5個.htaccess保護WordPress網站方式

您是否正在為您的 WordPress 網站尋找一些有用的 .htaccess保護網站技巧。.htaccess是一個強大的設定文件,它允許你在你的網站上做很多的事情。

在本文中,我們將向您展示一些透過.htaccess去保護WordPress網站的技巧 。

什麼是 .htaccess 以及如何編輯它?

htaccess 文件屬於一個網頁伺服器的配置文件。它允許你定義你的伺服器遵循你為的規則。

.htaccess 文件位於你的 WordPress 根目錄中。你需要使用一個FTP客戶端連接到你的網站來編輯它。 (一般於根目錄並沒有看到的話,請打開你FTP客戶端的顯示隱藏文件)

1. 透過.htaccess限制IP進入WordPress後台

首先到 whatismyip.com 查看現在您的IP位置 (My Public IPv4 is: xx.xx.xx.xx)

然後到網站根目錄的.htaccess添加以下代碼

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xx.xx.xx.xx
</Files>

**記得將Allow from的xx更改成剛才所得到的IP位置

然後你就會發現您的wp-admin或wp-login.php是只有您的IP位置有權限瀏覽的。

2. 禁止瀏覽目錄

目錄瀏覽是指當您使用Web 瀏覽器訪問網站而不是網頁時,您會看到文件和文件夾列表。
雖然一般著重安全的寄存服務供應商已禁止任何人瀏覽目錄,但總有一些供應商漏掉這個重要的一環。

如果沒有禁止的話,將會令你網站上所有內容都糟到洩露,假設您有一個具有以下的網站”www.yoursitename.com”並且你創建了一個名為private的文件夾。如果該網站啟用瀏覽目錄,黑客只需在瀏覽器中輸入http://www.yoursitename.com/private/即可輕鬆訪問private 中的所有文件。

至於如何禁止?十分簡單只需要到.htaccess新增以下代碼就好。

Options -Indexes

3. 保護您的WordPress設定檔文件

WordPress中最重要的文件,我覺得絕對非wp-config.php莫屬,它含有你WordPress的數據庫詳細資料。

為了保護你的wp-config.php你只需將此代碼添加到您的 .htaccess 文件中:

<files wp-config.php>
order allow,deny
deny from all
</files>

4. 利用.htaccess禁止使用XML-RPC

每個 WordPress 安裝都帶有一個名為 xmlrpc.php 的文件。此文件允許第三方應用程序連接到您的 WordPress 站點。大多數 WordPress 安全專家建議,如果您沒有使用任何第三方應用程序,那麼您應該禁用此功能。

有多種方法可以做到這一點,其中之一是將以下代碼添加到您的 .htaccess 文件中:

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

5. 阻止WordPress作者掃描攻擊

蠻力攻擊中使用的一種常見技術是在 WordPress 站點上運行作者掃描,然後嘗試破解這些用戶名的密碼。
例如你的網站是使用ebuildhost(管理員權限)來發佈文章,當黑客掃瞄到你的用戶名就可以進行蠻力攻擊。

您可以通過將以下代碼添加到 .htaccess 文件來阻止此類掃描:

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans 

希望本文能幫助您學習 WordPress 最有用的 .htaccess 技巧。

這只是常見的5種htaccess用法,當然坊間可能還有其他方式,如果你知道的話歡迎留言告訴我們!

如果您喜歡這篇文章,請追蹤及點讚我們的Facebook給我們支持。

分享至:
Share on facebook
Share on twitter
Share on pinterest
Share on linkedin