এইচটিএকসেসের মাধ্যমে আমি কীভাবে আমার ওয়ার্ডপ্রেস ইনস্টলটিকে অস্পষ্ট করব?

(আমি জানি যে অস্পষ্টতার মাধ্যমে সুরক্ষার প্রস্তাব দেওয়া হয় না)।

আমি যে ওয়ার্ডপ্রেসটি ব্যবহার করছি তা গোপন করার চেষ্টা করছি। এই পোস্টটি সহায়ক, তবে এটি কেবল সামগ্রীতে (সাজানোর) ঠিকানা দেয়। আমি নিম্নলিখিত ঘটতে আগ্রহী:

1. ব্যবহারকারীরা wp*তাদের ব্রাউজারের মাধ্যমে কোনও স্ট্রিং হিসাবে কোনও ইউআরএল অ্যাক্সেস করার চেষ্টা করে ।

   ফলাফল: 404 পৃষ্ঠায় পুনঃনির্দেশিত।

2. ব্লগ ব্যবহারকারী / প্রশাসক জানেন যে তাদের লগইন করতে হবে http://example.com/blogin/।

   ফলাফল: অ্যাপাচি তাদের এগুলি পুনর্নির্দেশ করেhttp://example.com/wp-admin/।

3. যদি কোনও ব্যবহারকারী wp-adminতাদের ব্রাউজার থেকে সরাসরি অ্যাক্সেসের চেষ্টা করে তবে তারা # 1 এ প্রেরণ পাবেন।

   ফলাফল: 404 পৃষ্ঠায় পুনঃনির্দেশিত।

আমি এ পর্যন্ত কাজ করেছি

1. আমি ওয়ার্ডপ্রেসের একটি ডিফল্ট ইনস্টলের জন্য লক্ষ্য করেছি যে আমি wp*ডাব্লুপি ইনস্টলটির (আপেক্ষিক) মূল ডিরেক্টরিটিতে যে কোনও ফাইল অ্যাক্সেস করতে পারি । বিশেষত wp-settings.phpসমস্যাযুক্ত ছিল কারণ এটি আমার সেট আপ সম্পর্কে তথ্য দেয়। যদি কোনও ব্যবহারকারী এটি অ্যাক্সেস করে থাকে তবে এটি কিছু পিএইচপি ত্রুটিগুলি স্পাউড করবে এবং ডিরেক্টরি কাঠামোর অংশটি প্রকাশ করবে। আমি আমার php.ini ফাইলটি সম্পাদনা করে display_errorsঅফ করে দিয়েছি । এখন অ্যাক্সেস http://example.com/wp-settngs.phpএকটি ফাঁকা পৃষ্ঠা নিয়ে আসে।

2. এটি নিজের মধ্যে এটি আদর্শ নয় কারণ এটি wp-settings.phpউপস্থিত রয়েছে তা প্রকাশ করে । আসলে, সমস্ত বিভিন্ন wp*ফাইল অ্যাক্সেস করা সম্ভব (বিভিন্ন ফলাফল সহ)। আমি আমার htaccess ফাইলে নিম্নলিখিতটি রেখেছি:

         RewriteEngine On
         RewriteBase /
         RewriteCond %{PATH_INFO} wp* [NC]
         RewriteRule .* - [F]
   

   এটি দুর্দান্ত কাজ করেছে! এর সাথে যে কোনও wp*কিছুতেই আমার কাস্টম 404 পৃষ্ঠাতে পাঠানো হয়েছিল। তবে এখন আমি আমার প্রশাসক পৃষ্ঠাটি অ্যাক্সেস করতে পারি না।

3. আমি উপরের কোড এই লাইন সন্নিবেশ করার চেষ্টা: RewriteRule ^blogin wp-admin [NC,R,L]। এটি ঠিক হওয়ার কথা ছিল RewriteBaseতবে এটি কার্যকর হয়নি।

4. আমি একটি করার চেষ্টা করেছি:

   <Directory /home/example/wp*> 
    Order Allow, Deny 
    Allow from example.com 
    Deny from all 
   </Directory> 
   

   আশা করছি যে আমার সাইটের কোনও রেফারার (নিয়মের পুনর্লিখনের মাধ্যমে) ডাব্লুপি-অ্যাডমিন অ্যাক্সেস করতে সক্ষম হবেন তবে বাইরের কেউ নয়। এটিও কাজ করে না। অ্যাপাচি অভিযোগ করেছে যে আপনি এইচটিএক্সেস থেকে এই নির্দেশিকাটি ব্যবহার করতে পারবেন না।

আমি অ্যাপাচি ডকুমেন্টেশন পড়েছি; আমি ধারণাগুলি, তাত্ত্বিকভাবে বুঝতে পারি, তবে আমার কিছু ব্যবহারিক সহায়তা প্রয়োজন।

সম্পাদনা: আমি একটি সমাধান খুঁজছি যা httpd.conf এর পরিবর্তে .htaccess ব্যবহার করে যেহেতু আমার নির্দিষ্ট সেটআপটি httpd.conf ব্যবহার করে না।

TLDR; আপনার .htaccess ফাইলে কেবল নির্দেশিকা ব্যবহার করে ওয়ার্ডপ্রেসকে অস্পষ্ট করা সম্ভব নয়।

হ'ল দুঃখ ও হতাশার গল্প। আমাদের বন্ধু, fbh ওয়ার্ডপ্রেস আড়াল করতে অসুবিধা সম্পর্কে সঠিক ছিল, এটি হলুদ-পেটযুক্ত কাপুরুষদের জন্য নয়। আগমন! এখানে এই (দু: খ) সাহসিকতার বিবরণ দিন। তোমরা সতর্ক হও!

প্রেরণা

আমি সেই ছেলেদের একজন যারা জিনিসগুলি নিখুঁত পছন্দ করে। আমি তাই চাই ব্যয় সময় নষ্ট ওভার ইঞ্জিনিয়ারিং কিছু 'সঠিক ভাবে' যাবে। আমি ডিফল্ট ওয়ার্ডপ্রেস সেটআপ সম্পর্কে যে জিনিসগুলি পছন্দ করি না তার মধ্যে একটি হ'ল কোনও ব্যবহারকারী http://ex.com/wp-settings.php টাইপ করতে পারে এবং তারপরে এই সমস্ত পিএইচপি জার্গনটি সমস্ত জায়গাতেই স্প্রে করতে পারে। অবশেষে আমি পিএইচপি এর মাধ্যমে ত্রুটিগুলি বন্ধ করতে সক্ষম হয়েছি তবে এটি কেবল সার্ভারের থেকে স্থানীয়করণযোগ্য সংস্থান হতে পারে এমন জিনিসগুলি অর্জন করার বৃহত্তর আকাঙ্ক্ষার দিকে পরিচালিত করেছিল ... এবং অন্য সমস্ত কিছু আমাদের কাস্টম অনুসন্ধান পৃষ্ঠায় 404 / 3'আইফাইড হবে। এর পরে আমি এই ধারণাটি পেয়েছিলাম যে আমি অন্তর্নিহিত কাঠামোটি (অর্থাত্ ডাব্লুপি) পুরোপুরি গোপন করতে চাই ... যাইহোক ... আপনি যদি ডাব্লুপি লুকোতে চান তবে এটি সম্ভব। তবে এটি সত্যিই কঠিন।

আপনার ক্বিয়ামতের পদক্ষেপ

1. আপনার পিএইচপি আইএনআই সেটিংস যথাযথভাবে সংশোধন করুন। (অর্থাত্ ডিসপ্লে ত্রুটিগুলি বন্ধ করে দিন) আপনার মনে হতে পারে এটি অপ্রয়োজনীয় কারণ আমরা যদি জিনিসগুলিকে পুনর্বার করার জন্য .htaccess ব্যবহার করি তবে লোকেরা ত্রুটি দেখতে পাবে না কারণ তারা ত্রুটি সৃষ্টিকারী সংস্থানগুলিতে অ্যাক্সেস করতে পারে না (আমি আপনার দিকে তাকাচ্ছি wp-settings.php)। তবে প্রদর্শিত পৃষ্ঠাগুলিতে ত্রুটিগুলি দেখা দিতে পারে, তাই আপনি অবশ্যই সেগুলি বন্ধ করতে চান। WP_*নির্দেশিকা নির্ধারিত হওয়ার কারণে অগত্যা এটির অর্থ এই নয় যে জিনিসগুলি আপনি যেভাবে ভাবেন সেভাবে কাজ করবে। আমি দেখতে পেয়েছি যে আমার সার্ভারে আমাকে প্রদর্শন_প্রত্যেকগুলি মিথ্যা FIRST এ সেট করতে হয়েছিল, কারণ ডাব্লুপি_ডিআইডিআইএল_আরআরএস মনে করেছিল যে ডিফল্ট সেটিংসটি মিথ্যা was

   পিএইচপি আইআইআই সেটিংস নিয়ন্ত্রণ করা আপনার .htaccess ফাইলে কোনও নির্দেশিকা রাখার মতো সহজ কিছু হতে পারে। অথবা, আমার ক্ষেত্রে, কোনও সিজিআই হ্যান্ডলার তৈরি করার মতো জটিল এবং তারপরে সেখানে একটি php.ini ফাইল স্থাপন করা। আপনার সেট আপের উপর নির্ভর করে ওয়াইএমএমভি।

2. wp-উপসর্গ সহ ফাইল / ডিরেক্টরিতে সমস্ত অ্যাক্সেস সরান । ধারণাটি হ'ল আপনার ডাব্লুপি স্থাপনার বিষয়টি আপনার বিষয়বস্তু সম্পর্কে, ডাব্লুপি সম্পর্কে নয় (যদি না এটি নির্দিষ্টভাবে ডাব্লুপি'র উপর দৃষ্টি নিবদ্ধ করে)। লোকেদের HTTP; // ex.com/wp-cron.php কী আছে তা দেখার জন্য এটি বোঝা যায় না ... যদি না তারা ভাল না হয়। আমি এর মাধ্যমে এটি সম্পাদন করেছি:

    # If the resource requested is a `wp-*` file or directory, poop to a 403. 
    RewriteCond %{REQUEST_FILENAME} wp-.*$ [NC] 
    RewriteCond %{ENV:REDIRECT_STATUS} ^$ 
    RewriteCond %{REQUEST_FILENAME} -f [NC,OR] 
    RewriteCond %{REQUEST_FILENAME} -d [NC] 
    RewriteRule .* - [F,L] 
   

3. কীভাবে কেবল মর্ডার দিয়ে যেতে হবে তা শিখুন আপনার সমস্ত অ্যাক্সেস সরিয়ে দিয়েwp-* আপনি আর ডাব্লুপির প্রশাসনিক অংশে অ্যাক্সেস পেতে পারবেন না। সত্যিই এটি স্তন্যপান। এই ডাউনার ছাড়াও, আপনি ঠিক বুঝতে পেরেছেন যে আপনি জানেন না যে RewriteCond %{ENV:REDIRECT_STATUS} ^$আসলে কী করে। ঠিক আছে, আমি যা করার চেষ্টা করেছি তা হ'ল ডাব্লুপি অ্যাডমিন পৃষ্ঠায় নিজেকে একটি 'সিক্রেট' ব্যাকডোর দেওয়া। আমি এই কোডটি ব্যবহার করেছি:

    # If the resource requested is 'mordor' (with or without an ending
    # slash) do a URL rewrite to `wp-login.php`. 
    RewriteCond %{REQUEST_URI} mordor/?$ [NC]
    RewriteRule mordor/?$ /wp-login.php [NC,L]
   

   সুতরাং ইউআরএল: http://ex.com/mordor আমাদের লগইন পৃষ্ঠায় নিয়ে আসা উচিত। REDIRECTউপরের ধাপে আমাদের রেখাটি থাকার কারণটি হ'ল যেহেতু এই URL টি কোনও wp-*ইউআরএলটিতে নতুন করে লেখা হয় , তাই আমরা প্রথম পুনর্লিখনের নিয়মটি এটি পেতে চাই না। যেহেতু এটি অভ্যন্তরীণভাবে পুনঃনির্দেশিত হচ্ছে, REDIRECT_STATUSতাই সঠিকভাবে সেট করা হবে এবং এটি আমাদের ৪০৩/৪ টি স্থানে চাপ দেবে না।

4. সরান WP- বিষয়বস্তু Wordpress.stackexchange WP- বিষয়বস্তু অপসারণ একটি মহান নিবন্ধ রয়েছে। আপনাকে কিছু ডাব্লুপি কনস্ট্যান্টের নতুন সংজ্ঞা দিতে হবে এবং এটি বেশ কার্যকর। আপনাকে সমস্ত অ্যাক্সেসগুলি wp-content'যাই হোক না কেন-সামগ্রী'-তে পুনর্নির্দেশ করতে হবে ` এটি সম্ভবত একটি পরিষ্কার স্থাপনা হলে এটি কোনও সমস্যা হবে না। আপনি যদি পূর্ব-বিদ্যমান স্থাপনা সংশোধন করে থাকেন তবে আপনাকে কিছু অতিরিক্ত জিনিস করতে হবে।

5. WP- বিষয়বস্তু URL গুলি লেখা ঐচ্ছিক RewriteRule (.*)(wp-content)(.*) $1whatever-content$3 [NC,R,L] । এটি আপনার .htaccess ফাইলে যায়। যদি আপনার ব্যবহারকারী কোনও wp-contentURL এর মাধ্যমে কিছু পুরাতন সামগ্রী অ্যাক্সেস করার চেষ্টা করে তবে এটি এখানে পুনঃনির্দেশিত হবে।

6. Grep এবং আপনার ডিবি মধ্যে WP- বিষয়বস্তু সব রেফারেন্স প্রতিস্থাপন ঐচ্ছিক । আপনার এখনও wp-contentআপনার ডাটাবেসে আছে। আপনি যদি ডাব্লুপি মুক্ত করতে চান তবে আপনাকে সেই জিনিসগুলি থেকে মুক্তি দিতে হবে। আমি এক্সপোর্ট / মাইএসকিএল আমার ডাটাবেস ফেলেছি, একটি অনুসন্ধান করেছি এবং wp-contentস্ট্রিংটিতে নতুন স্ট্রিংয়ে প্রতিস্থাপন করেছি । আপনি হয়ত বলতে পারেন ... যদি আপাচি আমার ইউআরএলগুলি আবার লিখতে থাকে তবে আমাকে কেন এটি করতে হবে? সমস্যাটি হ'ল উত্স কোডটি এই রেফারেন্সগুলিকে ধারণ করে তাই আপনি যদি ওয়ার্ডপ্রেসকে অস্পষ্ট করতে সত্যিই আগ্রহী হন তবে আপনার এটি করা দরকার। দ্রষ্টব্য: এই মুহুর্তে আমার কেবল থামানো উচিত এবং বাস্তবতাটি গ্রহণ করা উচিত ছিল যে এটি কাজ করছে না। তবে আমি চেয়েছিলাম মিঃ টি আমাকে দয়া করুন।

7. উত্সে wp-includesএবং সমস্ত রেফারেন্স প্রতিস্থাপন করুন wp-admin। ওয়ার্ডপ্রেস কার্যকারিতা অনেকগুলি এই দুটি ডিরেক্টরিতে নির্ভর করে: wp-includesএবং wp-admin। এর অর্থ সোর্স কোডে এই ডিরেক্টরিগুলির নাম হার্ডকড করা আছে। এর অর্থ হ'ল আপনাকে নতুন ডিরেক্টরি তৈরি করতে হবে (যেহেতু পিএইচপি এইগুলি অ্যাক্সেস করতে অন্তর্নিহিত ওএস ফাইল সিস্টেম ব্যবহার করে) এবং তারপরে নির্গত এইচটিএমএলগুলিতে এইগুলি লিখুন। এটি কেবল খুব বেশি সমস্যা। আমি তাড়াতাড়ি ছেড়ে দিয়ে একটি বাচ্চা নিতে বাথরুমে গেলাম।

পাঠ

অবশ্যই, আমি কেবল http://codex.wordpress.org/ হার্ডডেনিং_বার্ডপ্রেসটি পড়তে এবং এই পদক্ষেপগুলি অনুসরণ করতে পারতাম । তবে আমি নিখুঁত সাইট চেয়েছিলাম। এখন আমি কেবল এই সমস্ত ঘন্টা ফিরে চাই। সবচেয়ে বড় জিনিসটি যা আমাকে থামতে বাধা দিয়েছে তা হ'ল আমি ইন্টারনেটে কোথাও পড়িনি যে এটি অনেক কাজ এবং প্রায় অসম্ভব কাজ। পরিবর্তে আমি পড়ি যে লোকেরা সফল হয়েছে কিনা তা কোনও ধারণা ছাড়াই এটি করার চেষ্টা করছে। সুতরাং, আমার অতীত স্ব, যাকে আমি এটি অ্যাপলের টাইম মেশিনের মাধ্যমে প্রেরণ করব, দয়া করে চেষ্টা করুন এবং ওয়ার্ডপ্রেসকে অস্পষ্ট করবেন না। এটা মূল্য নয়।

আপনি যদি আড়াল করার চেষ্টা করছেন যে ক্র্যাকারগুলির কারণে আপনি ওয়ার্ডপ্রেস ব্যবহার করছেন, তবে আপনাকে সত্যিই কিছু কাজ করতে হবে। আপনি যদি ডাব্লুপি * ট্রিক করেন তবে ডাব্লুপি-কন্টেন্ট এবং ডাব্লুপি-অন্তর্ভুক্ত সম্পর্কে কী? এগুলিতে পৌঁছাতে না পেরে আপনি পৃষ্ঠাটি ভেঙে ফেলবেন এবং এটি ভয়ঙ্কর দেখাবে।

এছাড়াও, ওয়ার্ডপ্রেসে এমন অনেক কিছুই রয়েছে যা সত্যই কিছুটা কাজ করে - এবং আপগ্রেড ইনস্টল হওয়ার পরে আপনাকে সম্ভবত এটির অনেক কিছু করতে হবে। (অ্যাপাচে কয়েকটি পুনঃনির্দেশ যেমন কৌশলটি করবে না)

আপনি যদি মিঃ এবং মিসেস সবার থেকে এটিকে গোপন করার চেষ্টা করছেন তবে অবশ্যই আপনার কিছুটা অস্পষ্টতার সাথে এটি করতে সক্ষম হওয়া উচিত।

আপনি কি "কঠোর ওয়ার্ডপ্রেস" গাইডটি পড়েছেন? যদি তা না হয় তবে আপনার এটি পরীক্ষা করা উচিত: http://codex.wordpress.org/Harding_WordPress এটি আপনাকে করতে পারে এমন অনেক কিছুর একটি দুর্দান্ত ভূমিকা দেয়।

এছাড়াও, আপনি যদি ওয়ার্ডপ্রেস ব্যবহার করেন এমন সত্যটি লুকিয়ে রাখতে আগ্রহী হন তবে কেন এটি ব্যবহার করবেন?

অ্যাপাচি কনফিগারেশনে আপনার কনফিগারেশনটি করার চেষ্টা করুন। এটি ফাইলের মতো অন্তর্ভুক্ত হতে পারে /etc/wordpress/htaccess। এটি আপনাকে Directoryকনফিগারেশন নির্দেশিকা ব্যবহারের অনুমতি দেবে । তবে পরিবর্তনগুলি লোড করতে আপনাকে অ্যাপাচি পুনরায় চালু করতে হবে। আপনি যদি পরিষেবার বাধা না চান তবে গ্রেফুল রিস্টার্টটি ব্যবহার করুন।

.htaccessফাইলগুলির সাথে ডিরেক্টরি অ্যাক্সেসগুলিকে সীমাবদ্ধ করতে তাদের উপযুক্ত ডিরেক্টরিতে থাকা দরকার। এগুলি অনেকটা Directoryকনফিগারেশনের নির্দেশের সামগ্রীর মতো কাজ করে । .htaccessআপনার অ্যাপাচি কনফিগারেশনে আপনাকে প্রয়োজনীয় বিকল্পগুলি সক্ষম করতে হবে । এই পদ্ধতিটি অ্যাপাচি কনফিগারেশনে কমান্ড ব্যবহার করার মতো দক্ষ নয় কারণ এটি ঘন ঘন পুনর্বিবেচনা করা প্রয়োজন।