Segurança e .htaccess

Há cerca de um mês, iniciei um blog WordPress em um servidor hospedado relacionado a um hobby. Então, eu sou novo nisso no momento.

Como estou preocupado com a segurança, uma coisa que fiz foi instalar o plug-in WP Security Scan. De acordo com os resultados do plug-in, meu site faz check-out, exceto que eu recebo isso nos resultados como uma bandeira vermelha:

O arquivo .htaccess não existe em wp-admin / (eu ssh'd lá e ele não existe)

Ok, fiz uma pesquisa considerável sobre o assunto e encontrei muitas informações em .htaccess. Passei pelo Hardening WordPress no site WordPress.org, etc. E também deparei com este artigo: http://digwp.com/2010/07/wordpress-security-lockdown/

Enfim, basicamente fiquei confuso com a infinidade de informações disponíveis.

O que deve conter o arquivo .htaccess no wp-admin? Eu li que esse arquivo .htaccess deve proteger com senha o diretório wp-admin e também li que isso pode causar problemas de funcionalidade.

Ajuda com isso é muito apreciada.

Obrigado. -wdypdx22

Atualização Ok, então não estou logado no meu blog e usando um computador diferente do habitual. Entro no URL www.mysite.com/wordpress/wp-admin/ e há um redirecionamento para o login. Se é isso o que acontece, então um arquivo htaccess é necessário no diretório wp-admin?

ATUALIZAÇÃO : Quando publiquei minha resposta, perdi o cerne da questão; minha resposta foi sobre.htaccesssegurança em geral e agora está listada abaixo da linha dupla (veja se isso lhe interessa.) Infelizmente, não tenho experiência específica com a segurança do/wp-admin/uso,.htaccessentão listarei os dois recursos que procurarei quando e se Eu preciso disso:

• Endurecendo o WordPress com .htaccess
• Proteção de senha do AskApache, para WordPress

O primeiro recomenda o seguinte (e aqui estão algumas discussões sobre o assunto ).

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Este último possui muitas informações, principalmente nos comentários, mas admitir que fornecer uma lista para ler não é a resposta que você estava procurando.

Desculpe, eu não poderia ter sido mais útil neste.

========================================

Normalmente, o WordPress tem apenas o seguinte, que processou o processamento de links permanentes e não está relacionado à segurança:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Recentemente, encontrei o plug-in WP htacess Control, que gerencia muito de .htaccessvocê e eu gosto bastante. Após ajustar as configurações, foram adicionadas as seguintes opções:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Ele também adicionou essas opções que tratam do desempenho, e não da segurança:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Além deste, existem alguns plugins que eu não tentei, mas focados na segurança e com os quais interagem .htaccess- você pode experimentá-los apenas para ver o que eles fazem no .htaccessarquivo:

• WP htaccess super seguro e rápido ( também )
• BulletProof Security
• O silêncio é a Guarda de Ouro
• WP-BlockYou
• Stealth Login
• Autenticação HTTP
• AskApache Password Protect

Além disso, se você quiser conhecer o recurso especialista (IMO) nº 1 em segurança do Apache relacionado ao WordPress, você pode encontrá-lo no AskApache.com ; cara é hardcore! O blog dele não resolverá o problema de " muita informação ", mas pelo menos você poderá vê-lo como um recurso autoritário!

Aqui estão alguns exemplos (embora nem todos estejam diretamente relacionados ao WordPress, todos são aplicáveis):

• Ajustes avançados do wp-config.php do WordPress
• Exemplo .htaccess para WordPress
• WordPress avançado 404
• Truques Mod_Security .htaccess
• .htaccess bloqueia spam, hackers e senha protegem o blog

Enfim, espero que isso ajude.

A idéia por trás disso, se você tiver arquivos estrangulados pendurados em atualizações anteriores ou para ataques de dia zero, seu sistema poderá ser invadido. Também proteger o wp-admin por outro método ajudará contra ataques de força bruta.

Uma idéia) Se for apenas você editando o site, poderá limitar o acesso à pasta pelo ip, fazendo algo como

<Files *>
Order deny,allow
Deny from All
Allow from 1.2.3.4
</Files>

Para torná-lo um pouco mais tolerável para sistemas IP dinâmicos; você deve poder permitir a partir de um sub-bloco; portanto, se o pool de IPs for sempre de 1.2.3.128 a 1.2.3.255, você poderá fazer algo como 1.2.3.128/25

Outra idéia) exigem HTTPS, dê uma permissão negada se tentarem por http. Mas não os redirecione para o https. Você pode usar um certificado autoassinado ou um da CA Cert para sobreviver sem comprar um.

Eu sempre incluo um arquivo .htaccess no wp-admin, mesmo que nunca coloque nada nele, pois ele nega o arquivo do diretório raiz. Algumas pessoas usam o arquivo wp-admin .htaccess para ocultar o diretório inteiro de todos os endereços IP, exceto um, enquanto outros o usam para proteger com senha o diretório.

No entanto, a proteção por senha da seção admin com .htaccess desabilitará as comunicações do ajax, pois elas interagem com o wp-admin / admin-ajax.php.

Geralmente, não vejo muitos motivos para adicionar nada ao arquivo .htaccess do administrador, a menos que você seja extremamente paranóico. Os ataques geralmente têm como alvo o conteúdo wp.

eu também uso a biblioteca sseqlib para obter mais segurança e hacks diferentes nos .htacces; veja os links

• sseq-lib
• Exemplo de .htaccess