Безопасность и файл .htaccess

ОБНОВЛЕНИЕ: Когда я впервые опубликовал свой ответ, я упустил суть вопроса; мой ответ касался безопасности .htaccess в целом и теперь указан ниже двойной линии (посмотрите вниз, если вам это интересно.) К сожалению, у меня нет конкретного опыта в защите /wp-admin/ с помощью .htaccess, поэтому я просто перечислю два ресурса, которые я буду изучать, если мне это понадобится:

• Усиление безопасности WordPress с помощью .htaccess
• Защита паролем AskApache для WordPress

Первый из них рекомендует следующее (и вот некоторые обсуждения по этому поводу.)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Второй содержит много информации, особенно в комментариях, но, признаюсь, предоставление вам списка для чтения — не тот ответ, который вы искали.

Извините, что не смог быть более полезным в этом вопросе.

========================================

Обычно WordPress имеет только следующее, что обрабатывает постоянные ссылки и не связано с безопасностью:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Недавно я обнаружил плагин WP htaccess Control, который управляет многими аспектами .htaccess за вас, и мне он очень понравился. После настройки его параметров он добавил следующие опции:

# WPhtC: Отключить ServerSignature на страницах ошибок
ServerSignature Off

# WPhtC: Отключить просмотр директорий
Options All -Indexes

# WPhtC: Защита WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Защита файла .htaccess
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Он также добавил эти параметры, которые касаются производительности, а не безопасности:

# WPhtC: Настройка mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Настройка mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Помимо этого, есть несколько плагинов, которые я не пробовал, но которые ориентированы на безопасность и взаимодействуют с .htaccess — вы можете попробовать каждый из них, чтобы увидеть, что они делают с файлом .htaccess:

• WP Super Secure and Fast htaccess (также)
• BulletProof Security
• Silence is Golden Guard
• WP-BlockYou
• Stealth Login
• HTTP Authentication
• AskApache Password Protect

Кроме того, если вы хотите узнать (по моему мнению) главный экспертный ресурс по безопасности Apache, связанной с WordPress, вы можете найти его на AskApache.com; этот парень — профессионал! Его блог не решит вашу проблему "слишком много информации", но по крайней мере вы можете считать его авторитетным источником!

Вот несколько примеров (хотя не все они напрямую связаны с WordPress, все они применимы):

• Продвинутые настройки WordPress wp-config.php
• Пример .htaccess для WordPress
• Продвинутая 404 ошибка WordPress
• Хитрости Mod_Security в .htaccess
• Плагин .htaccess блокирует спам, хакеров и защищает блог паролем

В любом случае, надеюсь, это поможет.