Первым делом, после установки WordPress, нужно не только настроить ЧПУ — человеко понятные ссылки, но и позаботиться о безопасности. Частично поможет в этом замечательный файл htaccess WordPress.
Позже, разобравшись в логике работы этого файла, вы сможете настраивать ссылки, делать различные переадресации. Предоставлять, или наоборот, закрывать доступ по IP адресу и еще много чего, но в этой статье пойдет речь о том, как дополнительно заблокировать доступ к паролям от базы данных путем небольших дополнений в файл htaccess WordPress.
Где находится файл htaccess WordPress ?
Здесь все очень просто. Открыть и отредактировать файл htaccess WordPress можно двумя способами — напрямую, через файловый менеджер вашего хостинга, либо через FTP клиент, такой как, Total Commander, либо ему подобные.
Для начала зайдите в файловый менеджер в админке хостинга и откройте корневую папку сайта. На разных хостингах она называется по разному.
В TimeWeb — название сайта (по умолчанию wordpress) — publik.html
В Hostland — название сайта — www
Все, это и есть корневая папка вашего сайта. О том как прописать и не заблудиться в папках на хостинге, читайте в этой статье — Как прописать путь к папке, файлу на хостинге.
В корневой папке и находится файл .htaccess WordPress
Защищаем данные файла wp-config.php путем дополнений файла .htaccess WordPress
Итак, открываем файл htaccess WordPress и видим первоначальные настройки:
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ — [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule>
Эти настройки htaccess одинаковые по дефолту для всех сайтов на WordPress.
Нам нужно вставить после этих строчек небольшой отрывок кода. Но сначала объясню вкратце, зачем это нужно.
Внося правки, мы первым делом защищаем важный файл wp-config.php от просмотра. Хотя итак, если вы вобьете в браузерную строку название-сайта/wp-config.php
, у вас он не откроется, но дополнительная защита никому еще не вредила.
В файле wp-config.php
хранятся пароль и логин от базы данных сайта.
Большинство владельцев сайтов на WP закрывают доступ к паролям таким образом, внося коррективы в файл htaccess WordPress, просто добавив строчки:
# защита wp-config.php <files wp-config.php> order allow,deny deny from all </files>
Тут и комментировать нечего, просто ставится запрет на просмотр файла wp-config.php
Защищаем данные самого файла htaccess WordPress
Ну и аналогичным образом нужно закрыть и сам файл htaccess WordPress:
# защита htacces <Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>
В итоге должно получиться все вместе вот так:
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ — [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # защита wp-config.php <files wp-config.php> order allow,deny deny from all </files> # защита htacces <Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>
Можете просто скопировать и заменить у себя. Но защита сайта этими кодами в htaccess WordPress не ограничивается, нужно будет выбрать и поставить один или несколько плагинов, внести при желании дополнительные настройки в этот же файл.
Советую ознакомится также со статьей Простой способ защиты сайта от взлома. В ней идет речь о том, как сменить адрес входа в админ панель сайта без использования плагинов.
— Задавайте вопросы в комментариях, да и просто делитесь своим мнением.
А какие есть варианты подглядеть wp-config, если он не отображается в браузере. Как злоумышленники его увидеть могут?
Здравствуй, Дмитрий, лучше перебдеть чем недобдеть 🙂 Народных умельцев то хватает 🙂
Я таким макаром файл xmlrpc — закрывал, чтобы боты не нагружали сайт, а вот про конфиг и хтаксесс как-то не думал.
Согласен, перебдеть лишним не бывает.
Я общался с людьми, говорят лучше закрыть, объясняли мне что как-то можно wp-config вскрыть, я так и не понял, да мне это и не нужно, а этот код оч. затрудняет эту задачу
Внимание! Если вам не хочется вникать в детали скачайте сразу оптимальный файл .htaccess для вашего сайта. После скачивания .htaccess закачайте в корневую папку сайта.