Onemogućavanje pristupa direktorijima
Mnoge host kompanije se potrude i same stave restrikciju na pristup direktorijima. Neke to pak ne čine. Kad neko ukuca vaš URL za neki nezaštićen direktorij onda će taj neko da vidi kompletan direktorij sa svim fajlama što je ogroman rizik.
Ukoliko se desi da neko sa lošim namjerama dobije priliku da dođe do vaše wp-config.php file, na primjer, ta osoba može da dobije pristup ka osjetljivim područjima vašeg sajta i uništi je kompletno. Solucija za ovaj problem je jednostavna. Samo ubaci ovaj komad koda u htaccess ili Apache konfiguraciju (po mogucnosti na vrh mada radi bilo gdje da je)
Options -Indexes
Alternativno, ako htaccess nije dobra opcija, jednostavno napravi praznu index.html ili index.php u sve jedan direktorij WordPressa. Mada takve fajle postoje u “wp-admin”, “wp-content”, i “wp-includes” direktorijima, ostale ih nemaju. Kad stavite te pseudo index fajle u direktorije, onda će sveki put kad neko proba da uđe u neki direktorij da se prikaže prazna stranica.
Zabrani pristup senzitivnim fajlama
Zastite wp-config.php fajle
Neke fajle su previše važne da bi im se dao pristup. Najvažnija od svih je wp-config.php jer sadrži korisničko ime i lozinku kao i sve ostale podatke kritične za pristup direktoriju i rad wordpressa.
Pristup ovoj fajli, kako vidite stavlja ne samo wordpress vec i server u kritičnu situaciju. Jedan od načina zaštite je putem htaccess fajle u koju ubacite sledeći kod:
# SECURE WP-CONFIG.PHP
<Files wp-config.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789
</Files>
Ovaj kod se stavlja u root direktorij ili u Apache konfiguraciju. Ovaj kod radi tako što zabranjuje pristup svim zahtjevima za wp-config.php koji ne dolaze sa naznačene IP adrese. IP adresa treba da bude adresa vašeg kompjutera. Ukoliko vam je jedna IP adresa malo jer imate više suradnika ili kompjutera sa različitim IP adresama onda dodajte više IP adresa ili grupu IP adresa (grupa ili range).
Kod za više IP adresa samo dodaj koliko hoćes “Allow from”:
# SECURE WP-CONFIG.PHP
<Files wp-config.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789
Allow from 456.789.123
Allow from 789.123.456
# additonal IP addresses
</Files>
Dozvoli pristup IP adresama u grupi (range): ubaci djelimičnu IP adresu sto je korisno za dinamične IP.
# SECURE WP-CONFIG.PHP
<Files wp-config.php>
Order Deny,Allow
Deny from all
Allow from 123.456.
</Files>
Zaštita install.php fajle
Install.php se koristi u procesu instalacije wordpressa i sadrži naslov bloga i email adresu. Kad se to unese WordPress u administraciji prikaže korisničko ime i lozinku za administratora. Na žalost, neki problemi sa databazom mogu da izazovu problem kad WordPress “misli” da nije instalirana i loadira install.php fajlu. Mada se ovo rijetko događa, ako se desi instalacija je koruptirana i može vas izložiti riziku. ovaj problem se rijesava na nekoliko načina od kojih je najjednostavniji i najsigurniji da se install.php deletira jer ne treba.
Zaštita wp-admin directorija
Nakon što ste osigurali wp-config.php i delitirali install.php treba preći na osiguravanje administracije. Najlakši način je ubacivanjem sledećeg koda u htaccess u wp-admin direktorijumu. Ako nema .htaccess fajle onda je napravi.
# SECURE WP-ADMIN FILES
<FilesMatch “*.*”>
Order Deny,Allow
Deny from all
Allow from 123.456.789
</FilesMatch>
Kao što je predhodno objašnjeno, IP adrese mogu biti dodane ili stavljene u grupi. Alternativno se koristi i sledeći kod umjesto navedenog:
# SECURE WP-ADMIN FILES
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REMOTE_ADDR} !^123.456.789
RewriteRule ^(.*)$ – [F,L]
</IfModule>
Ova druga metoda zahtjeva Apache mod_rewrite modulu i radi tako što zabranjuje pristup svim IP adresama osim vaše vlastite, što znači da treba dodati te adrese. Svaki zahtjev će biti zabranjen sa 403 greškom ili možete da izaberete opciju da takvi zahtjevi budu redirektirani na URL po vašem izboru tako što ćete izmijeniti zadnje pravilo sa:
RewriteRule ^(.*)$ http://domain.tld/ [R,L]
Samo zamjeni ime domena u ovom primjeru.
Paznja: ove promijene mogu zabraniti pristup nekim pluginima.
{ 5 comments… read them below or add one }
Pozdrav mozes li pojasniti ovaj hotlinking gdje se ubaci ovaj kod tacno nasao sam dosta mojih slika kopiranih pa mi je ovo jako bitno ali sam noob pa neznam gdje tacno ovaj kod da ubacim
Kod se stavlja u .htaccess fajlu. Da bi radilo potrebno je da je mod_rewrite enabled ili dozvoljen na severu. Ovaj metod sprijecava da neko “hotlink” slike sa tvoje web stanice sto znaci da je slika na tudjem sajtu prikazana dok je jos na tvom serveru.
Ovaj metod ne sprijecava nikoga da skine {downloadira) sliku i stavi je na svoj server i tako koristi. Neki ljudi stave zig na slike sto sliku cini neupotrebljivom za tudje stanice mada ima i drugih metoda.
Jos nesto, da bi provjerili da li slike mogu biti hotlinkovane mozes ubaciti url slike na ovu stanicu i isprobati:
http://altlab.com/hotlinkchecker.php
Lol opet se nesnalazim moze li neki mali tutor kako se to radi
Ako budem imala vremena, bit ce tutor. Jedna stvar za razmisliti prije pokusaja da se slike blokiaju. Velike web stranice kao sto su Washington Post, Huffington Post, CNN i slicne ne blokiaju svoje slike mada su bas njihove slike najcesce kopirane i hot linkovane. Ako to oni ne rade, da li je igranje sa .htaccess fajlom preporucljivo? Ja mislim da nije, i da pretjerana opreznost zna da vise steti nego pomaze.
{ 1 trackback }