Securitate și fișierul .htaccess în WordPress

ACTUALIZARE: Când am postat prima dată răspunsul meu, am ratat esența întrebării; răspunsul meu era despre securitatea generală a .htaccess și este acum listat sub linia dublă (uită-te mai jos dacă te interesează.) Din păcate, nu am experiență specifică în securizarea /wp-admin/ folosind .htaccess, așa că voi enumera pur și simplu cele două resurse pe care le voi urmări când și dacă voi avea nevoie:

• Întărirea WordPress cu .htaccess
• Protecția prin Parolă AskApache, Pentru WordPress

Prima recomandă următoarele (și aici este o discuție despre asta.)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Ultima are multă informație, în special în comentarii, dar recunosc că furnizarea unei liste de citit nu este răspunsul pe care îl căutai.

Îmi pare rău că nu am putut fi mai de ajutor în această privință.

========================================

În mod obișnuit, WordPress are doar următoarele, care gestionează procesarea permalink-urilor și nu este legat de securitate:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Recent am descoperit plugin-ul WP htaccess Control care gestionează o mare parte din .htaccess pentru tine și îmi place foarte mult. După ajustarea setărilor sale, a adăugat următoarele opțiuni:

# WPhtC: Dezactivează ServerSignature pe paginile de eroare generate
ServerSignature Off

# WPhtC: Dezactivează navigarea în director
Options All -Indexes

# WPhtC: Protejează WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protejează fișierul .htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

De asemenea, a adăugat aceste opțiuni care sunt despre performanță și nu despre securitate:

# WPhtC: Setare mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setare mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Pe lângă acesta, există câteva plugin-uri pe care nu le-am încercat, dar care se concentrează pe securitate și care interacționează cu .htaccess - ai putea să le încerci pe fiecare doar pentru a vedea ce fac cu fișierul .htaccess:

• WP Super Secure and Fast htaccess (de asemenea)
• BulletProof Security
• Silence is Golden Guard
• WP-BlockYou
• Stealth Login
• HTTP Authentication
• AskApache Password Protect

Pe lângă asta, dacă vrei să știi resursa (IMO) #1 expertă despre securitatea Apache legată de WordPress, o poți găsi pe AskApache.com; tipul este hardcore! Blogul său nu va rezolva problema ta "prea multă informație", dar cel puțin poți să-l vezi ca pe o resursă autoritară!

Iată câteva exemple (deși nu toate sunt direct legate de WordPress, toate sunt aplicabile):

• Tweak-uri Avansate pentru WordPress wp-config.php
• Exemplu .htaccess pentru WordPress
• 404 Avansat pentru WordPress
• Trucuri .htaccess pentru Mod_Security
• Plugin .htaccess Blochează Spam, Hacker-i și Protejează Blogul prin Parolă

Oricum, sper că acest lucru este de ajutor.