Защита ресурсов в интернете от всевозможных атак злоумышленников, а также от вредоносного кода, является одной из важнейших задач сетевой безопасности.
Этот вопрос касается не только обеспечения полноценного функционирования веб-сайтов, но и напрямую влияет на безопасность локальных компьютеров пользователей, посещающих эти ресурсы.
В данной статье вопрос сетевой безопасности рассматривается с точки зрения сохранности данных сайта на WordPress и целостности его структуры, которые являются жизненно важными аспектами его нормальной работы.
Содержание
О файле htaccess
Настройка необходимых мер безопасности сайта на WordPress производится путем внесения дополнительных записей и корректив в файл настройки Apache сервера – .htaccess (hypertext access).
Располагаться данный файл должен в корневой директории вашего сайта, а в случае необходимости его можно поместить в любой другой каталог. В этом случае все находящиеся в нем директивы будут относиться только к текущему каталогу.
Прежде всего, необходимо понимать, что описанные ниже меры не являются стопроцентной защитой вашего ресурса от всех возможных угроз, но позволят значительно повысить его уровень безопасности.
Следует отметить, что все записи, которые приведены ниже, должны быть добавлены в файл .htaccess после строки «# END WordPress», но никоим образом не раньше. Это очень важно.
Предотвращение доступа к файлу wp-config.php
Данный файл является конфигурационным и содержит все важнейшие настройки, касающиеся работы сайта на WordPress, поэтому его защита является очень важным звеном в цепи безопасности сайта в целом.
Для ограничения доступа к файлу wp-config.php необходимо внести в .htaccess следующий фрагмент кода:
| <Files ~ wp\-config\.php> Order Deny,Allow Deny from all Allowfrom 123.456.789 </Files> |
В данном случае 123.456.789 – это ваш IP-адрес.
Блокировка доступа по IP адресам
Причинами такого способа блокировки вашего сайта могут быть бесцеремонное копирование контента с ваших страниц (что с легкостью можно обнаружить при помощи вебвизора), постоянные попытки получить доступ к управлению ресурсом с определенного адреса или какие-либо личные предпочтения.
Для запрета доступа на ваш сайт с определенного IP-адреса в файл .htaccess нужно добавить следующий код:
| # Order allow,deny allow from all Denyfrom 188.40.141.100 # |
Вариант кода для блокировки нескольких IP одновременно:
| <Limit GET POST> order allow,deny deny from 111.111.222.233 deny from 444.444.555.666 allow from all </Limit> |
Если нужно закрыть доступ для всех адресов кроме одного (к примеру, вашего), то код будет таким:
| Order deny,allow deny from all # Список IP через пробел, с которых доступ разрешен Allowfrom 194.111.70.48 194.78.47.128 |
С последней настройкой нужно быть очень осторожным, так как если ваш интернет-провайдер предоставляет вам динамические внешние IP-адреса, при следующем выходе в сеть в доступе к ресурсу вам будет отказано.
Если вы через пробел перечислите несколько адресов, то они тоже будут рассматриваться как разрешенные.
В том случае, если необходимо запретить посещение ресурса с IP-адресов, соответствующих определенной маске, то нужно вводить неполный IP адрес, который и является фильтрующей маской.
Вот пример закрытия доступа для всех адресов, соответствующих маске подсети:
| #Запрет с 06:18 31-03-2011 Order allow,deny allow from all Denyfrom 198.69. |
Есть также возможность ограничения доступа к определенному каталогу, которую также можно реализовать в нескольких вариантах. Вот код для запрета доступа к папке из нескольких IP адресов:
| # Указываем папку, к которой запрещаем доступ <Directory /root-access/> Order allow,deny # Всем, кроме … allow from all Deny from 198.69. </Directory> |
А вот фрагмент кода для того, чтобы разрешить доступ к определенному каталогу только с указанных в коде адресов (разрешенные IP прописываются через пробел):
| # Указываем папку, к которой запрещаем доступ по имени хоста и его IP <Directory /root-access/> Order deny, allow denyfromall #Адреса записываются через пробел Allowfrom 198.69.144.98 198.69.144.94 198.69.144.92 </Directory> |
Производя такие манипуляции с IP-адресами, в строке, содержащей сам адрес, можно дополнительно указывать доменные имена.
Защита отдельных файлов
В некоторых случаях нет необходимости запрещать доступ к целым папкам и директориям, а достаточно защитить один файл.
Вот код, запрещающий доступ к файлу .htaccess:
| <FilesMatch «config.php»> Order Deny,Allow Deny from all </FilesMatch> |
Запрещает доступ к файлу config.php
В том случае, если будет запрашиваться файл с расширением .htaccess, в ответ сервер сообщит об ошибке 403. Аналогично, можно запретить доступ к другим файлам.
Для защиты самого .htaccess файла, в который вы вносите все эти коррективы, для обеспечения безопасности сайта, нужно полностью исключить возможность получения контроля над всеми файлами, расширение которых начинается с символов:
| <Files ~ «^.*\.([Hh][Tt][Aa])»> order allow,deny deny from all satisfy all </Files> |
Закрываем доступ к каталогу wp-content
Эта директория также очень важна, ведь в ней содержатся жизненно важные компоненты сайта на WordPress:
- Темы.
- Плагины.
- Файлы ресурсов, используемых в дизайне.
- Файлы настроек.
- Много других важнейших вещей.
По этой причине закрываем доступ и к нему. Для этого необходимо в текстовом редакторе создать отдельный файл с расширением .htaccess, содержащий следующий код:
| Order deny,allow Deny from all <Files ~ «.(xml|css|jpe?g|png|gif|js)$»> Allowfromall </Files> |
После этого данный файл нужно поместить в директорию wp-content.
Дополнительные возможности
Помимо этого, существует много других настроек для файла .htaccess, которые тоже относятся к вопросу безопасности ресурса. То есть, внеся в этот файл определенный фрагмент кода, можно добиться следующего:
- Прятать расширения файлов.
- Заменять реальные расширения файлов на указанные.
- Скрывать параметры, передаваемые с URL в GET запросе.
- Контролировать вывод сообщений при ошибках.
- Производить обязательную аутентификация пользователей.
- Предотвращать скачивания файлов.
В некоторых случаях сайт на WordPress можно защитить при помощи соответствующих wp-плагинов безопасности, таких как Limit Login Attempts, Login Lock Down, Anti-XSS attack, Bullet Proof Security и многие другие.
Так, последний плагин является очень мощным средством защиты, в котором применяется комплексный подход, в том числе предусматривающий загрузку, редактирование и выгрузку рассматриваемых в данной статье файлов с расширением .htaccess.
Заключение
Как вы могли заметить, к вопросу безопасности необходимо подходить на самом высоком уровне. То есть, всегда важно знать о том, как нужно действовать в той или иной ситуации.
Если речь идёт про файл htaccess, безопасность сайта на WordPress может быть обеспечена огромным количеством способов. Ваша задача – сделать всё без ошибок и максимально чисто, чтобы на выходе добиться наилучшего результата без каких-то последствий.
