Segurança WordPress via arquivo .htaccess

Um dos arquivos importantes do WordPress é o arquivo .htaccess. Isso permitirá que os usuários acessem o site de acordo com as regras. Este guia contará tudo o que você precisa saber sobre o arquivo .htaccess do WordPress Security.

Aqui, veremos por que você pode usá-lo a seu favor. Começaremos com o que .htaccess para as pessoas que não têm ideia disso e então veremos todas as outras coisas que importam. Isso incluirá alguns truques pelos quais você pode melhorar a segurança do site.

Vamos começar com o guia.

O que é o arquivo .htaccess de segurança do WordPress?

A princípio veremos o que é o arquivo .htaccess. É um arquivo de sistema isso vem em todos os sites. Isto não importa qual site CMS você está usando, seja WordPress ou qualquer outro, você terá um arquivo .htaccess onde todas as coisas estão armazenadas.

Existem alguns dos regras declaradas no arquivo. Estas regras dirão a você como os usuários verão o site. Se o .htaccess não permitirá que o visitante acesse o arquivo, ninguém poderá acessar o arquivo. Geralmente, existem regras que impedir que as pessoas acessem as principais páginas de administração do site.

No entanto, inclui apenas segurança básica. Você certamente pode melhorar a segurança adicionando mais regras a isso.

Veremos as mesmas regras aqui. Ao seguir tudo isso e implementar essas regras, você obterá melhor segurança aqui – arquivo .htaccess do WordPress Security.

Como alterar/adicionar arquivo .htaccess?

Veremos como alterar/adicionar o arquivo .htaccess. Se você abrir o gerenciador de arquivos, você não verá nenhum arquivo chamado .htaccess. A simples razão para isso é porque é um arquivo de sistema.

Os arquivos do sistema geralmente estão ocultos de todos os outros arquivos. Portanto, você não verá o arquivo. Para ver o arquivo, você terá que seguir alguns procedimentos.

Para fazer isso, você pode simplesmente abra o gerenciador de arquivos e clique nas configurações ícone que pode ser visto na barra superior. Ao clicar no botão de configurações, você terá a opção de mostrar todos os arquivos ocultos.

Você pode simplesmente clicar em mostrar arquivos ocultos e a lista completa de arquivos ocultos será exibida. Esses são os arquivos que tem (.) antes do nome. Por exemplo, você não verá o arquivo htaccess. Em vez disso, é Arquivo. Htaccess.

Depois de ver o arquivo, você pode faça o download. A razão pela qual pedimos que você baixe o arquivo é para fins de backup. E se algo der errado e você acabar excluindo coisas importantes? Há boas chances de seu site travar se algo der errado. Se você já possui um backup, poderá restaurá-lo rapidamente em um minuto.

Portanto, você pode baixar o arquivo e pronto. Mantenha-o seguro em algum lugar do seu computador.

Modificando o arquivo – arquivo .htaccess de segurança do WordPress

Agora, vamos falar sobre como modificar o arquivo. Você pode facilmente modifique-o clicando com o botão direito no arquivo e então você terá que clicar no botão “Edição de código" botão. Quando você fizer isso você verá o arquivo aberto em outra aba. É aqui que você pode fazer as alterações.

Tudo o que você precisa fazer é adicionar o código onde quer que seja solicitado. Nós sugerimos você adicione tudo no final do arquivo. Desta forma, você saberá quais foram as alterações que fez.

Você também pode baixar o arquivo e abra-o no editor de código para editar o arquivo. Até o notepad++ fará o trabalho. Se você estiver baixando o arquivo e depois editando-o, também deverá carregá-lo depois de editado. Também, certifique-se de ter outra cópia do arquivo original para backup. Você pode salvá-lo em uma pasta diferente. Desta forma, os dois arquivos não se misturarão. Se os arquivos estiverem misturados, você ficará confuso e não conseguirá fazer as coisas. Portanto, você terá que garantir que os adicionou no lugar certo.

Limite o acesso

Você certamente pode limitar o acesso por endereço IP. Por padrão, todos têm permissão para acessar a página de administração. Existe uma maneira de limitar isso. É simplesmente adicionando um novo código de endereço IP no arquivo .htaccess. Quando você faz isso, apenas o seu endereço IP será colocado na lista de permissões e todo o outros serão colocados na lista negra.

Portanto, somente você poderá acessar a página e mais ninguém. Existe um enorme risco que vem com isso. Quando você bloquear todos os endereços IP, você também está bloqueando todo o acesso à página. Caso seu endereço IP seja alterado, você terá problemas. Além disso, se você sair do local e for trabalhar em outro lugar, seu endereço IP poderá mudar dependendo da rede.

Se a pessoa estiver usando dados móveis, o endereço IP não mudará. Da mesma forma, se a pessoa estiver usando Wifi para acessar o site, o endereço IP será alterado.

uthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

Negar acesso ao Wp-config

Agora, esta é mais uma coisa interessante que você pode fazer. Wp-config é o arquivo onde você armazena todas as coisas. É o arquivo de banco de dados onde você pode configurar o arquivo. Coisas como o seu site as senhas do banco de dados são salvas aqui.

Se alguém tiver acesso aqui, você estará em apuros. Eles podem facilmente obter acesso ao banco de dados e também podem alterar muitas coisas no site.

Portanto, veremos como você pode proteger esse arquivo. Aqui você não precisa se preocupar, pois o arquivo está sempre seguro. Se o arquivo for seguro, ninguém terá acesso aqui. No entanto, você sempre pode estar mais seguro adicionando algum nível de segurança aqui.

Ao adicionar uma camada extra de segurança, você pode ter certeza de que seu site está seguro e ninguém terá acesso a nenhuma dessas coisas – arquivo .htaccess de segurança do WordPress.

Felizmente, há um pequeno código que você pode adicionar ao seu arquivo .htaccess. Ao adicionar o pequeno código ao arquivo, você pode proteger seu site. O código dirá ao servidor para negar todas as conexões com esse arquivo. Desta forma, você não terá que enfrentar nenhum problema.

Aqui está o código que você pode adicionar ao arquivo .htaccess. Se você adicionar este código, seu site ficará mais seguro. Como mencionamos antes, sempre adicione o código após as outras linhas. Desta forma, você pode removê-lo sempre que necessário.

<files wp-config.php>
order allow,deny
deny from all
</files>

Impedir que outros sites roubem sua largura de banda

Isso pode exigir um pouco mais de contexto antes de começarmos com o código. Veremos primeiro qual é o problema principal aqui e depois como você pode corrigi-lo.

Vamos supor que você tenha um site onde publica muito conteúdo regularmente. Se você também postar imagens, muitas pessoas estarão roubando imagens suas. A maioria das pessoas não se importa se roubarem uma ou duas imagens. No entanto, o problema começa quando eles copiam o arquivo.

Se alguém apenas aperte o botão copiar clicando com o botão direito na imagem e depois colocá-lo no site deles, você terá que sofrer. Agora, se alguém visitar seu site, que o a imagem será carregada do seu servidor e não do servidor deles. Você sabe como isso é um problema para você?

Eles estão usando seus recursos e exibindo sua imagem. Se você tiver largura de banda limitada ou recursos limitados em seu servidor, você pode esgotá-lo em breve. Mesmo que você não tenha, você precisa parar com isso.

Se a carga do servidor aumentar, seu site pode cair. Para as pessoas que usam hospedagem em nuvem, talvez você precise pagar custos extras.

Portanto, é sempre melhor impedir que as pessoas usem seu recurso e use algumas estratégias para detê-los.

Felizmente, a segurança .htaccess pode ajudá-lo e impedir que outros sites usem seus recursos aqui. O negócio é bem simples e qualquer um pode fazer.

Você pode simplesmente adicione o código ao seu site e pronto. Sim, é tão simples quanto isso. Tudo que você precisa fazer é adicionar o código ao seu arquivo htaccess.

Aqui está o código que você precisa adicionar.

#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourdomain.com
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com
RewriteRule .(jpg|jpeg|png|gif)$ –

Não se esqueça de substituir example.com pelo seu site. Ao fazer isso, você pode ter certeza de que seu site funcionará bem e sem problemas.

Pare todas as verificações do autor

Você certamente deve estar sabendo disso. O o nome de usuário de qualquer site é igual ao URL do autor. Vejamos um exemplo aqui. Se você tiver um autor nomeado “Editor”, o URL desse automóvel será example.com/author/editor. Aqui, a última frase é o nome de usuário da pessoa.

Pode-se facilmente execute uma varredura onde eles possam conhecer todos os autores. Quando eles venha conhecer os detalhes de todos os autores, será bastante mais fácil hackear o site.

Se alguém está planejando realizar um ataque de força bruta, pode facilmente estar usando a mesma coisa aqui. Agora, a força bruta é onde ele terá que executar várias combinações no nome de usuário e também na senha. Essa coisa toda vai para o próximo nível quando eles já sabe qual é o nome de usuário.

E se eles tiverem alguns nomes de usuário onde possam tentar a senha. Pode ser mais fácil para eles verificar e executar o ataque de força bruta. Além disso, pode ser um tipo de violação de privacidade. Portanto, você sempre pode ter certeza de que está usando as configurações corretas para o arquivo .htaccess de segurança do WordPress.

Aqui está o código extra que você pode adicionar para interromper todas as verificações do autor.

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=d+)
RewriteRule .* -
# END block author scans

Acesso ao diretório

O acesso ao diretório é onde você terá acesso ao diretório. Você pode ter visto alguns idiotas do Google listas onde você pode ver que algumas pessoas também podem acessar diretamente o diretório do site.

Você pode ver que o “Diretório Parental" será acessível diretamente ao usuário. Se o diretório pai estiver acessível diretamente ao usuário, ele poderá baixe quase todas as coisas no site. Todos os arquivos estarão diretamente acessíveis à pessoa que tem acesso ao arquivo.

Portanto, você certamente pode desabilitar o acesso ao diretório do arquivo. Com isso, será possível acessar diretamente o diretório do site – arquivo WordPress Security .htaccess.

A execução do PHP é um grande risco

Imagine, se alguém puder execute o código PHP em seu site sem acessar o site. Tem muitas coisas que eles podem fazer aqui, certo?

Em termos técnicos, isso se chama criar um backdoor. Backdoor é a forma pela qual o hacker pode entrar no site sem entrar na página de login. Funciona exatamente como o nome. Agora, pode haver certos plug-ins que permitem a execução no servidor diretamente do site. Portanto, você terá que garantir que seu site esteja protegido contra isso.

A maneira simples de impedir isso é adicionar um pequeno código que impedirá a execução do PHP. Voce terá que insira este código no arquivo .htaccess.

Aqui está o código que você terá que adicionar, você pode adicionar essas linhas e seu site estará seguro – arquivo WordPress Security .htaccess.

<Files *.php>
deny from all
</Files>

Palavras finais sobre o arquivo .htaccess de segurança do WordPress

Para resumir, estas são todas as coisas que você pode fazer para seguro seu site via arquivo htaccess. Agora, certifique-se de ter um backup de 2 arquivos. Um deles é o arquivo anterior, que é o arquivo htaccess original. Junto com isso, você também precisará salvar o novo arquivo htaccess. Desta forma, seu site estará seguro. Se algo der errado, você poderá restaurá-lo rapidamente. Você também pode fazer um backup completo do seu site e executar o seguinte. Dessa forma, você pode ter certeza sobre todas essas coisas.