15 WordPress 사이트에 유용한 .htaccess 스 니펫
가있는 잘 구성된 .htaccess 파일 네가 원한다면 결정적이야. 보안 강화 과 취약점을 줄인다. 귀하의 워드 프레스 사이트에. 일반적으로, 사용자 정의 .htaccess 파일 사이트가 해킹 당하지 않도록하는 것이지만 리디렉션을 처리하고 캐시 관련 작업을 관리하는 훌륭한 방법이기도합니다..
.htaccess는 구성 파일 Apache 웹 서버에서 사용됩니다. 대부분의 WordPress 사이트 아파치 서버에서 실행, 작은 부분이 Nginx에 의해 구동. 이 기사에서는 .htaccess 코드 스 니펫 수집, 대부분은 웹 사이트를 보호하는 데 사용할 수 있으며 나머지는 다른 유용한 기능을 구현합니다..
잊지 마라. .htaccess 파일을 백업하십시오. 편집하기 전에 언제든지 수정할 수 있습니다. 이전 버전으로 돌아 가기 무언가 잘못되면.
그리고 구성 파일을 손대지 않는 사람이라면 방탄 보안 가장 신뢰할 수있는 플러그인 (아마도 가장 오래된 플러그인) 무료 .htaccess 보안 플러그인 시장에.
기본 WP .htaccess를 만듭니다.
.htaccess는 디렉토리별로 이는 각 디렉토리가 자체 .htaccess 파일을 가질 수 있음을 의미합니다. 쉽게 당신의 워드 프레스 사이트 .htaccess 파일이 아직 없습니다.. 루트 디렉토리에서 .htaccess 파일을 찾지 못하면 빈 텍스트 파일을 만든다. 이름을 .htaccess.
아래에서 기본 .htaccess WordPress가 사용합니다. 이 코드가 필요할 때마다 WordPress Codex에서 신속하게 찾을 수 있습니다. WP Multisite에는 다른 .htaccess가 있습니다..
# BEGIN WordPressRewriteEngine On RewriteBase / RewriteRule ^ index \ .php $ - [L] RewriteCond % REQUEST_FILENAME! -f RewriteCond % REQUEST_FILENAME! -d RewriteRule. /index.php [L] # 끝 WordPress
로 시작하는 줄 # 의견입니다.. 아무것도 편집하지 마십시오. 줄 사이 # BEGIN WordPress 과 # 끝 WordPress. 사용자 지정 .htaccess 규칙 추가 이러한 기본 규칙 아래.
이 기사에서 찾을 수있는 모든 코드 스 니펫 핵심 .htaccess 파일로 이동 루트 디렉토리에 있습니다..
1. 모든 .htaccess 파일에 대한 액세스 거부
아래 코드 액세스를 거부 함 WordPress에 설치된 모든 .htaccess 파일. 이렇게하면 사람들이 당신을 보지 못하게 할 수 있습니다. 웹 서버 구성.
# 모든 .htaccess 파일에 대한 액세스를 거부합니다.순서 허용, 거부 모두 거부 모두 거부
2. WP 구성 보호
그만큼 wp-config.php 파일에 들어있다. 모든 WP 구성, 데이터베이스 로그인 및 암호가 포함됩니다. 모든 사람으로부터 거부하거나 관리자에게 액세스 권한을 부여하십시오..
후자를 선택하면 코멘트 아웃 그만큼 # xx.xx.xx.xxx에서 허용 줄 (remove # 줄의 처음부터) 관리자의 IP 주소를 입력하십시오. 대신에 xx.xx.xx.xxx.
# wp-config를 보호합니다.주문 허용, 거부 xx.xx.xx.xxx에서 허용 # 허용 yy.yy.yy.yyy에서 모두 거부
3. XML-RPC DDoS 공격 방지
WordPress XML-RPC 지원 기본적으로 원격 퍼블리싱을 가능하게하는 인터페이스 가능한. 그러나 해커들이 할 수있는 WP의 가장 큰 보안 취약점 중 하나이기도합니다. DDoS 공격에 악용하다..
이 기능을 사용하고 싶지 않다면 그것을 무능하게하다. 이전과 마찬가지로 주석으로 예외를 추가하십시오. 그만큼 # xx.xx.xx.xxx에서 허용 귀하의 관리자의 IP 주소를 추가하십시오..
# XML-RPC 보호, DDoS 공격 방지주문 거부, 허용 xx.xx.xx.xxx에서 허용 # 허용 yy.yy.yy.yyy에서 모두 거부
4. 관리 영역 보호
그것은 또한 좋은 생각이다. 관리 영역 보호 관리자에게만 액세스 권한을 부여합니다. 여기, 잊지 마라. 적어도 하나를 더하다. “허용하다” 예외 그렇지 않으면 관리자에게 전혀 액세스 할 수 없습니다..
# IP로 관리 영역을 보호합니다. AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress 관리자 액세스 제어"AuthType Basic주문 거부, 모두 허용 거부 xx.xx.xx.xxx 허용 yy.yy.yy.yyy 허용
5. 디렉토리 목록 방지
대부분의 WordPress 사이트는 디렉토리 목록을 비활성화하지 않으므로 누구나 할 수 있습니다. 폴더 및 파일 찾아보기, 미디어 업로드 및 플러그인 파일을 포함합니다. 이것은 거대한 보안 취약점이라고 말할 필요는 없습니다..
아래에서 볼 수 있습니다. 일반적인 WordPress 디렉토리 목록은 다음과 같습니다..
다행히도, 당신은 단지 한 줄의 코드 이 기능을 차단합니다. 이 코드 스 니펫은 403 오류 메시지를 반환합니다. 디렉토리에 액세스하려는 모든 사람에게.
# 디렉토리 목록 옵션을 방지합니다. -Indexes
6. 사용자 이름 열거 방지
WP permalinks가 활성화되어 있다면, 매우 쉽습니다. 사용자 이름을 열거하십시오. 저자 아카이브를 사용합니다. 공개 된 사용자 이름 (관리자의 사용자 이름 포함)은 다음에서 사용할 수 있습니다. 무차별 공격.
아래 코드를 .htaccess 파일에 삽입하십시오. 사용자 이름 열거 방지.
# 사용자 이름 열거를 방지합니다. RewriteCond % QUERY_STRING author = d RewriteRule ^ /? [L, R = 301]
7. 스패머와 봇 차단
때로는 특정 IP 주소에서 액세스 제한. 이 코드 스 니펫은 이미 알고있는 스패머와 봇을 쉽게 차단할 수있는 방법을 제공합니다..
# 스패머와 봇을 차단합니다.주문 허용, 거부 거부 xx.xx.xx.xxx yy.yy.yy.yyy 거부 모두 허용
8. 이미지 핫 링크 방지
보안 위협은 아니지만, 이미지 hotlinking 여전히 성가신 일입니다. 사람들은 단지 허락없이 이미지를 사용하십시오. 그러나 그들은 심지어 당신의 비용으로 그것을한다. 이 몇 줄의 코드를 사용하면 이미지 핫 링크에서 사이트를 보호 할 수 있습니다..
# RewriteCond % HTTP_REFERER! ^ $ RewriteCond % HTTP_REFERER! ^ http : // (www \.)? yourwebsite.com [NC] RewriteCond % HTTP_REFERER! ^ http (NC, F, L)? : // (www \.)? yourwebsite2.com [NC] RewriteRule \ (NC? F, L)
9. 플러그인 및 테마 PHP 파일에 대한 직접 액세스 제한
누군가가 위험 할 수 있습니다. 플러그인과 테마 파일을 직접 호출합니다., 실수로 또는 악의적 인 공격자에 의해 발생합니다. 이 코드 스 니펫 Acunetix 웹 사이트 보안 회사에서 온다.; 블로그 게시물에서이 취약점에 대해 더 많이 읽을 수 있습니다..
# 플러그인 및 테마 디렉토리에서 PHP 파일에 대한 액세스를 제한합니다. RewriteCond % REQUEST_URI! ^ / wp-content / plugins / file / to / exclude \ .php RewriteCond % REQUEST_URI! ^ / wp-content / plugins / directory / to RewriteCond % REQUEST_URI! / wp-content / themes / file / to / exclude \ .php RewriteCond % / RewriteRule wp-content / plugins / (. * \. php) $ - [R = 404, L] $ R $ R $ R
10. 영구적 인 리디렉션 설정
너는 쉽게 할 수있어. 영구적 인 리디렉션 처리 .htaccess로. 먼저 이전 URL, 그 다음에 새 URL 사용자를 리디렉션하려는 페이지를 가리키는.
# 영구 리디렉션 리디렉션 301 / oldurl1 / http://yoursite.com/newurl1 리디렉션 301 / oldurl2 / http://yoursite.com/newurl2
11. 방문자를 유지 관리 페이지로 보냅니다.
우리는이 기술에 대해 여기에서 자세히 썼습니다. 당신은 별도의 유지 관리 페이지 (maintenance.html 예에서) .htaccess 규칙이 작동합니다. 이 코드는 WordPress 사이트를 삽입합니다. 유지 보수 모드로.
# 유지 관리 페이지로 리디렉션RewriteCond % REMOTE_ADDR의 RewriteEngine! ^ 123 \ .456 \ .789 \ .000 RewriteCond % REQUEST_URI! /maintenance.html$ [NC] RewriteCond % REQUEST_URI! \. (jpe? g? png | gif ) [NC] RewriteRule. * /maintenance.html [R = 503, L]
12. WP 포함에 대한 모든 액세스를 제한합니다.
그만큼 / wp-includes / 폴더 핵심 WordPress 파일을 포함합니다. 이는 CMS가 작동하는 데 필요합니다. 사용자가 여기에 액세스하려는 콘텐츠, 플러그인, 테마 또는 기타 콘텐츠가 없습니다. 따라서 보안을 강화하려면 그것에 대한 모든 접근을 제한한다..
# 모든 wp-includes 폴더와 파일을 차단합니다.RewriteRule ^ wp-includes / [^ /] + \. php $ - [F, L] RewriteRule! wp-admin / includes / - [ L] RewriteRule ^ wp-includes / js / tinymce / langs / .+ \ php - [F, L]
13. XSS (Cross-Site Scripting) 차단
다음 코드 스 니펫은 WP Mix에서 제공되며 사이트를 보호합니다. 일반적인 XSS 공격, 즉 스크립트 주입과 전역 변수 및 요청 변수 수정 시도.
# 일부 XSS 공격을 차단합니다.RewriteCond % QUERY_STRING (\ | % 3E) [NC, OR] RewriteCond % QUERY_STRING GLOBALS (= | \ [|| % [0-9A-Z] 0,2) [또는] RewriteCond % QUERY_STRING _REQUEST (= | \ [| \ % [0-9A-Z] 0,2) RewriteRule. * index.php [F, L]
14. 브라우저 캐싱 사용
앞에서 언급했듯이 .htaccess는 보안상의 이유와 리디렉션에 도움이 될뿐만 아니라 캐시 관리. 아래의 코드는 Elegant Themes의 코드 조각이며 브라우저 캐싱을 가능하게한다. 방문자가 특정 종류의 파일 저장, 다음에 방문 할 때 다시 다운로드 할 필요가 없습니다..
# 브라우저 캐싱을 사용합니다.ExpiresActive ExpiresByType 이미지 / jpg "액세스 1 년"ExpiresByType 이미지 / jpeg "액세스 1 년"ExpiresByType 이미지 / gif "액세스 1 년"ExpiresByType 이미지 / png "액세스 1 년"ExpiresByType 텍스트 / CSS "액세스 1 개월"ExpiresByType 응용 프로그램 / pdf "액세스 1 개월"ExpiresByType text / x-javascript "액세스 1 개월"ExpiresByType 어플리케이션 / x-shockwave-flash "액세스 1 개월"ExpiresByType 이미지 / x 아이콘 "액세스 1 년"ExpiresDefault 액세스 2 일 "
15. 사용자 정의 오류 페이지 설정
.htaccess를 사용하여 WordPress 사이트에서 사용자 정의 오류 페이지를 설정할 수 있습니다. 이 방법을 사용하려면 사용자 정의 오류 페이지를 작성하십시오. (custom-403.html, custom-404.html 이 예에서) 그들을 업로드 루트 폴더로 이동.
에 대한 사용자 정의 오류 페이지를 설정할 수 있습니다. 모든 HTTP 오류 상태 코드 (4XX 및 5XX 상태 코드) 원하는.
# 맞춤 오류 페이지를 설정합니다. ErrorDocument 403 /custom-403.html ErrorDocument 404 /custom-404.html
