Dupa cum probabil stiti deja 25% din toate site-urile care ruleaza un CMS ( Content Management System ) pe internet, folosesc WordPress. Popularitatea aduce lucrui bune, de obicei, dar orice lucru bun vine cu unele rele : WordPress-ul este deseori tinta atacurilor hackerilor.
O modalitate de a ne proteja blogul de atacuri este folosirea fisierul .htaccess. Cu ajutorul acestui fisier se pot obtine mult mai multe , de exemplu : browser caching, url rewrites – pentru link-uri, redirectari etc.
Cu siguranta ne vom mai lovi de acest fisier si vom mai discuta despre el si despre multitudinea de lucruri care pot fi facute cu ajutorul lui si in alte articole, acum sa ne concentram la ce avem de facut : protejarea WordPress-ului.
In randurile de mai jos o sa va prezint cateva code snippet-uri care vor trebui adaugate in fisierul dumneavoastra .htaccess. Acesta se gaseste in folderul root al WordPress (unde gasiti si fisierul wp-config.php sau folderele wp-content, wp-admin si wp-includes).
1. Protejarea fisierului wp-config.php
In fisierul wp-config.php se afla informatii importante precum credentialele de conectare la baza de date, salt key-urile pentru generarea parolelor / cookie-urilor si altele. Prin urmare securizarea acestui fisier este destul de importanta.
https://gist.github.com/roscabgdn/80cf509275787099185ec0ccf258804e
2. Protejarea folderului /wp-includes/
https://gist.github.com/roscabgdn/efffbd8f3aaec7316b993843ba812e54
3. Impiedicarea navigarii prin foldere din browser ( directory browsing )
Acesta este un pas esential in securizarea/protejarea WordPress-ului. Cu ajutorul acestui snippet vom bloca posibilitatea afisarii structurii folderelor si fisierelor noastre din WordPress.
https://gist.github.com/roscabgdn/9e370e2e67cae67a6b7499039189a9cd
4. Protejarea .htaccess
Chiar daca pare ciudat, protejam un fisier ce ar trebui sa ne protejeze 🙂
https://gist.github.com/roscabgdn/5020d48f58d1241607a271d8046b2e54
5. Limitarea accesului la WordPress Admin
Acesta este un snippet pe care v-as sfatui sa-l folositi numai in cazul in care stiti adresa IP pe care calculatorul dumneavoastra o are. E un script folositor dar va limita accesul la pagina wp-login doar IP-ului pe care il adaugati.
https://gist.github.com/roscabgdn/b6a74055d9a8b105cac0a0c982aa2239
Va trebui sa schimbati xxx.xxx.xxx.xxx cu ip-ul dumneavoastra.
Daca v-a fost lene sa copiati bucata cu bucata si doriti intregul fisier cu toate cele discutate mai sus :
https://gist.github.com/roscabgdn/e68d3703c3ca14cb519d
Daca doriti sa implementati modificarile dar va loviti de probleme, lasati un comentariu si o sa incerc in cel mai scurt timp sa va ajut.
Nu stiam acest aspect despre WordPress si .htaccess, un sfat forate util ca sa iti mentii blogul in siguranta, cu toate ca am folosit wordpress-ul in trecut ….
Foarte bun articolul
Multumesc
Ma bucur ca am putut sa-ti fiu de folos!
Limitarea accesului la WordPress Admin mi se pare o idee destul de interesanta. Insa cum multi avem ip dinamic nu prea putem apela la aceasta parte de cod.. cred. Ma insel ?
Poate ne putem juca cu o clasa de ip-uri.. sau cumva.
O alta alternativa ar fi schimbarea path-ului de login, parerea mea.
Toata lumea “rea” intra pe wp-login.php * wp-admin
Mai exista si problema cu query-urile ce le ruleaza baietii pentru a afla diferite glitch-uri alte site-ului.
Da, se poate pune o clasa de ip-uri.
Legat de schimbarea path-ului de login : e o metoda buna de a trimite oamenii la plimbare suparati ca nu au gasit link-ul de login. Nu am zis nimic despre asta pentru ca nu poti sa faci numai din .htaccess modificarea respectiva si nu era subiectul postarii.
Intr-adevar una din cele mai simple metode de a iti proteja blogul este limitarea in wp-admin cu .htaccess, cu conditia sa fie IP STATIC. Am folosit la un blog de laptopuri, dar am renuntat deoarece Ip ul se schimba la 2-3 zile.
Se poate cumva schimba pagina de login in wordpress tot din htaccess?
Doar din .htaccess nu 🙂 mai sunt si alte masuri care trebuie luate .
Hmm chiar mai mult decat 25%, citisem pe undeva.. 26.4%!
Nu cred ca e vreo problema daca nu introduc chestiile astea pe blog daca e pe wordpress, pleatforma este in continuu optimizata nu cred ca are nevoie de lucrurile astea, parerea mea.
Sa zicem ca limitezi accesul la wp admin, esti plecat sau folosesti internet mobil (care isi schimba ip-ul la fiecare conectare aproape), cum faci sa mai accesezi WP-Admin-ul ca sa poti scrie articole? O foloseam si eu varianta asta, dar cel mai util mi se pare sa schimbi denumirea folder-ului wp-admin.
La un momendat am gasit ca tema mea ar fi putea atacata.Am un site de diete,ce ar trebui sa fac?
Recomand cu incredere pluginul WP htaccess Control.
Si eu l-am folosit de curand. E o alegere buna.
Bun articol. Tot din .htaccess poti face multe alte lucruri bune pentru wordpress: ii maresti performanta, activezi compresie, adaugi / elimini tag-uri. Spre exemplu daca elimini ETag site-ul se misca simtitor mai bine… cel putin in cazul meu. Poate o sa scrii si despre imbunatatirea performantei site-ului folosind htaccess intr-un post viitor 🙂
Ai dreptate se pot face o sumedenie de lucruri in .htaccess. O sa fac un update sau poate un post nou cu aceste lucruri. Ma bucur ca a fost de folos. 🙂
Este posibil ca unele reguli descrise de tine in articol, sa nu functioneze datorita unor “limitari” ale companiei de hosting? Mentionez ca am un cont shared. Multumesc.
Salut,
E posibil ca acest lucru sa se intample, va trebui sa iei legatura cu cei de la hosting sa iti ofere posibilitatea de a accesa fisierul .htaccess
Tocmai am dat peste articolul tau si trebuie sa recunosc ca am stat ceva timp sa reusesc sa inteleg intai ce trebuie sa fac. :)) 2 hours later, my .htcaccess file is updated!