Herkese açık olmayan kaynakları gizleyerek wordpress güvenliğini artırın


9

Wordpress'ten yeniyim ve kamu dışı kaynakları gizleyerek wordpress multisite güvenliğini artırmak istiyorum. wp-admin, wp-config vb.

Ayarım çalışıyor gibi görünüyor, ancak bu ayarın bir şeyleri kırabileceğini bilmiyorum (temel özellikler, popüler eklenti, vb.)

  1. Ayarlarım genel anlamda iyi mi?
  2. Ayarlarım gerçek güvenliği artırır mı yoksa zamanımı boşa mı harcıyorum?

httpd-vhosts.conf (apache)

# Disallow public access php for .htaccess and .htpasswd files
<Files ".ht*">
    Require all denied
</Files>

# Disallow public access for *.php files in upload directory
<Directory "/htdocs/wp-content/uploads/">
   <Files "*.php">
       deny from all
   </Files>
</Directory>

# Disallow public access for... 
<Files "wp-config.php">
   order allow,deny
   deny from all
</Files>

<Files "readme.html">
   order allow,deny
   deny from all
</Files>

<Files "license.html">
   order allow,deny
   deny from all
</Files>

<Files "license.txt">
   order allow,deny
   deny from all
</Files>

# Because we do not use any remote connections to publish on WP
<Files "xmlrpc.php">
  order allow,deny
  deny from all
</Files>

.htaccess

RewriteEngine On
RewriteBase /

# List of ACME company IP Address
SetEnvIf Remote_Addr "^127\.0\.0\."      NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME

# Disallow access to wp-admin and wp-login.php
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php$ # allow fo admin-ajax.php
RewriteCond %{ENV:NETWORK} !^ACME$ # allow for ACME
RewriteCond %{SCRIPT_FILENAME} ^(.*)?wp-login\.php$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin\/
RewriteRule ^(.*)$ - [R=403,L]

# Block user enumeration
RewriteCond %{REQUEST_URI}  ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ / [L,R=301]

# Block the include-only files.
# see: http://codex.wordpress.org/Hardening_WordPress (Securing wp-includes)
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
#RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] # Comment for Multisite
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

function.php

<?php
// Remove unnecessary meta tags
// <meta name="generator" content="WordPress 4.1" />
remove_action('wp_head', 'wp_generator');

// Disable WordPress Login Hints
function no_wordpress_errors(){
    return 'GET OFF MY LAWN !! RIGHT NOW !!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

wp-config.php

<?php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

3
Eğer yeni ve emin değilseniz o zaman Sucuri Güvenlik iThemes Güvenlik Wordfence Güvenlik ... o birden fazla seçenek var gibi eklentileri kontrol (O i eklentileri kullanmayı zorluyorum anlamına gelmiyor ama sağlam veri tabanını).
bravokeyl

Yanıtlar:


1

Kullanmak remove_action()gereksiz bağlantıları kaldırmak olabilir, örneğin:

remove_action('wp_head', 'rsd_link'); //removes EditURI/RSD (Really Simple Discovery) link.
remove_action('wp_head', 'wlwmanifest_link'); //removes wlwmanifest (Windows Live Writer) link.
remove_action('wp_head', 'wp_generator'); //removes meta name generator.
remove_action('wp_head', 'wp_shortlink_wp_head'); //removes shortlink.
remove_action( 'wp_head', 'feed_links', 2 ); //removes feed links.
remove_action('wp_head', 'feed_links_extra', 3 );  //removes comments feed. 

1
Lütfen kod gönderirken kod formatını kullanın.
bravokeyl

-1

Sitenizi cPanel'de mi çalıştırıyorsunuz?

Öyleyse, kontrol panelinizi keşfedin ve birkaç harika modül göreceksiniz.

  • hotlink koruması
  • sülük koruması

Gelişmiş sekmesi altında dizinleri arayın . Tıkladıktan sonra kaynakları kolayca özelleştirebilir ve "halka açık olmayanları gizleyebilirsiniz".

resim açıklamasını buraya girin


sıcak bağlamanın güvenlikle ilgisi yoktur. Mükemmel bir şekilde güvende olabilir ve sıcak bağlantılara ve "
sülüklere

Bu ifadeyle yanlışsınız. Birden fazla optimizasyon tekniği yayınlamak için bir indirime sahip olduğuma inanamıyorum. (facepalm)
Iroh Amca

1
optimizasyon ve güvenlik arasındaki farkı bilmiyorsanız bu bir facepalm :(.
Mark Kaplun
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.