it-swarm-ko.tech

보안 및 .htaccess

약 한 달 전에 저는 취미와 관련된 호스팅 된 서버에서 WordPress 블로그를 시작했습니다. 그래서, 저는 현재 이것에 대해 새로운 것입니다.

보안에 관심이 있으니 한 가지 방법은 플러그인 WP Security Scan을 설치하는 것입니다. 플러그인 결과에 따르면, 내 사이트는 나가 붉은 깃발로 결과에서 이것을 제외하고 체크 아웃한다 :

파일 .htaccess가 wp-admin /에 존재하지 않습니다. (거기에 ssh했는데 존재하지 않습니다.)

좋아, 그래서 문제에 대한 상당한 조사를했고 .htaccess에 대한 너무 많은 정보를 찾는다. 나는 워드 프레스 (WordPress.org) 사이트 등에서 워드 프레스 (WordPress)를 강화 (Hardening) 했었고이 기사를 읽었습니다. http://digwp.com/2010/07/wordpress-security-lockdown/

어쨌든, 나는 기본적으로 이용 가능한 많은 정보와 혼동을 느꼈습니다.

wp-admin의 .htaccess 파일에는 무엇이 포함되어 있어야합니까?이 .htaccess 파일은 wp-admin 디렉토리를 암호로 보호해야한다는 것을 읽었으며 기능상의 문제가 발생할 수 있음을 읽었습니다. .

이것에 대한 도움은 크게 감사드립니다.

감사. -wdypdx22

업데이트좋아, 그래서 내 블로그에 로그인하지 않고 평소보다 다른 컴퓨터를 사용합니다. www.mysite.com/wordpress/wp-admin/이라는 URL을 입력하면 로그인 할 수있는 리디렉션이 있습니다. 그게 무슨 일이 일어나면 htaccess 파일이 wp-admin 디렉토리에 필요한 것인가?

8
wdypdx22

UPDATE : 답변을 처음 게시했을 때 질문의 요점을 놓쳤습니다. 내 대답은 일반적으로 _.htaccess_ 보안에 관한 것이며 이제 이중 행 아래에 나열되어 있습니다 (관심있는 경우 아래를보십시오). 불행히도 _/wp-admin/_를 사용하여 _.htaccess_ 보안에 대한 특별한 경험이 없습니다. 필요할 때 언제 필요할지 추구 할 두 가지 리소스를 간단히 나열하겠습니다.

첫 번째는 다음을 권장합니다 (여기서는 일부 토론 입니다).

_<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>
_

후자는 특히 주석에 많은 정보를 가지고 있지만 분명히 읽을 목록을 제공하는 것은 당신이 찾고있는 대답이 아닙니다.

이 문제에 대해 더 도움을 줄 수 없었습니다.

==========================================

일반적으로 WordPress는 다음과 같이 영구 링크 처리를 처리했으며 보안과 관련이 없습니다.

_# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
_

최근 나는 당신을 위해 많은 _.htaccess_를 관리하는 WP htacess Control 플러그인을 발견했으며 오히려 그것을 좋아합니다. 설정을 조정 한 후 다음 옵션을 추가했습니다.

_# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>
_

또한 보안 대신 성능에 관한 다음 옵션을 추가했습니다.

_# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>
_

이것 외에도 저도 시도하지 않았지만 보안에 중점을두고 _.htaccess_와 상호 작용하는 플러그인이 있습니다-_.htaccess_ 파일에 대한 작업을 확인하기 위해 각각 시도 할 수 있습니다.

그 외에도 WordPress와 관련된 Apache 보안 에 대한 (IMO) # 1 전문가 리소스를 알고 싶다면 AskApache.com ; 친구는 하드 코어입니다! 그의 블로그는 " 너무 많은 정보 "문제를 해결하지는 못하지만 최소한 권위있는 자료로 볼 수 있습니다!

다음은 몇 가지 예입니다 (모두 WordPress와 관련이 있지만 모두 적용 가능함).

어쨌든 이것이 도움이되기를 바랍니다.

8
MikeSchinkel

그 배후에있는 생각은 과거의 업그레이드 나 제로 데이 공격으로부터 파일을 교살 해 버리면 시스템이 해킹 당할 수 있다는 것입니다. 또한 다른 방법으로 wp-admin을 보호하면 무차별 대입 공격에 도움이됩니다.

하나의 아이디어) 만약 당신이 사이트를 편집한다면 당신은 ip와 같은 것을하는 폴더에 대한 접근을 제한 할 수있다.

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

유동 IP 시스템에서 좀더 견딜 수 있도록; 하위 블록을 허용 할 수 있어야합니다. IP 풀이 항상 1.2.3.128 - 1.2.3.255이면 1.2.3.128/25와 같은 것을 할 수 있습니다

또 다른 아이디어) HTTPS가 필요합니다. http를 통해 시도 할 경우 허락을 거부합니다. https로 리디렉션하지 마십시오. 자체 서명 한 인증서 나 CA Cert의 인증서를 사 용하지 않고도 사용할 수 있습니다.

4
Ryan Gibbons

Wp-admin에 .htaccess 파일을 포함시킵니다. 루트 디렉토리의 파일을 무효화하기 때문에, 아무 것도 넣지 않아도 항상 포함합니다. 어떤 사람들은 wp-admin .htaccess 파일을 사용하여 하나의 IP 주소를 제외한 모든 디렉토리에서 전체 디렉토리를 감추고, 다른 사람들은 디렉토리를 암호로 보호하기 위해이 디렉토리를 사용합니다.

그러나 admin 섹션을 .htaccess로 보호하면 wp-admin/admin-ajax.php와 상호 작용하므로 ajax 통신이 비활성화됩니다.

일반적으로 나는 당신이 극도로 편집증 적이 아닌 이상 관리자 .htaccess 파일에 아무 것도 추가 할 필요가 없습니다. 어쨌든 공격은 대개 wp 콘텐츠를 대상으로합니다.

0
John P Bloch