Segurança e .htaccess

8

Cerca de um mês atrás eu comecei um blog WordPress em um servidor hospedado relacionado a um hobby. Então, eu sou novo nisso no presente.

Como estou preocupado com a segurança, uma coisa que fiz foi instalar o plugin WP Security Scan. De acordo com os resultados do plug-in, o meu site faz check-out, exceto que recebo isso nos resultados como um sinalizador vermelho:

  

O arquivo .htaccess não existe no wp-admin / (eu ssh'd ali e ele não existe)

Ok, então eu fiz uma pesquisa considerável sobre o assunto e encontrei muita informação sobre o .htaccess. Já passei por endurecimento do WordPress no site WordPress.org, etc. E também corri para este artigo: enlace

De qualquer forma, eu basicamente me confundi com a infinidade de informações disponíveis.

O que deve conter o arquivo .htaccess no wp-admin? Eu li que esse arquivo .htaccess deve proteger por senha o diretório wp-admin e também li que isso pode causar a funcionalidade problemas.

Ajuda com isso é muito apreciada.

Obrigado. -wdypdx22

Atualizar Ok, não estou conectado ao meu blog e usando um computador diferente do normal. Eu entro na URL www.mysite.com/wordpress/wp-admin/ e há um redirecionamento para o login. Se é isso que acontece, então é necessário um arquivo htaccess no diretório wp-admin?

    
por wdypdx22 12.08.2010 / 19:28

4 respostas

8

UPDATE : Quando publiquei a minha resposta pela primeira vez, perdi o cerne da questão; minha resposta foi sobre .htaccess security em geral e agora está listada abaixo da linha dupla (olhe para baixo se interessar a você.) Infelizmente não tenho experiência específica em garantir /wp-admin/ usando .htaccess , então simplesmente listarei os dois recursos que vou buscar quando e se eu precisar:

O primeiro recomenda o seguinte (e aqui é alguma discussão sobre o assunto .)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

O último tem muita informação, especialmente nos comentários, mas admitir que você tenha uma lista para ler não é a resposta que você estava procurando.

Desculpe, não pude ter sido mais útil nesse assunto.

========================================

Normalmente, o WordPress tem apenas o seguinte, que processou o processamento permalink e não está relacionado à segurança:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Recentemente, eu encontrei o Plugin de controle de controle WP que gerencia muito .htaccess para você e eu gosto muito disso. Depois de ajustar as configurações, adicionou as seguintes opções:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Ele também adicionou essas opções sobre desempenho em vez de segurança:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Além deste, existem alguns plugins que eu não tentei, mas que estão focados em segurança e que interagem com .htaccess - você pode tentar cada um deles apenas para ver o que eles fazem no arquivo .htaccess :

Além disso, se você quiser conhecer o recurso especialista (IMO) # 1 em segurança do Apache relacionada ao WordPress você pode encontrá-lo em AskApache.com ; cara é hardcore! Seu blog não vai resolver o seu problema " muita informação ", mas pelo menos você pode vê-lo como um recurso autoritário!

Aqui estão alguns exemplos (embora nem todos sejam relacionados diretamente ao WordPress, todos são aplicáveis):

De qualquer forma, espero que isso ajude.

    
por MikeSchinkel 12.08.2010 / 20:27
4

A ideia por trás disso, se você tem arquivos estrangulados pendurados em atualizações passadas ou ataques de dia zero, seu sistema pode ser invadido. Também proteger o wp-admin por outro método ajudará contra ataques de força bruta.

Uma ideia) Se for só você editando o site, você pode limitar o acesso à pasta por ip fazendo algo como

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Para torná-lo um pouco mais tolerável para sistemas IP dinâmicos; você deve ser capaz de permitir a partir de um sub-bloco, então se você pool IP é sempre de 1.2.3.128 - 1.2.3.255, então você poderia fazer algo como 1.2.3.128/25

Outra ideia) requer HTTPS, dê uma permissão negada se ela tentar por http. Mas não os redirecione para os https. Você pode usar um certificado autoassinado ou um do CA Cert para obter sem comprar um.

    
por Ryan Gibbons 12.08.2010 / 20:32
0

Eu sempre incluo um arquivo .htaccess no wp-admin, mesmo que eu nunca coloque nada nele, já que ele nega o arquivo do diretório raiz. Algumas pessoas usam o arquivo .htaccess wp-admin para esconder o diretório inteiro de todos, mas um endereço IP, outros usam para proteger o diretório com senha.

No entanto, a senha que protege a seção administrativa com .htaccess desabilitará as comunicações ajax, já que elas interagem com o wp-admin / admin-ajax.php.

Geralmente, não vejo muita razão para adicionar nada ao arquivo .htaccess do administrador, a menos que você seja extremamente paranóico. Os ataques geralmente visam o conteúdo wp de qualquer maneira.

    
por John P Bloch 12.08.2010 / 20:21
0

eu também uso a biblioteca sseqlib para mais segurança e hacks diferentes nas .htacces; veja os links

por bueltge 13.08.2010 / 16:14