[Chinese]安全加固WordPress
WordPress是个Web应用,那么它也遵循普通Web应用的安全加固原则。但是它也有一些自己的特点。
上次说到被人种了webshell, 在后续安全加固Wordpress中,还遇到了一个小插曲 – .htaccess该乱了,系统不能访问了。参照了wordpress.org上面的官方网站上http://codex.wordpress.org/Hardening_WordPress上的建议,安装了两个安全插件wp-security-scan以及AskApache . WP-Security-Scan的安装和运行比较顺利,对wordpress进行了一个初步的文件权限、口令、数据库等的检查,发现了几个小问题。AskApache的安装也还好,设置了管理员口令,对wp-admin的目录进行保护。设置完后,很想看看它在系统上到底做了什么。
AskApache在wordpress的根目录生成了.htaccess, 和.htpasswda1,在管理目录wp-admin下生成了.htaccess,它们的内容格式附在下面。
如果要手工修改这几个文件,需要特别小心。如果发生以外,wordpress的管理界面可能无法登录。这时,能做的是登录到网站上手工删除这几个文件,然后在重新启动AskApache,重新配置生成。
Root .htaccess
/home/qwsak/public_html/sbin/blog/.htaccess
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /blog/
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /blog/index.php [L]
</IfModule>
# END WordPress
AuthUserFile “/home/qwsak/.htpasswds/public_html/sbin/blog/passwd”
.htpasswda1
/home/qwsak/public_html/sbin/blog/.htpasswda1
# BEGIN AskApache PassPro
admin1:{SHA}AyQQIUIo2udKDUCE2jvBMok8tk8=
# END AskApache PassPro
wp-admin .htaccess
/home/qwsak/public_html/sbin/blog/wp-admin/.htaccess
# BEGIN AskApache sid900
DirectoryIndex index.php /index.php
Order Deny,Allow
Deny from All
Satisfy Any
AuthName “Protected By AskApache”
AuthUserFile /home/qwsak/public_html/sbin/blog/.htpasswda1
AuthType Basic
Require valid-user
<FilesMatch “\.(ico|pdf|flv|jpg|jpeg|mp3|mpg|mp4|mov|wav|wmv|png|gif|swf|css|js)$”>
Allow from All
</FilesMatch>
<Files async-upload.php>
Allow from All
</Files>
# END AskApache sid900
Thanks for your tips! I will apply security plug-in too. Non-security is really not an option I think.