ป้องกัน WordPress ของคุณด้วย .htaccess ใครกลัวโดน Hack เอาไปลอง

BeerKingMan · 05 เมษายน 2012, 19:30:53

เห็นหลายคนบ่นๆเรื่อง .htaccess กันเยอะ เอ๊า จัดให้ซ่ะหน่อย

พื้นฐานทั่วไป มันควรจะเป็นแบบนี้

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

ป้องกันไฟส์ wp-config.php เพราะมันคือหัวใจหลักของ WP

โค้ด เลือก

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Admin เข้าได้จาก IP เครื่องเราเท่านั้น(ป้องกัน admin folder ทั้งหมดเข้าได้แค่เรา)

โค้ด เลือก

order deny,allow
allow from 202.090.21.1 (replace with your IP address)
deny from all

แบน IP พวกชอบแสปม

โค้ด เลือก

<Limit GET POST>
order allow,deny
deny from 202.090.21.1
allow from all
</Limit>

ป้องกันอย่างอื่นแล้ว อย่าลืมป้องกันไฟส์ .htaccess นะ

โค้ด เลือก

<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

ถ้ามันมีประโยชน์กด + ให้ด้วยนะครับ ถ้าไม่เกิดประโยชน์กับใคร ก็กดปิดไปเลยครับ

adsene5438 · 05 เมษายน 2012, 19:36:36

ขอบคุณครับ อีกอันหนึ่ง ระวังตัวนี้ด้วย

hxxt://www.xxxxx.com/wp-content/uploads

ของดีอยู่ที่นี้แหละ

TummZ · 05 เมษายน 2012, 19:40:51

+1 ขอบคุณมากๆครับ

iLhay · 05 เมษายน 2012, 20:22:55

ถ้า IP เป็น dynamic คุณจะต้องเปลี่ยนทุกๆครั้งที่ IP คุณเปลี่ยนน่ะสิ ="=

แต่ถ้า static ก็ไม่มีปัญหา

nice trips

stvip16 · 05 เมษายน 2012, 20:51:27

ขอบคุณครับ

Freedomlover · 05 เมษายน 2012, 20:58:34

เพิ่มเติม การตั้งชื่อ user พยายามหลีกเลี่ยงชื่อที่เดาได้ง่าย เช่น admin,test,..... หรือชื่อโหลๆ เช่น peter , alex,.... (ฝรั่งชอบเดาชื่อพวกนี้เข้ามา) ให้เปลี่ยนเป็นอย่างอื่นครับ

nornak · 05 เมษายน 2012, 21:50:14

ขอไปทดลองหน่อยนะครับ

เกมส์เกมส์.com · 05 เมษายน 2012, 21:52:07

+1 ให้ครับ ว่าแต่เอาไปวางไว้ที่ไหนเหรอครับ ตัวป้องกัน ป้องกัน admin folder

siamseo · 05 เมษายน 2012, 22:27:13

ขอบคุณครับ

queen110 · 05 เมษายน 2012, 22:30:50

มีประโยชน์มาก เคยโดนไปครั้งนึงถึงกับเซ็ง

Muller · 05 เมษายน 2012, 23:56:20

ถ้าผมเอามารวมกันทั้ง 4 แบบ เป็น

โค้ด เลือก


<Files wp-config.php>
order allow,deny
deny from all
</Files>
order deny,allow
allow from 202.090.21.1 (replace with your IP address)
deny from all
<Limit GET POST>
order allow,deny
deny from 202.090.21.1
allow from all
</Limit>
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

แล้ว save ทั้งหมดเป็น .htaccess จะได้ไหมครับ

@StarexVIP · 06 เมษายน 2012, 00:03:31

อ้างถึงจาก: BeerKingMan ใน 05 เมษายน 2012, 19:30:53
เห็นหลายคนบ่นๆเรื่อง .htaccess กันเยอะ เอ๊า จัดให้ซ่ะหน่อย

พื้นฐานทั่วไป มันควรจะเป็นแบบนี้

โค้ด เลือก ขยาย
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress

ป้องกันไฟส์ wp-config.php เพราะมันคือหัวใจหลักของ WP

โค้ด เลือก ขยาย
<Files wp-config.php> order allow,deny deny from all </Files>

Admin เข้าได้จาก IP เครื่องเราเท่านั้น(ป้องกัน admin folder ทั้งหมดเข้าได้แค่เรา)

โค้ด เลือก ขยาย
order deny,allow allow from 202.090.21.1 (replace with your IP address) deny from all

แบน IP พวกชอบแสปม

โค้ด เลือก ขยาย
<Limit GET POST> order allow,deny deny from 202.090.21.1 allow from all </Limit>

ป้องกันอย่างอื่นแล้ว อย่าลืมป้องกันไฟส์ .htaccess นะ

โค้ด เลือก ขยาย
<Files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </Files>

ถ้ามันมีประโยชน์กด + ให้ด้วยนะครับ ถ้าไม่เกิดประโยชน์กับใคร ก็กดปิดไปเลยครับ

+1 ขอเก็บครับ

kunura · 06 เมษายน 2012, 00:04:14

ขอบคุณครับ

Muller · 06 เมษายน 2012, 00:09:51

ใครบอกหน่อยครับ....ทั้ง 5 แบบ เอาไปใช้ยังไง ....เอามารวมเป็นไฟล์เดียวกันหรือแยกเป็นไฟล์ไป...

Bajita · 06 เมษายน 2012, 00:31:10

นับว่าเป็นประโยชน์มาก ขอบคุณครับ

ownermylife · 06 เมษายน 2012, 03:47:40

เจ๋งๆ ขอบคุณครับ

Muller · 06 เมษายน 2012, 08:46:49

อ้างถึงจาก: Muller ใน 06 เมษายน 2012, 00:09:51
ใครบอกหน่อยครับ....ทั้ง 5 แบบ เอาไปใช้ยังไง ....เอามารวมเป็นไฟล์เดียวกันหรือแยกเป็นไฟล์ไป...

ตอบหน่อยค๊าบ.......

supaman · 06 เมษายน 2012, 08:56:33

โค้ด เลือก

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

<Files wp-config.php>
order allow,deny
deny from all
</Files>

order deny,allow
allow from 202.090.21.1 (replace with your IP address)
deny from all

<Limit GET POST>
order allow,deny
deny from 202.090.21.1
allow from all
</Limit>


<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Copy ไปใส่ต่อจากไฟล์ .htaccess ที่ท่านมีอยู่ใน wordpress หรือว่าจะสร้าง .htaccess ขึ้นมาใหม่แล้วเอาไปวางในตำแหน่งเดียวกับ wp-config.php อ่ะครับ งงตัวเอง

supaman · 06 เมษายน 2012, 09:02:57

หรือใครไม่อยากจัดการอะไรมาก แนะนำ plugin ตัวนี้ครับ Limit Login Attempts

โค้ด เลือก

http://wordpress.org/extend/plugins/limit-login-attempts/

แม้จะไม่ได้ครอบคลุมทั้งหมด แต่ก็คงทำให้ผู้ประสงค์ไม่ดีลำบากขึ้นมาหน่อย ไฟล์ 155 kb

aodify · 06 เมษายน 2012, 09:13:01

<Files ~ "^.*\.([Hh][Aa])"> ตัวแดงนี้ ต้องเปลี่ยนไหมครับ ใส่เป็นอย่างอื่นได้ไหม
order allow,deny
deny from all
satisfy all
</Files>

+1
ขอบคุณครับ