ปรับปรุงความปลอดภัยของเวิร์ดเพรสโดยการซ่อนทรัพยากรที่ไม่ใช่สาธารณะ


9

ฉันใหม่จาก wordpress และฉันต้องการปรับปรุงความปลอดภัยของ wordpress multisite โดยการซ่อนทรัพยากรที่ไม่ใช่สาธารณะเช่น wp-admin, wp-config ฯลฯ

ดูเหมือนว่าการตั้งค่าของฉันจะใช้งานได้ แต่ฉันไม่รู้ว่าการตั้งค่านี้อาจทำให้บางอย่างเสียหาย (คุณสมบัติหลัก, ปลั๊กอินยอดนิยม ฯลฯ )

  1. การตั้งค่าทั่วไปของฉันดีหรือไม่?
  2. การตั้งค่าของฉันปรับปรุงการรักษาความปลอดภัยจริงหรือฉันเสียเวลาหรือไม่

httpd-vhosts.conf (apache)

# Disallow public access php for .htaccess and .htpasswd files
<Files ".ht*">
    Require all denied
</Files>

# Disallow public access for *.php files in upload directory
<Directory "/htdocs/wp-content/uploads/">
   <Files "*.php">
       deny from all
   </Files>
</Directory>

# Disallow public access for... 
<Files "wp-config.php">
   order allow,deny
   deny from all
</Files>

<Files "readme.html">
   order allow,deny
   deny from all
</Files>

<Files "license.html">
   order allow,deny
   deny from all
</Files>

<Files "license.txt">
   order allow,deny
   deny from all
</Files>

# Because we do not use any remote connections to publish on WP
<Files "xmlrpc.php">
  order allow,deny
  deny from all
</Files>

.htaccess

RewriteEngine On
RewriteBase /

# List of ACME company IP Address
SetEnvIf Remote_Addr "^127\.0\.0\."      NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME

# Disallow access to wp-admin and wp-login.php
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php$ # allow fo admin-ajax.php
RewriteCond %{ENV:NETWORK} !^ACME$ # allow for ACME
RewriteCond %{SCRIPT_FILENAME} ^(.*)?wp-login\.php$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin\/
RewriteRule ^(.*)$ - [R=403,L]

# Block user enumeration
RewriteCond %{REQUEST_URI}  ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ / [L,R=301]

# Block the include-only files.
# see: http://codex.wordpress.org/Hardening_WordPress (Securing wp-includes)
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
#RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] # Comment for Multisite
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

function.php

<?php
// Remove unnecessary meta tags
// <meta name="generator" content="WordPress 4.1" />
remove_action('wp_head', 'wp_generator');

// Disable WordPress Login Hints
function no_wordpress_errors(){
    return 'GET OFF MY LAWN !! RIGHT NOW !!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

WP-config.php

<?php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

3
หากคุณยังใหม่และไม่แน่ใจให้ตรวจสอบปลั๊กอินเช่น Sucuri Security, iThemes Security, Wordfence Security ... ที่มีหลายตัวเลือก (ไม่ใช่ว่าฉันบังคับให้คุณใช้ปลั๊กอิน แต่มีฐานผู้ใช้ที่มั่นคง)
bravokeyl

คำตอบ:


1

การใช้remove_action()สามารถลบลิงก์ที่ไม่จำเป็นออกได้เช่น:

remove_action('wp_head', 'rsd_link'); //removes EditURI/RSD (Really Simple Discovery) link.
remove_action('wp_head', 'wlwmanifest_link'); //removes wlwmanifest (Windows Live Writer) link.
remove_action('wp_head', 'wp_generator'); //removes meta name generator.
remove_action('wp_head', 'wp_shortlink_wp_head'); //removes shortlink.
remove_action( 'wp_head', 'feed_links', 2 ); //removes feed links.
remove_action('wp_head', 'feed_links_extra', 3 );  //removes comments feed. 

1
กรุณาใช้การจัดรูปแบบรหัสเมื่อคุณกำลังโพสต์รหัส
bravokeyl

-1

คุณใช้งานเว็บไซต์ของคุณบน cPanel หรือไม่

ถ้าใช่ให้สำรวจแผงควบคุมของคุณแล้วคุณจะเห็นโมดูลที่ยอดเยี่ยม

  • การป้องกันฮอตลิงค์
  • ป้องกันปลิง

ภายใต้แท็บขั้นสูงค้นหาดัชนี เมื่อคุณคลิกคุณสามารถปรับแต่งและ "ซ่อนข้อมูลสาธารณะ" ได้อย่างง่ายดาย

ป้อนคำอธิบายรูปภาพที่นี่


การเชื่อมโยงที่ร้อนแรงนั้นไม่เกี่ยวข้องกับความปลอดภัย คุณสามารถรักษาความปลอดภัยได้อย่างสมบูรณ์แบบและอนุญาตให้มีการเชื่อมโยงที่ร้อนแรงและ "leeching"
Mark Kaplun

คุณใช้คำสั่งนั้นไม่ถูกต้อง ฉันไม่อยากจะเชื่อเลยว่าฉันมี downvote สำหรับโพสต์เทคนิคการเพิ่มประสิทธิภาพหลายรายการ (facepalm)
ลุง Iroh

1
มันเป็น facepalm หากคุณไม่ทราบความแตกต่างระหว่างการเพิ่มประสิทธิภาพและความปลอดภัย :( ได้.
มาร์ค Kaplun
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.