea fisierului wp-config.php

In fisierul wp-config.php se afla informatii importante precum credentialele de conectare la baza de date, salt key-urile pentru generarea parolelor / cookie-urilor si altele. Prin urmare securizarea acestui fisier este destul de importanta.

https://gist.github.com/roscabgdn/80cf509275787099185ec0ccf258804e

2. Protejarea folderului /wp-includes/

https://gist.github.com/roscabgdn/efffbd8f3aaec7316b993843ba812e54

3. Impiedicarea navigarii prin foldere din browser ( directory browsing )

Acesta este un pas esential in securizarea/protejarea WordPress-ului. Cu ajutorul acestui snippet vom bloca posibilitatea afisarii structurii folderelor si fisierelor noastre din WordPress.

https://gist.github.com/roscabgdn/9e370e2e67cae67a6b7499039189a9cd

4. Protejarea .htaccess

Chiar daca pare ciudat, protejam un fisier ce ar trebui sa ne protejeze 🙂

https://gist.github.com/roscabgdn/5020d48f58d1241607a271d8046b2e54

5. Limitarea accesului la WordPress Admin

Acesta este un snippet pe care v-as sfatui sa-l folositi numai in cazul in care stiti adresa IP pe care calculatorul dumneavoastra o are. E un script folositor dar va limita accesul la pagina wp-login doar IP-ului pe care il adaugati.

https://gist.github.com/roscabgdn/b6a74055d9a8b105cac0a0c982aa2239

Va trebui sa schimbati xxx.xxx.xxx.xxx cu ip-ul dumneavoastra.

Daca v-a fost lene sa copiati bucata cu bucata si doriti intregul fisier cu toate cele discutate mai sus :

https://gist.github.com/roscabgdn/e68d3703c3ca14cb519d

Daca doriti sa implementati modificarile dar va loviti de probleme, lasati un comentariu si o sa incerc in cel mai scurt timp sa va ajut.

18 Replies to “Proteajeaza-ti blog-ul folosind .htaccess”

  1. Cravate says:

    Nu stiam acest aspect despre WordPress si .htaccess, un sfat forate util ca sa iti mentii blogul in siguranta, cu toate ca am folosit wordpress-ul in trecut ….

    Foarte bun articolul
    Multumesc

  2. Vlad says:

    Limitarea accesului la WordPress Admin mi se pare o idee destul de interesanta. Insa cum multi avem ip dinamic nu prea putem apela la aceasta parte de cod.. cred. Ma insel ?
    Poate ne putem juca cu o clasa de ip-uri.. sau cumva.

    O alta alternativa ar fi schimbarea path-ului de login, parerea mea.
    Toata lumea “rea” intra pe wp-login.php * wp-admin

    Mai exista si problema cu query-urile ce le ruleaza baietii pentru a afla diferite glitch-uri alte site-ului.

    • Rosca Bogdan says:

      Da, se poate pune o clasa de ip-uri.
      Legat de schimbarea path-ului de login : e o metoda buna de a trimite oamenii la plimbare suparati ca nu au gasit link-ul de login. Nu am zis nimic despre asta pentru ca nu poti sa faci numai din .htaccess modificarea respectiva si nu era subiectul postarii.

  3. Adrian says:

    Intr-adevar una din cele mai simple metode de a iti proteja blogul este limitarea in wp-admin cu .htaccess, cu conditia sa fie IP STATIC. Am folosit la un blog de laptopuri, dar am renuntat deoarece Ip ul se schimba la 2-3 zile.

  4. Clicker says:

    Se poate cumva schimba pagina de login in wordpress tot din htaccess?

  5. MobileFix says:

    Hmm chiar mai mult decat 25%, citisem pe undeva.. 26.4%!

  6. App World says:

    Nu cred ca e vreo problema daca nu introduc chestiile astea pe blog daca e pe wordpress, pleatforma este in continuu optimizata nu cred ca are nevoie de lucrurile astea, parerea mea.

  7. Ciprian says:

    Sa zicem ca limitezi accesul la wp admin, esti plecat sau folosesti internet mobil (care isi schimba ip-ul la fiecare conectare aproape), cum faci sa mai accesezi WP-Admin-ul ca sa poti scrie articole? O foloseam si eu varianta asta, dar cel mai util mi se pare sa schimbi denumirea folder-ului wp-admin.

  8. Andrea says:

    La un momendat am gasit ca tema mea ar fi putea atacata.Am un site de diete,ce ar trebui sa fac?

  9. Totalca says:

    Recomand cu incredere pluginul WP htaccess Control.

  10. Anunturili says:

    Bun articol. Tot din .htaccess poti face multe alte lucruri bune pentru wordpress: ii maresti performanta, activezi compresie, adaugi / elimini tag-uri. Spre exemplu daca elimini ETag site-ul se misca simtitor mai bine… cel putin in cazul meu. Poate o sa scrii si despre imbunatatirea performantei site-ului folosind htaccess intr-un post viitor 🙂

    • Rosca Bogdan says:

      Ai dreptate se pot face o sumedenie de lucruri in .htaccess. O sa fac un update sau poate un post nou cu aceste lucruri. Ma bucur ca a fost de folos. 🙂

  11. Lucian says:

    Este posibil ca unele reguli descrise de tine in articol, sa nu functioneze datorita unor “limitari” ale companiei de hosting? Mentionez ca am un cont shared. Multumesc.

    • Rosca Bogdan says:

      Salut,
      E posibil ca acest lucru sa se intample, va trebui sa iei legatura cu cei de la hosting sa iti ofere posibilitatea de a accesa fisierul .htaccess

  12. Tocmai am dat peste articolul tau si trebuie sa recunosc ca am stat ceva timp sa reusesc sa inteleg intai ce trebuie sa fac. :)) 2 hours later, my .htcaccess file is updated!

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.