|
最近越来越多的站长关注wordpress网站的安全了,正好小V也最近也没什么教程好更新的,就写点有关于wordpress网站安全防护的教程吧。今天小V教大家使用.htaccess文件保护wordpress站点不被恶意访客骚扰。 首先是垃圾评论,一直以来wordpress垃圾评论就是各大wordpress站长头疼的问题,很多垃圾评论都是软件直接利用wp-comments-post.php文件来直接提交的,那么我们可以利用.htaccess文件来屏蔽wp-comments-post.php被直接访问,代码如下:(2013.10.31更新:下面有位网友提问说用了小V的.htaccess防垃圾评论代码出现访问错误,这里小V提示下代码中的yourdomainname.com要替换成自己的域名。) <IfModule mod_rewrite.c>RewriteEngine OnRewriteCond %{REQUEST_METHOD} POSTRewriteCond %{REQUEST_URI} .wp-comments-post\.php*RewriteCond %{HTTP_REFERER} !.*yourdomainname.com.* [OR]RewriteCond %{HTTP_USER_AGENT} ^$RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]</IfModule> 接下来是防sql注入等恶意请求: Options +FollowSymLinksRewriteEngine OnRewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})RewriteRule ^(.*)$ index.php [F,L] 之前小V曾说过wordpress有个爆路径的漏洞,参考这篇文章:《wordpress防黑教程之预防全版本通杀爆绝对路径漏洞》,其实我们可以利用.htaccess来禁止某系目录下的php文件被直接访问,以/wp-content/themes/目录为例: <Directory "/example/htdocs/wp-content/themes/"> <Files *php> Order allow,deny Deny from all </Files> </Directory> 接下来是保护上传文件夹的安全,我们可以用.htaccess文件来禁止在wordpress默认文件上传目录中运行php文件,代码如下: <Directory "/example/htdocs/wp-content/uploads/"> php_admin_flag engine off </Directory> 以上部分代码可以根据个人网站情况做适当修改。 |
|