Il y a environ un mois, j'ai commencé un blog WordPress sur un serveur hébergé lié à un passe-temps. Donc, je suis nouveau pour le moment.
Comme je suis préoccupé par la sécurité, une chose que j'ai faite a été d'installer le plugin WP Security Scan. Selon les résultats du plugin, mon site vérifie sauf que j'obtiens ceci dans les résultats sous la forme d'un drapeau rouge:
Le fichier .htaccess n'existe pas dans wp-admin / (j'y ai intégré et il n'existe pas)
Ok, j'ai donc fait une recherche considérable sur le problème et trouvé trop d'informations sur .htaccess. J'ai parcouru Hardening WordPress sur le site WordPress.org, etc. Et j'ai également rencontré cet article: http://digwp.com/2010/07/wordpress-security-lockdown/
Quoi qu'il en soit, je me suis essentiellement confondu avec la pléthore d'informations disponibles.
Que doit contenir le fichier .htaccess dans wp-admin? J'ai lu que ce fichier .htaccess devrait protéger par mot de passe le répertoire wp-admin et j'ai également lu que cela pouvait causer des problèmes de fonctionnalité.
Votre aide est grandement appréciée.
Merci. -wdypdx22
Mettre à jour Ok, donc je ne suis pas connecté à mon blog et j'utilise un ordinateur différent de d'habitude. J'entre l'url www.mysite.com/wordpress/wp-admin/ et il y a une redirection vers la connexion. Si c'est ce qui se passe, un fichier htaccess est-il même nécessaire dans le répertoire wp-admin?
Réponses:
MISE À JOUR : Lorsque j'ai posté ma réponse pour la première fois, j'ai raté le nœud de la question; ma réponse portait sur la
.htaccess
sécurité en général et est maintenant répertoriée sous la double ligne (regardez en bas si cela vous intéresse.) Malheureusement, je n'ai pas d'expérience spécifique en matière de sécurisation de l'/wp-admin/
utilisation.htaccess
, je vais donc simplement énumérer les deux ressources que je poursuivrai quand et si J'en ai besoin:Le premier recommande ce qui suit (et voici quelques discussions à ce sujet .)
Ce dernier a beaucoup d'informations, notamment dans les commentaires, mais certes vous fournir une liste à lire n'est pas la réponse que vous cherchiez.
Désolé, je n'aurais pas pu être plus utile sur celui-ci.
========================================
En règle générale, WordPress n'a que les éléments suivants qui gèrent le traitement de permalien et ne sont pas liés à la sécurité:
Récemment, j'ai trouvé le plugin WP htacess Control qui en gère beaucoup
.htaccess
pour vous et je l'aime beaucoup. Après avoir modifié ses paramètres, il a ajouté les options suivantes:Il a également ajouté ces options qui concernent les performances plutôt que la sécurité:
Au-delà de celui-ci, il y a des plugins que je n'ai pas essayés mais qui sont axés sur la sécurité et qui interagissent avec
.htaccess
- vous pouvez les essayer chacun juste pour voir ce qu'ils font au.htaccess
fichier:Au-delà de cela, si vous voulez connaître la ressource expert (IMO) # 1 sur la sécurité Apache liée à WordPress, vous pouvez la trouver sur AskApache.com ; mec est hardcore! Son blog ne résoudra pas votre problème " trop d'informations " mais au moins vous pouvez le voir comme une ressource faisant autorité!
Voici quelques exemples (bien que tous ne soient pas directement liés à WordPress, ils sont tous applicables):
Quoi qu'il en soit, j'espère que cela vous aidera.
la source
L'idée derrière cela, si vous avez des fichiers étranglés derrière des mises à niveau précédentes ou pour des attaques zero-day, votre système pourrait être piraté. Sécuriser également le wp-admin par une autre méthode aidera contre les attaques par force brute.
Une idée) Si c'est juste vous qui éditez le site, vous pouvez limiter l'accès au dossier par ip en faisant quelque chose comme
Pour le rendre un peu plus tolérable pour les systèmes IP dynamiques; vous devriez pouvoir autoriser à partir d'un sous-bloc, donc si votre pool IP est toujours de 1.2.3.128 à 1.2.3.255, alors vous pourriez faire quelque chose comme 1.2.3.128/25
Une autre idée) nécessite HTTPS, donnez une autorisation refusée s'ils l'essaient sur http. Mais ne les redirigez pas vers https. Vous pouvez utiliser un certificat auto-signé ou un certificat CA Cert pour vous en tirer sans en acheter un.
la source
J'inclus toujours un fichier .htaccess dans wp-admin, même si je n'y mets jamais rien, car il annule le fichier du répertoire racine. Certaines personnes utilisent le fichier wp-admin .htaccess pour masquer le répertoire entier de toutes les adresses IP sauf une, d'autres l'utilisent pour protéger le répertoire par mot de passe.
Cependant, la protection par mot de passe de la section admin avec .htaccess désactivera les communications ajax, car elles interagissent avec wp-admin / admin-ajax.php.
En général, je ne vois pas beaucoup de raisons d'ajouter quoi que ce soit au fichier admin .htaccess, sauf si vous êtes extrêmement paranoïaque. Les attaques ciblent généralement le contenu wp de toute façon.
la source
j'utilise également la bibliothèque sseqlib pour plus de sécurité et différents hacks dans les .htacces; voir les liens
la source