Intereting Posts
Добавление новой страницы в плагин Изменить URL-адрес сайта без разрыва ссылок или изображений? WP 3.3 Архивная страница Отображение изображения заголовка из home.php Добавить пользовательские поля в существующие сообщения (страницы администратора) Роль пользователя не отображается в окне «Пользователь» Изменение следующего и предыдущего текстового сообщения Нарушение wordpress is_main_query () Сортировка пользователей по полю, а не по ID Отображение изображения по умолчанию для пользовательского логотипа Установить заголовок сообщения, основанный на первом элементе h2 в разделе содержимого Почему WordPress-код настолько «счастлив с космосом»? Добавление настраиваемого поля в редактор изображений Как запросить базу данных для сообщений с определенным термином таксономии Эквивалент плагина обмена WordPress? Попытка понять SQL-запрос базы данных WordPress: AND / OR

Улучшение безопасности WordPress путем скрытия непубличных ресурсов

Я новичок в WordPress, и я хочу улучшить безопасность wordpress multisite, скрывая не государственные ресурсы, например. wp-admin, wp-config и т. д.

Моя настройка работает, но я не знаю, может ли этот параметр сломать что-то (основные функции, популярный плагин и т. Д.),

  1. Мои настройки хороши в общем?
  2. Мои настройки улучшают реальную безопасность или я трачу свое время?

httpd-vhosts.conf (apache)

# Disallow public access php for .htaccess and .htpasswd files <Files ".ht*"> Require all denied </Files> # Disallow public access for *.php files in upload directory <Directory "/htdocs/wp-content/uploads/"> <Files "*.php"> deny from all </Files> </Directory> # Disallow public access for... <Files "wp-config.php"> order allow,deny deny from all </Files> <Files "readme.html"> order allow,deny deny from all </Files> <Files "license.html"> order allow,deny deny from all </Files> <Files "license.txt"> order allow,deny deny from all </Files> # Because we do not use any remote connections to publish on WP <Files "xmlrpc.php"> order allow,deny deny from all </Files> 

.htaccess

 RewriteEngine On RewriteBase / # List of ACME company IP Address SetEnvIf Remote_Addr "^127\.0\.0\." NETWORK=ACME SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$" NETWORK=ACME SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$" NETWORK=ACME SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$" NETWORK=ACME # Disallow access to wp-admin and wp-login.php RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php$ # allow fo admin-ajax.php RewriteCond %{ENV:NETWORK} !^ACME$ # allow for ACME RewriteCond %{SCRIPT_FILENAME} ^(.*)?wp-login\.php$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin\/ RewriteRule ^(.*)$ - [R=403,L] # Block user enumeration RewriteCond %{REQUEST_URI} ^/$ RewriteCond %{QUERY_STRING} ^/?author=([0-9]*) RewriteRule ^(.*)$ / [L,R=301] # Block the include-only files. # see: http://codex.wordpress.org/Hardening_WordPress (Securing wp-includes) RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] #RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] # Comment for Multisite RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] 

function.php

 <?php // Remove unnecessary meta tags // <meta name="generator" content="WordPress 4.1" /> remove_action('wp_head', 'wp_generator'); // Disable WordPress Login Hints function no_wordpress_errors(){ return 'GET OFF MY LAWN !! RIGHT NOW !!'; } add_filter( 'login_errors', 'no_wordpress_errors' ); 

WP-config.php

 <?php define('DISALLOW_FILE_EDIT', true); define('DISALLOW_FILE_MODS', true); 

Использование remove_action() может удалить ненужные ссылки, например:

 remove_action('wp_head', 'rsd_link'); //removes EditURI/RSD (Really Simple Discovery) link. remove_action('wp_head', 'wlwmanifest_link'); //removes wlwmanifest (Windows Live Writer) link. remove_action('wp_head', 'wp_generator'); //removes meta name generator. remove_action('wp_head', 'wp_shortlink_wp_head'); //removes shortlink. remove_action( 'wp_head', 'feed_links', 2 ); //removes feed links. remove_action('wp_head', 'feed_links_extra', 3 ); //removes comments feed. 

Вы используете свой сайт на cPanel?

Если да, изучите панель управления, и вы увидите несколько замечательных модулей.

  • защита hotlink
  • защита от пиявки

В разделе « Дополнительно » найдите индексы. Как только вы нажмете, вы можете легко настроить и «скрыть непубличные» ресурсы.

введите описание изображения здесь