Безопасность и.htaccess

ОБНОВЛЕНИЕ: Когда я впервые опубликовал свой ответ, я пропустил суть вопроса; мой ответ касался .htaccess безопасности в целом и теперь указан под двойной строкой (посмотрите вниз, если это вас интересует). К сожалению, у меня нет особого опыта в обеспечении /wp-admin/ с помощью .htaccess, поэтому я просто перечислю два ресурса, которые я буду использовать, когда и если мне это понадобится:

• Укрепление WordPress с помощью.htaccess
• Пароль AskApache Защита, Для WordPress

Первый рекомендует следующее (и вот некоторое обсуждение этого.)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

В последнем содержится много информации, особенно в комментариях, но, по общему признанию, предоставление вам списка для чтения - это не тот ответ, который вы искали.

Извините, я не мог быть более полезным в этом вопросе.

========================================

Обычно WordPress имеет только следующее обработана обработка постоянных ссылок и не связана с безопасностью:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Недавно я нашел плагин WP htacess Control, который управляет многими .htaccess для вас, и мне это очень нравится. После настройки настроек он добавил следующие параметры:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Он также добавил эти параметры, которые касаются производительности, а не безопасности:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Помимо этого, есть некоторые плагины, которые я не пробовал, но которые ориентированы на безопасность и взаимодействуют с .htaccess - вы можете попробовать их каждый, просто чтобы посмотреть, что они делают с файлом .htaccess:

• WP Супер безопасный и быстрый htaccess ( также)
• Пуленепробиваемая Защита
• Молчание - Золотая Стража
• WP-блокировать вас
• Скрытый вход в систему
• Аутентификация по протоколу HTTP
• Защита паролем AskApache

Помимо этого, если вы хотите знать эксперта (IMO) № 1 ресурс по безопасности Apache, связанный с WordPress вы можете найти его на AskApache.com ; чувак - это хардкор! Его блог не решит вашу проблему "слишком много информации", но, по крайней мере, вы можете рассматривать его как авторитетный ресурс!

Вот несколько примеров (хотя не все они напрямую связаны с WordPress, все они применимы):

• Продвинутый WordPress wp-config.php Настройки
• Пример.htaccess для WordPress
• Продвинутый WordPress 404
• Хитрости mod_security.htaccess
• . Плагин htaccess Блокирует Спам, хакеров и Защищает блог паролем

В любом случае, надеюсь, это поможет.