Защита блога посредством .htaccess

Зачастую нехорошие редиски проникают по FTP на сервер, где находятся файлы блога, и пихают туда чего попало. И вот тогда начинаются разного рода проблемы, начиная с продвижения спрятанных ссылок, увеличения времени загрузки блога до полного исчезновения блога с поля зрения поисковых систем и посетителей.

Защита блога посредством htaccessСегодня будет крайне полезный пост, особенно для тех, кто не особо вникает в дебри технической части, либо же для новичков в этой сфере. Итак, тема так и называется:

Защита блога посредством .htaccess

Если говорить простым языком, то файл .htaccess — это файл дополнительной конфигурации веб-сервера. Директивы, прописанные в данном файле, могут оказывать влияние на все файлы каталога, где он размещен, а также на все подкаталоги в этом же каталоге, при условии, что в этих подкаталогах нет своего файла .htaccess с другими директивами.

Поскольку речь идет о движке WordPress, то вам будет достаточно выполнить в точности то, что я скажу и разного рода посягательства на ваш блог будут в достаточной мере пресечены. Опять же, при условии, что у вас все пароли надежные, скажем не «Vasya123″, а, например «R5y*{w<D]sa)V7″ или что-то в таком духе. Это пароли: пароль FTP, пароль к базе данных в файле wp-config.php, пароль к хостингу, пароль для входа в админку. И с логином «admin» также желательно распрощаться!

Мы будем защищать корневую часть блога, конфигурационный файл wp-config.php, а также директории wp-admin и wp-includes. Для этого вы должны знать свой IP адрес. Его можно узнать, например, здесь: узнать IP адрес. При этом, есть один нюанс. Есть статические ай-пи адреса, есть динамические. Это можно выяснить у вашего провайдера. Если у вас ай-пи статический, который не меняется при каждом новом соединении, то вам будет достаточно 1 раз записать его в код, который я дам и забыть про это. Если же ай-пи адрес динамический, то при каждом входе в админскую часть, необходимо будет править файл, записывая в него новый ай-пи и заливать его по FTP. Но, по мне так — спокойствие дороже. Конечно, можно вылечить любой взлом, но что в нашем мире может быть дороже времени. Файл отредактировать и залить — это пара минут. А поиск и устранение проблем может занять часы.

1. Открываем на компьютере любой блокнот. Копируем и вставляем в него вот этот код:

Options -Indexes

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress
# Block the include-only files
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

#запрет доступа к .htaccess
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>

<Files wp_config.php>
order allow,deny
deny from all
</Files>
<Files wp-login.php>
Order deny,allow
Deny from All
Allow from 11.222.333.44
</Files>

11.222.333.44 замените на свой IP.

Сохраняем файл как .htaccess (точка впереди названия обязательна) во вновь созданной папке с названием «Корень».

Этот файл заливаем по FTP в корень блога. Устанавливаем права (CHMOD) на файл — 644 (редактирование и запись запрещены).

Что написано в этом файле, я объяснять не буду, т.к. как говорит Каневский — «это будет совсем другая история»…

2. Ещё раз открываем на компьютере блокнот. Копируем и вставляем в него вот этот код:

Order deny,allow
Deny from All
Allow from 11.222.333.44

Меняем 11.222.333.44 на свой IP.

Сохранем файл как .htaccess в папке с названием «wp-admin и wp-includes».

Заливаем этот файл по очереди сначала в папку wp-admin, а затем в папку wp-includes. Устанавливам права на файл — 644.

На заметку пара моментов.

1. Если у вас адрес IP динамический, то для того, чтобы войти в админ-панель, последовательность действий следующая:

2. Последний файл .htaccess можно размещать в любой директории, например в директорию с картинками, где редиски любят селить своих червей. Тогда никто ничего туда не сможет засунуть. Если не поменяете IP, то и вы. :-)
3. Не забывайте проверять кодировку файлов .htaccess перед их сохранением. Она должна быть UTF-8 (без BOM).

Вроде всё! Вообще, это тема обширная, это только часть айсберга…

В ближайшем будущем расскажу о том, как правильно оптимизировать картинки для поисковиков.

Удачи!


Метки:

Если Вам понравилась заметка, пожалуйста, прокомментируйте ее, подпишитесь на фид и получайте будущие публикации по RSS, либо поделитесь с друзьями в социальных сетях:

Комментарии

Пока нет комментариев.

Прокомментировать

(обязательно)

(обязательно)