5 простых советов по повышению безопасности сайта с помощью файла .htaccess

Примечание: Этот текст может содержать некоторые партнерские ссылки, а это значит, что я зарабатываю небольшую комиссию без каких-либо дополнительных затрат с вашей стороны, если вы воспользуетесь этими ссылками. Спасибо за понимание и поддержку.

Этот файл чаще всего создается автоматически в основной директории вашего сайта, там, где лежат системные папки WordPress: wp-admin, wp-content, wp-includes.

Файл .htaccess создается автоматически тогда, когда вы первый раз после установки системы заходите в раздел Параметры (Настройки) => страница Постоянные ссылки.

Когда вы выбираете любой вариант ссылок ваших страниц кроме варианта по умолчанию и нажимаете кнопку ‘Сохранить’, происходит автоматическое создание файла .htaccess.

Основная функция (задача) этого файла — сохранение дополнительных команд для вашего сервера на хостинге вашего сайта. Эти команды записаны специальным командным языком сервера, и только специалисты могут правильно описать ту или иную команду.

Так как большинство владельцев сайтов на WordPress — обычные юзеры, среди них я думаю, мало найдется специалистов даже правильно прочесть ту или иную команду (настройку), записанную в этом файле.

Я не буду вам читать лекцию или описывать правила (команды) важных функций, с помощью которых можно повысить защиту вашего сайта на WordPress, а значит, спокойней спать в будущем.

Я перечислю несколько простых функций, которые можно добавить в файл .htaccess и с их помощью надежней защитить свой сайт о возможного взлома системы.

Вам только остается скопировать код и вставить в ваш файл .htaccess.

Важно! будьте очень внимательны при копировании и добавлении кода. Любая незначительная ошибка, например. потеря символа < или # может привести к тому, что ваш сайт перестанет работать. Поэтому сначала скопируйте файл .htaccess или перенесите его через FTP-клиента (или файловый менеджер на сервере) и сохраните на своем компьютере, и только после сохранения копии файла приступайте к его изменениям.

Совет первый — Защита файла wp-config.php

Этот файл — один из самых важных. В нем хранятся все ключи для доступа и подключения вашей базы данных, а также другие настройки параметров вашего сайта. Взлом этого файла и вы потеряете все данные вашего сайта. Его можно защитить от редактирования и доступа посторонними. Для этого добавьте в файл .htaccess такой код:

<files wp-config.php>
order allow,deny
deny from all
</files>

Конечно, файл останется для вас доступен через FTP или файловый менеджер на хостинге.

Советую прочитать еще:  Как создать идеальный сайт: 5 основных факторов

Совет второй — запрет просмотра каталога (папки)

Системные папки WordPress — никто не должен их просматривать через браузер! Для этого существует простая команда:

Options All-Indexes

Совет третий — закройте возможность ссылок на других сайтах на ваши файлы изображений

Один из способов воровства контента — это добавления ваших изображений на других сайтах через обычную внешнюю ссылку на вашу фото или картинку. Чтобы запретить эту возможность, добавьте в файл .htaccess такую команду:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?yoursite.com/.*$ [NC]
RewriteRule .(gif|jpg)$ http://www.yoursite.com/hotlink.gif [R,L]

Не забудьте заменить yoursite.com на адрес вашего сайта, а также создайте пустой файл изображения под именем hotlink.gif (можно другое расширение файла, например: PNG) и положите это изображение в основную директорию сайта.

Совет четвертый — ограничить доступ к вашей админке

Существует несколько способов ограничить доступ в вашу админку (консоль) администратора. На мой взгляд, самый эффективный — доступ через IP-адрес.

Создайте еще один файл .htaccess и добавьте в него такой код:

order deny,allow
allow from 192.168.5.1
deny from all

Узнайте свой IP-адрес (http://2ip.ru) и замените в примере выше. Если у вас несколько администраторов сайта — значит, добавьте все IP через запятую, например:

192.168.5.1, 192.168.5.15

Этот файл надо положить в папку /wp-admin.

Совет пятый — защитите свой .htaccess

Нет смысла защищать сайт, если не защищен сам файл .htaccess. Если посетитель захочет просмотреть файл через адресную строку, сайт должен выдать ему ошибку 403, но — стоит сделать защите более надежную. Давайте мы усилим пояс безопасности и добавим такую команду:

<Files .htaccess>
order allow,deny
deny from all
</Files>

Как говорят, лучше пере… есть, чем не…. до спать 🙂

И еще: эти четыре несложные команды действительно могут существенно повысить безопасность вашего сайта на WordPress, но — для защиты все средства хороши. Не поленитесь усилить защиту и другими доступными инструментами.

Советую прочитать еще:  Совет недели: 8 проверенных способов продвинуть старые записи

Какими? В следующий раз обязательно расскажу.

Важно! Эта запись может содержать ссылки на плагины, которые к моменту вашего чтения и скачивания могут работать не корректно. Будьте внимательны.

Добавить комментарий

Ваш email нигде не будет показан. Обязательные поля помечены *