गैर सार्वजनिक संसाधनों को छिपाकर वर्डप्रेस सुरक्षा में सुधार करें


9

मैं वर्डप्रेस से नया हूं और मैं गैर सार्वजनिक संसाधनों, जैसे, छुपाकर वर्डप्रेस मल्टीसाइट की सुरक्षा में सुधार करना चाहता हूं। wp-admin, wp-config आदि।

मेरी सेटिंग काम करने लगती है, लेकिन मुझे नहीं पता कि यह सेटिंग कुछ तोड़ सकती है (मुख्य विशेषताएं, लोकप्रिय प्लग-इन इत्यादि)

  1. क्या मेरी सेटिंग सामान्य तरीके से अच्छी है?
  2. मेरी सेटिंग्स वास्तविक सुरक्षा में सुधार करती हैं या मैं अपना समय बर्बाद कर रहा हूं?

httpd-vhosts.conf (अपाचे)

# Disallow public access php for .htaccess and .htpasswd files
<Files ".ht*">
    Require all denied
</Files>

# Disallow public access for *.php files in upload directory
<Directory "/htdocs/wp-content/uploads/">
   <Files "*.php">
       deny from all
   </Files>
</Directory>

# Disallow public access for... 
<Files "wp-config.php">
   order allow,deny
   deny from all
</Files>

<Files "readme.html">
   order allow,deny
   deny from all
</Files>

<Files "license.html">
   order allow,deny
   deny from all
</Files>

<Files "license.txt">
   order allow,deny
   deny from all
</Files>

# Because we do not use any remote connections to publish on WP
<Files "xmlrpc.php">
  order allow,deny
  deny from all
</Files>

.htaccess

RewriteEngine On
RewriteBase /

# List of ACME company IP Address
SetEnvIf Remote_Addr "^127\.0\.0\."      NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME

# Disallow access to wp-admin and wp-login.php
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php$ # allow fo admin-ajax.php
RewriteCond %{ENV:NETWORK} !^ACME$ # allow for ACME
RewriteCond %{SCRIPT_FILENAME} ^(.*)?wp-login\.php$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin\/
RewriteRule ^(.*)$ - [R=403,L]

# Block user enumeration
RewriteCond %{REQUEST_URI}  ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ / [L,R=301]

# Block the include-only files.
# see: http://codex.wordpress.org/Hardening_WordPress (Securing wp-includes)
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
#RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] # Comment for Multisite
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

function.php

<?php
// Remove unnecessary meta tags
// <meta name="generator" content="WordPress 4.1" />
remove_action('wp_head', 'wp_generator');

// Disable WordPress Login Hints
function no_wordpress_errors(){
    return 'GET OFF MY LAWN !! RIGHT NOW !!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

WP-config.php

<?php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

3
यदि आप नए हैं और अनिश्चित हैं, तो सुकरी सिक्योरिटी, iThemes Security, Wordfence Security ... जैसे प्लग इन की जांच करें, जिनके पास कई विकल्प हैं। (ऐसा नहीं है कि मैं आपको प्लगइन्स का उपयोग करने के लिए मजबूर कर रहा हूं, लेकिन उनके पास एक ठोस उपयोगकर्ताबेस है)
bravokll

जवाबों:


1

का प्रयोग remove_action()किया जा उदाहरण के लिए अनावश्यक लिंक निकाल सकते हैं:

remove_action('wp_head', 'rsd_link'); //removes EditURI/RSD (Really Simple Discovery) link.
remove_action('wp_head', 'wlwmanifest_link'); //removes wlwmanifest (Windows Live Writer) link.
remove_action('wp_head', 'wp_generator'); //removes meta name generator.
remove_action('wp_head', 'wp_shortlink_wp_head'); //removes shortlink.
remove_action( 'wp_head', 'feed_links', 2 ); //removes feed links.
remove_action('wp_head', 'feed_links_extra', 3 );  //removes comments feed. 

1
जब आप कोड पोस्ट कर रहे हों तो कृपया कोड स्वरूपण का उपयोग करें।
bravokeyl

-1

क्या आप cPanel पर अपनी साइट चला रहे हैं?

यदि हां, तो अपने नियंत्रण कक्ष का पता लगाएं और आपको कुछ बेहतरीन मॉड्यूल दिखाई देंगे।

  • हॉटलिंक संरक्षण
  • जोंक संरक्षण

उन्नत टैब के अंतर्गत , अनुक्रमणिका देखें। एक बार जब आप क्लिक करते हैं तो आप बहुत आसानी से "गैर सार्वजनिक" संसाधनों को अनुकूलित और छिपा सकते हैं।

यहाँ छवि विवरण दर्ज करें


हॉट लिंकिंग का सुरक्षा से कोई संबंध नहीं है। आप पूरी तरह से सुरक्षित हो सकते हैं और हॉट लिंकिंग और "लीचिंग" की अनुमति दे सकते हैं
मार्क कपलून

आप उस कथन के साथ गलत हैं। मुझे विश्वास नहीं हो रहा है कि मुझे कई अनुकूलन तकनीकों को पोस्ट करने के लिए एक डाउनवोट मिला है। (
फेसपालम

1
यदि आप अनुकूलन और सुरक्षा के बीच अंतर नहीं जानते हैं तो यह एक चेहरा है :(!
मार्क कप्लून
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.