Verbessern Sie die WordPress-Sicherheit, indem Sie nicht öffentliche Ressourcen ausblenden


9

Ich bin neu in WordPress und möchte die Sicherheit von WordPress Multisite verbessern, indem ich nicht öffentliche Ressourcen verstecke, z. wp-admin, wp-config etc.

Meine Einstellung scheint zu funktionieren, aber ich weiß nicht, ob diese Einstellung etwas beschädigen kann (Kernfunktionen, beliebtes Plug-In usw.)

  1. Sind meine Einstellungen im Allgemeinen gut?
  2. Meine Einstellungen verbessern die echte Sicherheit oder ich verschwende meine Zeit?

httpd-vhosts.conf (Apache)

# Disallow public access php for .htaccess and .htpasswd files
<Files ".ht*">
    Require all denied
</Files>

# Disallow public access for *.php files in upload directory
<Directory "/htdocs/wp-content/uploads/">
   <Files "*.php">
       deny from all
   </Files>
</Directory>

# Disallow public access for... 
<Files "wp-config.php">
   order allow,deny
   deny from all
</Files>

<Files "readme.html">
   order allow,deny
   deny from all
</Files>

<Files "license.html">
   order allow,deny
   deny from all
</Files>

<Files "license.txt">
   order allow,deny
   deny from all
</Files>

# Because we do not use any remote connections to publish on WP
<Files "xmlrpc.php">
  order allow,deny
  deny from all
</Files>

.htaccess

RewriteEngine On
RewriteBase /

# List of ACME company IP Address
SetEnvIf Remote_Addr "^127\.0\.0\."      NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME
SetEnvIf Remote_Addr "^XX\.XX\.XX\.XX$"  NETWORK=ACME

# Disallow access to wp-admin and wp-login.php
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax\.php$ # allow fo admin-ajax.php
RewriteCond %{ENV:NETWORK} !^ACME$ # allow for ACME
RewriteCond %{SCRIPT_FILENAME} ^(.*)?wp-login\.php$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin\/
RewriteRule ^(.*)$ - [R=403,L]

# Block user enumeration
RewriteCond %{REQUEST_URI}  ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule ^(.*)$ / [L,R=301]

# Block the include-only files.
# see: http://codex.wordpress.org/Hardening_WordPress (Securing wp-includes)
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
#RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] # Comment for Multisite
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

function.php

<?php
// Remove unnecessary meta tags
// <meta name="generator" content="WordPress 4.1" />
remove_action('wp_head', 'wp_generator');

// Disable WordPress Login Hints
function no_wordpress_errors(){
    return 'GET OFF MY LAWN !! RIGHT NOW !!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

wp-config.php

<?php
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

3
Wenn Sie neu und unsicher sind, überprüfen Sie Plugins wie Sucuri Security, iThemes Security, Wordfence Security ... diese haben mehrere Optionen. (Es ist nicht so, dass ich Sie zwinge, Plugins zu verwenden, aber sie haben eine solide Benutzerbasis)
bravokeyl

Antworten:


1

Mit remove_action()können unnötige Links entfernt werden, zum Beispiel:

remove_action('wp_head', 'rsd_link'); //removes EditURI/RSD (Really Simple Discovery) link.
remove_action('wp_head', 'wlwmanifest_link'); //removes wlwmanifest (Windows Live Writer) link.
remove_action('wp_head', 'wp_generator'); //removes meta name generator.
remove_action('wp_head', 'wp_shortlink_wp_head'); //removes shortlink.
remove_action( 'wp_head', 'feed_links', 2 ); //removes feed links.
remove_action('wp_head', 'feed_links_extra', 3 );  //removes comments feed. 

1
Bitte verwenden Sie die Code-Formatierung, wenn Sie Code veröffentlichen.
Bravokeyl

-1

Führen Sie Ihre Website auf cPanel aus?

Wenn ja, erkunden Sie Ihr Control Panel und Sie werden einige großartige Module sehen.

  • Hotlink-Schutz
  • Blutegelschutz

Unter Erweiterte Registerkarte sucht Indizes. Sobald Sie auf klicken, können Sie sehr öffentliche Ressourcen ganz einfach anpassen und "ausblenden".

Geben Sie hier die Bildbeschreibung ein


Hotlinking hat nichts mit Sicherheit zu tun. Sie können absolut sicher sein und Hot Linking und "Leeching" zulassen
Mark Kaplun

Sie sind mit dieser Aussage falsch. Ich kann nicht glauben, dass ich eine Ablehnung für das Posten mehrerer Optimierungstechniken bekommen habe. (Gesichtspalme)
Onkel Iroh

1
Es ist ein Facepalm, wenn Sie den Unterschied zwischen Optimierung und Sicherheit nicht kennen :(.
Mark Kaplun
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.