Çdo CMS është i ndjeshëm ndaj hakerimit, madje edhe WordPress – ekipi ynë mbështetës merret me uebfaqet e hakuara të WordPress në baza të shpeshta. Sidoqoftë, ka një sërë masash paraprake që mund të merren për të forcuar sigurinë dhe për të mbajtur WordPress të mbrojtur, shumica e të cilave shpesh anashkalohen ose madje janë të padëgjuara.
Ne kemi listuar tetë mënyra për ta mbajtur WordPress të sigurt duke shfrytëzuar .htaccess.
Çfarë është një skedar .htaccess?
Skedari .htaccess ju lejon të bëni ndryshime konfigurimi në uebfaqen tuaj ose në një direktori specifike ku janë vendosur. Mund të bëni një sërë gjërash për të kontrolluar sjelljen e uebfaqes tuaj duke përdorur këtë skedar, si p.sh. konfigurimi i ridrejtimeve, direktoritë e mbrojtjes me fjalëkalim dhe shtoni faqet e personalizuara të gabimeve. Ju mund të bëni ndryshime në skedarët tuaj .htaccess duke përdorur FTP. . (pika) përpara htaccess tregon se është një skedar i fshehur.
Si të modifikoni skedarin .htaccess për WordPress
Shënim: Ky udhëzues është menduar për instalime jo të shumëfishta të WordPress.
Skedari .htaccess për WordPress mund të gjendet në drejtorinë tuaj public_html. Nëse përdorni shtesën Yoast SEO, mund të shikoni dhe modifikoni gjithashtu skedarin tuaj .htaccess përmes seksionit “Edit Files” të cilësimeve të shtojcës.
Skedari .htaccess i WordPress nuk ekziston në fakt pas instalimit fillestar, por krijohet kur ndryshoni strukturën e lidhjes së përhershme të uebfaqes suaj, siç rekomandohet, përmes zonës së administratorit. Ndryshimet më pas shkruhen automatikisht në skedarin .htaccess nga disa shtojca dhe nga vetë WordPress.
Është e rëndësishme që ndryshimet që bëni të shkruhen jashtë:
# BEGIN WordPress [WordPress data] # END WordPress
Nëse nuk e bëni këtë, ndryshimet tuaja mund të mbishkruhen nga WordPress. E njëjta gjë vlen edhe për të dhënat e shtojcave.
Dhe një fjalë kujdesi: kini kujdes – një gabim i thjeshtë kur redaktoni skedarët tuaj .htaccess mund të jetë problematik; për shembull, është e mundur të mbylleni veten jashtë uebfaqes tuaj ose të kaloni të gjithë faqen tuaj ‘offline’. Prandaj, ne rekomandojmë të bëni një kopje rezervë të të dhënave tuaja përpara se të redaktoni vetë skedarët .htaccess.
Nëse ju mungojnë njohuritë për kodimin dhe nuk jeni të sigurt për të hyrë në këtë skedar, shtojca WP htaccess Control ofron një ndërfaqe më të lehtë për ta redaktuar atë. Pasi të instalohet, shkoni te sugjerimet e htaccess dhe forconi sigurinë tuaj deri këtu.
Si të forcohet WordPress me .htaccess
1. Mbroni wp-config.php
wp-config është një skedar i rëndësishëm në root direktorinë tuaj që mbanë informacione të ndjeshme në lidhje me bazën e të dhënave, duke përfshirë emrin e përdoruesit, fjalëkalimin dhe emrin e hostit. Ai siguron lidhjen midis WordPress dhe MySQL. Për t’u siguruar që këto të dhëna të mos bien në duar të gabuara, shtoni fragmentin e mëposhtëm për të parandaluar hyrjen në wp-config.php:
order allow,deny deny from all
Jashtë .htaccess, ne rekomandojmë gjithashtu vendosjen e ‘‘600’ permissions’ në skedarin wp-config.php për të parandaluar çdo mundësi që ai të lexohet nga një përdorues tjetër në të njëjtin sistem si ju. Kjo mund të bëhet në File Manager ose përmes FTP.
2. Siguroni wp-includes
Ka një numër skriptesh në WordPress që askush nuk do t’i duhet t’i prekë asnjëherë. Ju mund të bllokoni skedarët e përfshirë vetëm përmes .htaccess duke përdorur kodin e mëposhtëm:
RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]
3. Qasje vetëm me IP
Nëse hyni vetëm ju në zonën tuaj të administratorit të WordPress nga i njëjti vend, mund të dëshironi të kufizoni aksesin vetëm në IP adresën tuaj. Për ta bërë këtë, do t’ju duhet të shtoni një copëz të vogël kodi në skedarin .htaccess në drejtorinë wp-admin. Nëse kjo nuk ekziston, mos u shqetësoni, thjesht shtoni një vetë përmes FTP. Shtoni kodin e mëposhtëm:
order deny,allow allow from _[insert your IP address]_ deny from all
Nëse nuk e dini adresën tuaj IP, mund ta përdorni këtë mjet.
4. Blloko përdoruesit e këqij
Ne kemi mbuluar kufizimin e aksesit në IP-të specifike, por çfarë nëse doni të ndaloni përdorues të veçantë të hyjnë në uebfaqen tuaj të WordPress? Blloko vizitorët me qëllime keqdashëse duke shtuar këtë kod në root skedarin tuaj .htaccess:
order allow, deny deny from xxx.xxx.x.x _[bad IP address 1]_ deny from xxx.xxx.x.x _[bad IP address 2]_ deny from xxx.xxx.x.xx _[bad IP address 3]_ allow from all
5. Blloko robotët e këqij
Bots e këqij ose merimangat e uebit harxhojnë resurset tuaja. Për të bllokuar robotët e këqij, futni rregullat e mëposhtme në skedarin tuaj .htaccess:
RewriteEngine on RewriteCond %{HTTP_USER_AGENT} ^_[ insert bad bot 1 name]_ [OR] RewriteCond %{HTTP USER AGENT} ^_[insert bad bot 2 name]_ [OR] RewriteCond %{HTTP USER AGENT} ^_[insert bad bot 3 name]_ RewriteRule .* - [F]
Kjo faqe ofron një listë të disa robotëve të këqij të njohur.
6. Parandaloni shfletimin e drejtorive
Në ditët e sotme, njerëzit janë më se të rehatshëm me strukturën e WordPress dhe nëse keni të aktivizuar shfletimin e drejtorive në uebfaqen tuaj, ata janë në gjendje të shohin se çfarë shtojcash keni instaluar dhe detaje të tjera të skedarit. Për të mbrojtur këtë informacion, parandaloni shfletimin e drejtorive duke shtuar thjesht një rresht:
Options -Indexes
7. Çaktivizoni hotlinking
Hotlinking është kur pronarët e faqeve përdorin skedarët tuaj duke u lidhur me to në uebfaqen tuaj, duke hargjuar hapësirën në disk dhe gjerësinë e brezit tuaj dhe potencialisht duke ngadalësuar uebfaqen tuaj. Kjo mund të mos jetë në sferën e sigurisë në vetvete, por padyshim që ia vlen të mbrohet. Këto katër rreshta do të parandalojnë hotlinking në uebfaqen tuaj:
RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www.\.)?www._[insert your domain name]_ [NC] RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]
Për të çaktivizuar hot-linking me çdo lloj skedari tjetër që keni në uebfaqen tuaj, shtoni shtesat përkatëse të skedarëve në rreshtin e fundit.
8. Mbroni .htaccess
Për paqen përfundimtare, mbrojeni vetë .htaccess nga aksesi i paautorizuar duke futur kodin e mëposhtëm për të parandaluar aksesin e skedarëve të jashtëm:
order allow,deny deny from all satisfy all
A përdorni .htaccess për të siguruar uebfaqen tuaj të WordPress në ndonjë mënyrë tjetër? Do të ishim të lumtur të zbulonim se si në komentet më poshtë.