A .htaccess fájl tulajdonképpen szerver konfigurációs fájl, olyan szabályokat állít fel a szervernek, amelyek a weboldal megjelenítéséhez kapcsolódnak.
A módosításhoz mindenképpen FTP kapcsolatra lesz szükség:
Ha már elérjük a fájlt, töltsük le, majd Total Commanderrel nyissuk meg. (a fent élvőt addig ne piszkáljuk).
1. Az admin megvédése IP cím alapján.
Ha a következőket másoljuk a .htaccess fájlba, csak adott IP címről érhetjük el az admint. Figyelem! A normál, mezei internet előfizetésnél hetente változik az IP, mielőtt ezt használja, mindenképp győződjön meg, hogy az Ön IP címe nem változik!
A kód:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist valaki1 IP address
allow from xx.xx.xx.xxx
# whitelist valaki2 IP address
allow from xx.xx.xx.xxx
</LIMIT>
2. Jelszóval védett admin felület
Ezzel egy plusz belépési ellenőrzéshez jutunk. először is egy jelszó fájlt kell generálnunk itt: https://www.htaccesstools.com/htpasswd-generator/
Ha kész a fájlt másoljuk ide:
public_html/wp-admin/passwd/ – persze ez szolgáltatótól függ, a wp-admin alá csináljunk egy passwd könyvtárat és oda töltsük fel a kapott fájlt.
Majd jöhet a kód:
AuthName “Admins Only”
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Figyeljünk az elérési út helyességére!
3. Könyvtárak távoli olvasása – kikapcsolás
Ezt érdemes kikapcsolni, hogy kívülről ne tudják feltérképezni a WordPresst. Ehhez egy plusz sok kell a .htaccessbe:
Options -Indexes
4. PHP futtatás kikapcsolása bizonyos könyvtárakban
Ebből a szempontból különösen az uploads könyvtár lehet veszélyes. A teendő: akár egy Jegyzettömbbe beírjuk ezt:
<Files *.php>
deny from all
</Files>
.htaccess néven mentjük el és oda töltjük fel, ahol szeretnénk megakadályozni a php futtatást!