WordPress 是一个流行且功能强大的内容管理系统，但它的受欢迎程度使其成为各种安全威胁的目标，包括 SQL 注入、DDoS 攻击和其他恶意活动。为了增强 WordPress 网站的安全性，您的武器库中的一个重要工具是文件。如果配置正确，此文件可以通过控制访问和防止常见攻击为您的网站添加额外的安全层。在这篇博文中，我们将引导您为您的 WordPress 网站创建详细而有效的文件。.htaccess.htaccess

什么是 .htaccess 文件？

（超文本访问）文件是运行Apache软件的Web服务器上使用的配置文件。它允许您为网站目录指定各种设置和规则。这些设置可以包括访问控制、URL 重定向、安全指令等。在 Wordpress 安全的背景下，该文件可用于保护您的网站免受特定威胁。.htaccess.htaccess

创建安全的 .htaccess 文件

让我们分解为您的 WordPress 网站创建安全文件的步骤，在此过程中解决各种安全问题。.htaccess

1. 保护和.htaccesswp-config.php

# 保护 .htaccess 文件本身
<files .htaccess> Order Allow，Deny
Deny from all
</files>

# Protect wp-config.php
<files wp-config.php>
Order Allow,Deny
Deny from all
</files>

我们文件中的第一行保护文件本身和关键文件免受未经授权的访问。这是保护敏感配置信息的基本步骤。.htaccesswp-config.php

2. 阻止对 XML-RPC 的访问

# 阻止对 XML-RPC
<Files 的访问 xmlrpc.php> Order Deny，Allow
Deny from all
</Files>

XML-RPC 是一种可能在 DDoS 攻击中被滥用的功能。通过阻止对文件的访问，可以防止攻击者利用它。xmlrpc.php

3. 限制对 wp-login.php 的访问

# 阻止对wp-login的访问.php除了你的IP地址（将xxx.xxx.xxx.xxx替换为你的IP）
<Files wp-login.php> Order Deny，Allow Deny from all
Allow
from xxx.xxx.xxx.xxx
</Files>

本节将对 WordPress 登录页面 （） 的访问限制为仅指定 IP 地址（替换为您的实际 IP 地址）。这有助于防止暴力攻击。wp-login.phpxxx.xxx.xxx.xxx

4. 限制对wp-admin的访问

# 阻止除特定 IP 之外的所有 IP 访问 wp-admin（添加您的 IP）

# Block access to wp-admin for all except specific IPs (add your IPs)
<Directory /wp-admin/>
  Order Deny,Allow
  Deny from all
  Allow from xxx.xxx.xxx.xxx
  Allow from xxx.xxx.xxx.xxx
</Directory>

与前面的规则类似，本节将对 WordPress 管理区域 （） 的访问限制为特定 IP 地址。将您自己的 IP 地址添加到行中。/wp-admin/Allow from

5. 防止目录列出

# 阻止目录列出
Options -Indexes

此行禁用目录列表，确保在没有索引文件（例如或 ）的情况下，访问者无法看到目录的内容。index.htmlindex.php

6. 防止 SQL 注入

# Protect against SQL injection (add more patterns as needed)
<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
  RewriteCond %{QUERY_STRING} (\<|%3C) [NC,OR]
  RewriteCond %{QUERY_STRING} (\'|%27) [NC,OR]
  RewriteCond %{QUERY_STRING} (\"|%22) [NC,OR]
  RewriteCond %{QUERY_STRING} (\<|%3E).*script.*(\>|%3C) [NC,OR]
  RewriteCond %{QUERY_STRING} (javascript:)(.*)(;) [NC,OR]
  RewriteCond %{QUERY_STRING} (base64_encode)(.*)(\() [NC,OR]
  RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|\[|%) [NC]
  RewriteRule ^(.*)$ - [F]
</IfModule>

本部分对于保护您的站点免受 SQL 注入攻击至关重要。它使用 mod_rewrite 来检测和阻止可用于 SQL 注入尝试的可疑查询字符串。

7. 阻止可疑用户代理和恶意机器人

# 阻止可疑的用户代理和已知的恶意机器人（根据需要添加更多）
RewriteCond %{HTTP_USER_AGENT} （bot1|bot2|bot3） [NC，OR]RewriteCond %{HTTP_USER_AGENT} （badbot1|badbot2） [NC]RewriteRule .* - [F]

本部分阻止可疑用户代理和已知恶意机器人访问您的站点。自定义用户代理列表以满足您的特定需求。

8. 阻止常见的 DDoS 攻击模式

# Block common DDoS attack patterns (may require fine-tuning)
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule .* - [F]

此部分通过阻止特定的 HTTP 请求方法来帮助防止常见的 DDoS 攻击模式。请注意，可能需要根据您站点的要求进行微调。

9. 添加安全标头

# Add security headers (requires mod_headers)
<IfModule mod_headers.c>
  Header set X-Content-Type-Options "nosniff"
  Header set X-Frame-Options "SAMEORIGIN"
  Header set X-XSS-Protection "1; mode=block"
</IfModule>

这些行将安全标头添加到 HTTP 响应中。它们包括 、 和 ，它们有助于防止内容类型嗅探、点击劫持和跨站点脚本 （XSS） 攻击。X-Content-Type-OptionsX-Frame-OptionsX-XSS-Protection

结论

将这些安全措施合并到您的文件中是增强 WordPress 网站安全性的重要一步。但是，必须了解安全性是一个持续的过程。定期监控您的网站，更新您的插件和主题，并随时了解新的安全威胁。将配置良好的文件与良好的安全实践相结合将帮助您保护您的 WordPress 网站免受各种威胁。