Jak zabezpieczyć Wordpress?

 1. Ukrycie wp-config.php and .htaccess files

Dodanie w htaccess:

# protect wpconfig.php 

<files wp-config.php> 

  order allow,deny 

  deny from all 

</files>

<Files .htaccess>

order allow,deny

deny from all

</Files>

2. Zablokowanie edycji plików przez zaplecze

W pliku wp_config.php

define('DISALLOW_FILE_EDIT', true);

3. Wyłączenie indeksowania i przeglądania katalogów

W htaccess na końcu pliku:

Options -Indexes

4. Zmiana prefixu bazy danych

Najprościej wtyczka Brozzme DB Prefix & Tools Add-ons

5. Zabezpieczenie wp-includes

W htaccess:

# Block the include-only files.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

6. Zablokowanie XML-RPC 

W functions.php (blokuje wszystko):

add_filter('xmlrpc_enabled', '__return_false');

Zablokowanie tylko pingbacków w functions.php

function webinsider_remove_only_xmlrpc_pingback( $methods ) {

unset( $methods['pingback.ping'] );

return $methods;

}

add_filter( 'xmlrpc_methods', 'webinsider_remove_only_xmlrpc_pingback' );

W htaccess:

<files xmlrpc.php>

Order allow,deny

Deny from all

</files>

7. Ukrycie wersji Wordpress. 

W functions.php motywu:

function wp_version_remove_version() {

return '';

}

add_filter('the_generator', 'wp_version_remove_version');

8. Instalacja wtyczki Wordfence

9. Regularny Backup

Backup na zewnętrzny serwer np. One Drive, Google Drive

10. Regularne aktualizacje wtyczek i motywu

11. Usunąć zbędne wtyczki i nieużywane motywy

12. Zmiana haseł na mocne

13. Instalacja SSL

Nie używając wtyczki!

W pliku htaccess:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

</IfModule>

W Wordpress w ustawieniach ogólnych zmienić adres strony z http na https

Zamiana polskich znaków w Total Commander

Jak masowo zmienić polskie znaki i spacje w Total Commander?

Zaznacz pliki prawym klawiszem myszy pliki, z których nazwy chcesz usunąć polskie znaki.

Wybierz z menu Pliki -> Narzędzie wielokrotnej zmiany (albo wciśnij Ctrl+M).

W polu Szukaj wpisz wszystkie polskie znaki występujące w alfabecie i oddziel je od siebie pionową kreską. Za kolejną pionową kreską postaw spację: 

ę|ć|ó|ł|ą|ć|ś|ż|ń| 

W polu Zamień na wpisz odpowiedniki dla polskich znaków, także oddzielone pionową kreską. 

Spację, po pionowej kresce, w tym przypadku zamieniam na myślnik.

e|c|o|l|a|c|s|z|n|-

Teraz wystarczy tylko kliknąć Start!

Gdzie znaleźć klucz Bitlocker?

Jeśli nie eksportujesz kluczy do pliku to znajdziesz je na swoim koncie Microsoft:

https://myaccount.microsoft.com/device-list

Na stronie znajduje się lista urządzeń, na którym logowało się do konta Microsoft. Klucze znajdują się pod przyciskiem View Bitlocker Keys.

Jak sprawdzić co wybudziło komputer z uśpienia?

Jeśli komputer sam wybudza się z hibernacji możesz sprawdzić, które urządzenie jest tego przyczyną.
Uruchom konsolę:
otwórz polecenie Uruchom (jednocześnie klawisze Windows+R albo menu Start->Uruchom) w wierszu polecenie wpisz cmd.

Wpisując w konsoli

powercfg -lastwake

sprawdzisz co ostatnio wybudziło komputer.

Wpisując

powercfg -devicequery wake_armed

wyświetlisz nazwę urządzenia, które może go wybudzać.

Błąd: Login failed for user 'IIS APPPOOL\DefaultAppPool'

Komunikat błędu:

Rozwiązanie polegające na zmianie Pool Application Identity na wbudowane konto systemowe jest ze względów bezpieczeństwa złym rozwiązaniem.

Najlepszym sposobem jest po prostu dodanie użytkownika

IIS APPPOOL\DefaultAppPool

w instancji swojej bazy danych i nadanie mu odpowiedniego poziomu uprawnień.

Więcej na temat Application Pool Identities: http://learn.iis.net/page.aspx/624/application-pool-identities/

Błąd IIS 7.5. W obsłudze PageHandlerFactory-Integrated na liście modułów wymieniony jest niewłaściwy moduł ManagedPipelineHandler

Otwierając localhost wyskakuje błąd:

W obsłudze PageHandlerFactory-Integrated na liście modułów wymieniony jest niewłaściwy moduł ManagedPipelineHandler

Komunikat błędu (screen znaleziony w internecie, niestety nie zdążyłem zrobić screena swojego błędu, który był identyczny, jedynie w języku polskim)

Jest to błąd .NET Framework, trzeba przeprowadzić ponowną instalację platformy.

Kliknij Start -> Uruchom
w wierszu wklej polecenie:

%windir%\Microsoft.NET\Framework\v4.0.30319\aspnet_regiis.exe -i

zatwierdź Enterem. Rozpocznie się instalacja .NET Framework.

Ponownie otwórz polecenie Uruchom i wklej:

%windir%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -i

Znów zacznie się instalacja.

W obu przypadkach v4.0.30319 trzeba zastąpić swoją wersją Frameworka.

Teraz wystarczy zrestartować serwer IIS i strona powinna już działać.

Ciekawe artykuły na temat mod_rewrite

Mod rewrite w przykładach

http://sf.jogger.pl/2007/05/02/mod-rewrite-w-przykladach/

Pliki .htaccess i reguły RewriteRule

http://4programmers.net/Z_pogranicza/Mod_rewrite