Apache htaccess 的主要用途
htaccess 是 Apache 網頁伺服器的一個設定檔,它的主要用途是針對單一目錄(及其子目錄)或檔案進行配置調整,而不需更改主伺服器設定檔(如 httpd.conf)。這讓網站管理者可以靈活地控制網站的行為。當然也包含了誰或哪可存取網站或檔案。
分析 WordPress 的主要漏洞來源
| 漏洞來源 | 風險等級 | 解決方式 |
|---|---|---|
| 外掛漏洞 | 非常高 | 選擇可信外掛並定期更新 |
| 主題漏洞 | 高 | 使用官方/付費主題 |
| 核心未更新 | 高 | 啟用自動更新 |
| 弱密碼 | 高 | 使用強密碼與二步驗證 |
| 權限錯誤 | 中高 | 設定正確權限 |
| 環境漏洞 | 中 | 更新 PHP/MySQL 並安全設置 |
| 第三方服務 | 中低 | 評估並審查使用的服務 |
個人實務經驗觀查漏洞來源
外掛漏洞,主題漏洞跟弱密碼登入是其中最常被使用的方式。由於機器人跟漏洞自動找尋程式當道。當一但機器人找到後最常用的就是利用上傳功能上傳網頁的 DB 跟檔案總管後台。當然還有其它上傳的方式。這裡先用簡單的方式估計也能擋掉部份。開啟網站根目錄的 .htaccess 增加下列程式碼即可。
- 限制 WordPress 登入(wp-login.php): 這樣可以確保只有特定的 IP 能夠訪問
wp-login.php,從而避免非授權登入。
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from YOUR_IP_ADDRESS
</Files>- 防止安裝外掛和主題的 HTTP 請求: 可以進一步通過阻止對特定 WordPress 管理頁面的 HTTP 請求來防止外掛和主題的安裝或更新。
<FilesMatch "(plugin-install\.php|theme-install\.php)">
Order Deny,Allow
Deny from all
Allow from YOUR_IP_ADDRESS
</FilesMatch>這兩段程式就是一般很簡單的防護程式。雖然光靠這兩段小程式是無法完整阻擋所有的網路上的機器人的測試。但我的實務上的觀察已經可擋掉不少的惡意連線。
