Cải thiện bảo mật wordpress bằng cách ẩn tài nguyên ngoài công cộng


9

Tôi mới sử dụng wordpress và tôi muốn cải thiện tính bảo mật của wordpress multisite bằng cách ẩn các tài nguyên ngoài công cộng, vd. wp-admin, wp-config, v.v.

Cài đặt của tôi dường như hoạt động, nhưng tôi không biết liệu cài đặt này có thể phá vỡ thứ gì đó không (tính năng cốt lõi, trình cắm phổ biến, v.v.)

  1. Các thiết lập của tôi có tốt theo cách chung không?
  2. Cài đặt của tôi cải thiện bảo mật thực sự hay tôi đang lãng phí thời gian?

httpd-vhosts.conf (apache)

# Disallow public access php for .htaccess and .htpasswd files
<Files ".ht*">
    Require all denied
</Files>

# Disallow public access for *.php files in upload directory
<Directory "/htdocs/wp-content/uploads/">
   <Files "*.php">
       deny from all
   </Files>
</Directory>

# Disallow public access for... 
<Files "wp-config.php">
   order allow,deny
   deny from all
</Files>

<Files "readme.html">
   order allow,deny
   deny from all
</Files>

<Files "license.html">
   order allow,deny
   deny from all
</Files>

<Files "license.txt">
   order allow,deny
   deny from all
</Files>

# Because we do not use any remote connections to publish on WP
<Files "xmlrpc.php">
  order allow,deny
  deny from all
</Files>

.htaccess

RewriteEngine On
RewriteBase /

# List of ACME company IP Address
SetEnvIf Remote_Addr "^127\.0\.0\."      NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME

# Disallow access to wp-admin and wp-login.php
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php$ # allow fo admin-ajax.php
RewriteCond %{ENV:NETWORK} !^ACME$ # allow for ACME
RewriteCond %{SCRIPT_FILENAME} ^(.*)?wp-login\.php$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin\/
RewriteRule ^(.*)$ - [R=403,L]

# Block user enumeration
RewriteCond %{REQUEST_URI}  ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ / [L,R=301]

# Block the include-only files.
# see: http://codex.wordpress.org/Hardening_WordPress (Securing wp-includes)
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
#RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] # Comment for Multisite
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

hàm.php

<?php
// Remove unnecessary meta tags
// <meta name="generator" content="WordPress 4.1" />
remove_action('wp_head', 'wp_generator');

// Disable WordPress Login Hints
function no_wordpress_errors(){
    return 'GET OFF MY LAWN !! RIGHT NOW !!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

wp-config.php

<?php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

3
nếu bạn là người mới và không chắc chắn sau đó kiểm tra plugin như Sucuri Security, iThemes an, Wordfence an ... những có nhiều tùy chọn (Nó không phải là tôi đang buộc bạn phải sử dụng plugin nhưng họ có một userbase rắn).
bravokeyl

Câu trả lời:


1

Sử dụng remove_action()có thể được loại bỏ các liên kết không cần thiết, ví dụ:

remove_action('wp_head', 'rsd_link'); //removes EditURI/RSD (Really Simple Discovery) link.
remove_action('wp_head', 'wlwmanifest_link'); //removes wlwmanifest (Windows Live Writer) link.
remove_action('wp_head', 'wp_generator'); //removes meta name generator.
remove_action('wp_head', 'wp_shortlink_wp_head'); //removes shortlink.
remove_action( 'wp_head', 'feed_links', 2 ); //removes feed links.
remove_action('wp_head', 'feed_links_extra', 3 );  //removes comments feed. 

1
Vui lòng sử dụng định dạng mã khi bạn đang đăng mã.
bravokeyl

-1

Bạn đang chạy trang web của bạn trên cPanel?

Nếu vậy, hãy khám phá bảng điều khiển của bạn và bạn sẽ thấy một vài mô-đun tuyệt vời.

  • bảo vệ hotlink
  • bảo vệ đỉa

Trong tab Nâng cao , tìm kiếm các chỉ mục. Khi bạn nhấp, bạn có thể tùy chỉnh và "ẩn tài nguyên không công khai" rất dễ dàng.

nhập mô tả hình ảnh ở đây


liên kết nóng không liên quan gì đến bảo mật. Bạn có thể hoàn toàn an toàn và cho phép liên kết nóng và "leeching"
Mark Kaplun

Bạn không đúng với tuyên bố đó. Tôi không thể tin rằng tôi có một downvote để đăng nhiều kỹ thuật tối ưu hóa. (facepalm)
Chú Iroh

1
đó là một bản sao nếu bạn không biết sự khác biệt giữa tối ưu hóa và bảo mật :(.
Mark Kaplun
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.