Salutare. Am un site pe wordpress si ma intereseaza sa il fac "bullet-proof". Am gasit cateva "ajutoare" pentru .htaccess care imi permit sa imi securizez mai bine wp-ul insa nu reusesc sa inteleg cum ar trebui sa arate fisierul meu la final.

Ca default .htaccess arata cam asa

Cod:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

# END WordPress


In principiu m-ar interesa urmatoarele:

- blocarea accesului la wp-config

Cod:
<files wp-config.php="">
order allow,deny
deny from all
</files>


- blocarea spammerilor

Cod:
<limit get="" post="" put="">
order allow,deny
allow from all
deny from ip_adress_1
deny from ip_adress_2
deny from ip_adress_3
deny from ip_adress_4
</limit>

- blocarea injectiilor

Cod:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

- protejare impotriva hotlinkingului

Cod:
RewriteEngine On
#Replace ?site\.com/
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?site\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /imagini/hotlink.jpg [L]

- eliminarea posibilitatii de a incarca un fisier pe server intr-un director cu permisiuni de scriere

Cod:
Options -Indexes

De asemenea, vreau sa stiu daca cunoaste cineva vreo modalitate de a ascunde wp-admin intrucat

Cod:
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} wp-admin/
RewriteCond %{QUERY_STRING} !YOURSECRETWORDHERE
RewriteRule .*\.php [F,L]
RewriteCond %{QUERY_STRING} !YOURSECRETWORDHERE
RewriteRule ^ADMINFOLDER/(.*) wp-admin/$1?%{QUERY_STRING}&YOURSECRETWORDHERE [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
nu functioneaza cum trebuie.


Ca alte masuri de securitate am facut sa fie realizat backup la fiecare 24 de ore (toate fisierele si baza de date), am eliminat versiunea wp-ului, un plugin care mai elimina din injectii daca cel din .htaccess da gres, fortarea SSL pentru conexiuni (sunt plecat si folosesc free wifi-uri), returnarea null la erorile de logare etc.

In momentul de fata acest lucru este pentru un proiect destul de maricel, de aceea vreau sa fac un fel de WP (versiunea paranoica)

Problema este ca .htaccess-ul meu arata cam dezastruos si se pare ca nici nu actioneaza toate de mai sus? Cunoaste cineva bine partea asta sa acorde putin ajutor?

Multumesc.