htaccess
Το .htaccess είναι αρχείο ρυθμίσεων του server (Apache) που ελέγχει πώς συμπεριφέρεται το site σου, χωρίς να πειράξεις τον κεντρικό server.
Βρίσκεται στον φάκελο του site σου (π.χ. public_html/) και διαβάζεται σε κάθε request.
Τι μπορείς να κάνεις με αυτό
Με λίγες γραμμές αλλάζεις συμπεριφορά σε:
- Ασφάλεια
- Redirects
- URLs (permalinks)
- Πρόσβαση σε αρχεία
- Cache
- Συμπίεση
- Προστασία φακέλων
Παραδείγματα
xmlrpc.php
Τι είναι το xmlrpc.php;
Είναι ένα αρχείο του WordPress που επιτρέπει:
- απομακρυσμένη διαχείριση του site
- σύνδεση mobile apps του WordPress
- παλιές integrations (π.χ. pingbacks, trackbacks)
- API-style αιτήματα (POST requests)
Τι κάνει πρακτικά;
Μπλοκάρει πλήρως την πρόσβαση στο xmlrpc.php από όλους.
Δηλαδή: κανείς δεν μπορεί να το καλέσει από browser ή bot επιστρέφει “403 Forbidden”
Γιατί το μπλοκάρουν οι περισσότεροι;
Γιατί είναι συχνός στόχος επιθέσεων:
- brute force login attacks
- DDoS μέσω XML-RPC pingbacks
- scanning bots που το χτυπάνε συνεχώς
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>wp-config.php
Μπλοκάρει πλήρως την πρόσβαση στο wp-config.php από το web.
<Files wp-config.php>
Deny from all
</Files>Γιατί είναι σημαντικό
Το wp-config.php είναι από τα πιο κρίσιμα αρχεία του WordPress γιατί περιέχει:
- database username
- database password
- salts & security keys
- βασικές ρυθμίσεις του site
Αν αυτό εκτεθεί → ουσιαστικά εκθέτει όλη τη βάση δεδομένων.
Απενεργοποίηση εκτέλεσης PHP στον φάκελο uploads για λόγους ασφάλειας
Αυτό προσπαθεί να μπλοκάρει ΟΛΑ τα .php αρχεία μέσω web access.
Δηλαδή: κανείς δεν μπορεί να καλέσει PHP αρχεία απευθείας από browser επιστρέφεται 403 Forbidden
#Begin Really Simple Security
<Files *.php>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order deny,allow
Deny from all
</IfModule>
</Files>
#End Really Simple SecurityΑν έχεις WordPress
Ο κώδικας αυτός τοποθετημένος μέσα στον φάκελο uploads του WordPress εμποδίζει την εκτέλεση οποιουδήποτε αρχείου PHP μέσα σε αυτόν τον χώρο. Στην πράξη, σημαίνει ότι ακόμα κι αν κάποιος καταφέρει να ανεβάσει ένα κακόβουλο αρχείο τύπου PHP στον φάκελο των uploads, δεν θα μπορεί να εκτελεστεί από τον server μέσω browser, επιστρέφοντας σφάλμα πρόσβασης. Αυτό είναι σημαντικό μέτρο ασφάλειας, γιατί ο φάκελος uploads χρησιμοποιείται κυρίως για εικόνες και αρχεία και δεν πρέπει να επιτρέπει εκτέλεση κώδικα. Με αυτόν τον τρόπο μειώνεται σημαντικά ο κίνδυνος παραβίασης του site μέσω κακόβουλων uploads ή web shells.