Sekitar sebulan yang lalu saya memulai blog WordPress di server yang dihosting terkait dengan hobi. Jadi, saya baru dengan ini saat ini.
Karena saya khawatir dengan keamanan, satu hal yang saya lakukan adalah menginstal plugin WP Security Scan. Menurut hasil plugin, situs saya memeriksa kecuali bahwa saya mendapatkan ini di hasil sebagai tanda merah:
File .htaccess tidak ada di wp-admin / (saya ssh di sana dan tidak ada)
Ok, jadi saya melakukan pencarian yang cukup besar tentang masalah ini dan menemukan terlalu banyak info tentang .htaccess. Saya telah melalui Pengerasan WordPress di situs WordPress.org, dll. Dan juga berlari ke artikel ini: http://digwp.com/2010/07/wordpress-security-lockdown/
Ngomong-ngomong, saya pada dasarnya bingung dengan banyaknya informasi yang tersedia.
Apa isi file .htaccess di wp-admin? Saya telah membaca bahwa file .htaccess ini harus melindungi kata sandi direktori wp-admin dan saya juga membaca bahwa ini dapat menyebabkan masalah fungsionalitas.
Bantuan dengan ini sangat dihargai.
Terima kasih. -wdypdx22
Perbarui Ok, jadi saya tidak masuk ke blog saya dan menggunakan komputer yang berbeda dari biasanya. Saya memasukkan url www.mysite.com/wordpress/wp-admin/ dan ada arahan ulang untuk masuk. Jika itu yang terjadi, maka apakah file htaccess bahkan diperlukan di direktori wp-admin?
Jawaban:
UPDATE : Ketika saya pertama kali memposting jawaban saya, saya melewatkan inti dari pertanyaan; jawaban saya adalah tentang
.htaccess
keamanan secara umum dan sekarang terdaftar di bawah garis ganda (lihat ke bawah jika itu menarik minat Anda.) Sayangnya saya tidak memiliki pengalaman khusus dengan pengamanan/wp-admin/
menggunakan.htaccess
jadi saya hanya akan daftar dua sumber daya yang akan saya kejar kapan dan jika Saya membutuhkannya:Yang pertama merekomendasikan yang berikut ini (dan ini adalah beberapa diskusi tentangnya .)
Yang terakhir memiliki banyak informasi, terutama di komentar, tetapi diakui memberi Anda daftar untuk dibaca bukanlah jawaban yang Anda cari.
Maaf saya tidak bisa lebih membantu yang satu ini.
========================================
Biasanya WordPress hanya memiliki yang menangani pemrosesan permalink berikut ini dan tidak terkait dengan keamanan:
Baru-baru ini saya telah menemukan plugin WP htacess Control yang mengatur banyak
.htaccess
untuk Anda dan saya lebih menyukainya. Setelah mengubah pengaturannya, ia menambahkan opsi berikut:Itu juga menambahkan opsi-opsi ini yang tentang kinerja bukan keamanan:
Di luar yang satu ini ada beberapa plugin yang belum saya coba tetapi yang berfokus pada keamanan dan yang berinteraksi dengan
.htaccess
- Anda dapat mencobanya masing-masing hanya untuk melihat apa yang mereka lakukan terhadap.htaccess
file:Selain itu, jika Anda ingin mengetahui sumber daya pakar (IMO) # 1 pada keamanan Apache yang terkait dengan WordPress Anda dapat menemukannya di AskApache.com ; Bung hardcore! Blognya tidak akan menyelesaikan masalah " terlalu banyak informasi " Anda, tetapi setidaknya Anda dapat melihatnya sebagai sumber daya yang berwibawa!
Berikut adalah beberapa contoh (walaupun tidak semua yang terkait langsung dengan WordPress semuanya berlaku):
Bagaimanapun, semoga ini membantu.
sumber
Gagasan di baliknya, jika Anda memiliki file yang tergantung di belakang dari upgrade sebelumnya atau untuk serangan zero-day, sistem Anda bisa diretas. Juga mengamankan wp-admin dengan metode lain akan membantu melawan serangan brute-force.
One Idea) Jika hanya Anda mengedit situs Anda dapat membatasi akses ke folder dengan ip melakukan sesuatu seperti
Untuk membuatnya sedikit lebih dapat ditoleransi untuk sistem IP dinamis; Anda harus dapat mengizinkan dari subblock, jadi jika IP pool Anda selalu dari 1.2.3.128 - 1.2.3.255, maka Anda bisa melakukan sesuatu seperti 1.2.3.128/25
Ide lain) memerlukan HTTPS, beri izin ditolak jika mereka mencobanya melalui http. Tapi jangan mengarahkan mereka ke https. Anda dapat menggunakan sertifikat yang ditandatangani sendiri atau dari CA Cert untuk bertahan tanpa membeli.
sumber
Saya selalu menyertakan file .htaccess di wp-admin, bahkan jika saya tidak pernah memasukkan apa pun di dalamnya, karena itu meniadakan file direktori root. Beberapa orang menggunakan file .htaccess wp-admin untuk menyembunyikan seluruh direktori dari semua kecuali satu alamat IP, yang lain menggunakannya untuk kata sandi melindungi direktori.
Namun, kata sandi yang melindungi bagian admin dengan .htaccess akan menonaktifkan komunikasi ajax, karena mereka berinteraksi dengan wp-admin / admin-ajax.php.
Secara umum, saya tidak melihat banyak alasan untuk menambahkan sesuatu ke file admin .htaccess kecuali Anda sangat paranoid. Serangan biasanya menargetkan konten wp.
sumber
saya juga menggunakan sseqlib perpustakaan untuk keamanan lebih dan hacks berbeda di .htacces; lihat tautannya
sumber