8 способов защиты сайта на WordPress через Htaccess!

Очень полезная и нужная информация, но как все сложно-))

Нужно заняться защитой блога и ваша статья Денис мне в этом поможет.

Денис, как вовремя, когда у меня полетел блог, зато теперь нестрашно что-то сделать не так.
А я правильно поняла, ели я с этим файлом все проверну, то можно убрать разные плагины по защите и акимест от спама или нет?
Кстати, я участвую в семейном конкурсе, не хотите присоединиться и изложить свою теорию по идеальной семье?

я далек пока от этого

IfModule mod_rewrite.c
/IfModule

Прямо Линия Маннергейма, враг не пройдет. А вообще, это удобно все фишки с htaccess в одном месте. Спасибо!

Поставил блокировку от спама. При попытке зайти на блог получил сообщение:
"Доступ запрещен (403)
Доступ к запрошенной вами странице запрещен. Пожалуйста, обращайтесь к администратору...
"

а как возобновить доступ, если запретить по IP, но IP вдруг изменится?

Сегодня вроде попустило, виновником оказался, как и предполагал — RDS.
Денис, я вот почему спросил про хотлинк: дело в том, что на самом деле мер против hotlinka нет (моё имхо)... Адрес картинки снял у всех, кто защищал свой блог, даже у Е. Попова. Простите что не по теме.

Спасибо большое! У вас тут стокому можно научиться! От меня твит!

А откуда может появиться активность вредоносного ПО на блоге?Это был взлом?

Денис, скажите, а в приведенных Вами кодах ведь надо заменять, где выделено другим цветом? Например меня интересует все коды, что связаны с защитой блога, кроме спама, блокировки адреса и защиты индивидуальных файлов.
Вот например # BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Добавляется без изменений в любое любое есто файла?

Хммм можно добавить следующие виды кода
//Защищаем install.php
# for install.php
Order Allow,deny
deny from all
Satisfy all
______________________________________________
// неплохой Фаервол для вашего сайта
# 5G FIREWALL from PerishablePress.com
# 5G:[QUERY STRINGS]
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (environ|localhost|mosconfig|scanner) [NC,OR]
RewriteCond %{QUERY_STRING} (menu|mod|path|tag)\=\.?/? [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} echo.*kae [NC,OR]
RewriteCond %{QUERY_STRING} etc/passwd [NC,OR]
RewriteCond %{QUERY_STRING} \=\\%27$ [NC,OR]
RewriteCond %{QUERY_STRING} \=\\\'$ [NC,OR]
RewriteCond %{QUERY_STRING} \.\./ [NC,OR]
RewriteCond %{QUERY_STRING} \: [NC,OR]
RewriteCond %{QUERY_STRING} \[ [NC,OR]
RewriteCond %{QUERY_STRING} \] [NC]
RewriteRule .* — [F]
# 5G:[USER AGENTS]
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (libwww|planetwork|pycurl|skygrid) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out
# 5G:[REQUEST STRINGS]
RedirectMatch 403 (https?|ftp|php)\://
RedirectMatch 403 /(cgi|https?|ima|ucp)/
RedirectMatch 403 (\=\\\'|\=\\%27|/\\\'/?|\)\.css\()$
RedirectMatch 403 (\,|//|\)\+|/\,/|\{0\}|\(/\(|\.\.\.|\+\+\+|\|)
RedirectMatch 403 \.(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$
RedirectMatch 403 /(contac|fpw|install|pingserver|register)\.php
RedirectMatch 403 (base64|crossdomain|localhost|wwwroot)
RedirectMatch 403 (eval\(|\_vti\_|\(null\)|echo.*kae)
RedirectMatch 403 \.well\-known/host\-meta
RedirectMatch 403 /function\.array\-rand
RedirectMatch 403 \)\;\$\(this\)\.html\(
RedirectMatch 403 proc/self/environ
RedirectMatch 403 msnbot\.htm\)\.\_
RedirectMatch 403 /ref\.outcontrol
RedirectMatch 403 com\_cropimage
RedirectMatch 403 indonesia\.htm
RedirectMatch 403 \{\$itemURL\}
RedirectMatch 403 function\(\)
RedirectMatch 403 labels\.rdf
_____________________________________________________
// Блокировка входа из прокси серверов
# Proxy
RewriteEngine on
RewriteCond %{HTTP:VIA} !^$ [OR]
RewriteCond %{HTTP:FORWARDED} !^$ [OR]
RewriteCond %{HTTP:USERAGENT_VIA} !^$ [OR]
RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [OR]
RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:XPROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]
RewriteCond %{HTTP:HTTP_CLIENT_IP} !^$
RewriteRule ^(.*)$ — [F]
Пожалуй достаточно

Ещё один глупый вопрос «корневая папка ресурса» это то что открывается сразу при Фтп соединении или это каталог, который называется так же как мой сайт, или это папка, которая носит моё имя пользователя на хостинге, или это папка publik?(С конфигом и контентом понятно, а вот самый первый .htaccess не уверена, что вставила туда куда надо.) Спасибо большое заранее (Очень хочется защитить сайт)(твинула и фейсбукнула)

Откатила! Фу-у-у! Всё работает. Начнём с начала? (Если я Вам не очень надоела).

А что это значит? А почему? Может это незначительно.Но любопытно. А пробел для чего, или специально, что бы дополнения вставлять.

Спасибо и на этом.

здравствуйте, волнует вопрос при доступе только по 1 ip, может ли злоумышленник просканировать htaccess и узнав мой ip ему будет легче взломать сайт? Что тогда менять ip?

хотел бы добавить, что в моем случае: я скачал бесплатный шаблон, потом его удалил полностью из папки фтп, но он успел заразить вредным кодом базы данных. Ломился зломышленник вовсю, в журнале прям отображались у меня весь его перебор — вызов функций, админку скрыл и переиминовал wp-admin, но он всё равно вызывал логин меню, и в итоге я сделал всё как у вас написано. Теперь перестал барабанить. Вывод: никогда не скачиваете бесплатные шаблоны и ваши советы помогли.

Нет, Денис! Я поспешила в том, что не смогла правильно донести мысль. Если намеренно запрещать, то можно, естественно. У меня роботы получали 403 ошибку, в обеих поисковых системах. В Гугле, например, пишут, что это был общий сбой, потому что коснулось не меня одной. А у меня такие подозрения, что и сама могла переусердствовать в определенный период с запретами.

Странно, Денис! Усвоила для себя, что все вставляется строго после, и работает, кстати? — не раз приходилось через хостинг входить со своего динамического IP. Правда, странно. А сейчас посмотрела — прислали для другого сайта файл — там До. Ладно, спорить и что-то доказывать не буду — не специалист. Как показали, так и делала. Но у меня на 100% после.

Денис, здравствуйте!
Изучаю Ваши статьи. Все очень просто и доступно. Спасибо за Ваш труд.
У меня вопрос. В начале статьи вы пишите что: «Все ниже приведённые коды, ставим строго после — # END WordPress.». А в комментариях пишите, что надо ставить до # END WordPress. Я немного запуталась. Как все же будет правильно?

Ну, щеголяйте, а я вдогонку еще напишу. Почему-то представляла Вас со стандартной фигурой. Ошибалась?

Добрый день!
При создании файлов .htaccess
начальный код один и тот же как и в корневой папке:
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
а уж потом в конце в нем нужно дописывать дополнительный код ?
Просто смущают эти куски кода взятие из корневого .htaccess "RewriteRule . /index.php [L]", index.php хотя новые .htaccess будут уже в других папках

Здравствуйте, прочитала вашу статью, все основательно и подробно. Но появилась проблема. После того, как вставила строчки
order deny,allow #Запрешено все, что не разрешено
deny from all #Запрещено всем
allow from ххх #Разрешено только мне:)
у меня стала появляться ошибка 500. Очень хочется защитить именно эту часть ВП, потому что регулярно на страницу входа в админку кто-то ломится.(( Надоели уже. Кстати, адрес страницы входа в админку изменен на другой, может, в этом проблема? Не понимаю, почему все ломается на этом коде.
Помогите, пожалуйста.

Денис, спасибо за статью, очень полезная информация!
Защитят ли эти способы от взломов сайта через места ввода? Адресная строка, комментарии, гостевая книга.

у меня прописано:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.axe-pyrus\.ru$ [NC]
RewriteRule ^(.*)$ http: //axe-pyrus.ru/$1 [R=301,L]
мне прописывать код для robots.txt?
или код 301 директа убрать или после него написать?

Спасибо большое, очень интересная инфоромация. А как быть с такими «чайниками» как я.Я никогда не разрабатывала сайт, только его наполняла. СЕйчас мой сайт взломали и выяснилось, что ключевые коды по перепосту на другие сайты вклинили в .htacess. В нем много мусора, но что мусор, что нет, я не понимаю. Скажите, пожалуйста,реально ли мне самой почистить его и как это сделать??? Я вроде не дура, но ощущаю, что знания прошли мимо меня.

Спасибо за ответ.Обращения с этого IP продолжаются. Служба поддержки говорит, что не видят проблем, советуют ждать. Буду смотреть и наблюдать.

Спасибо за отличную статью! Все очень по делу и простым языком ))