遭攻擊網站列表如下
https://stop-russian-desinformation.near.page
https://gfsis.org/
http://93.79.82.132/
http://195.66.140.252/
https://kordon.io/
https://war.ukraine.ua/
https://www.fightforua.org/
https://bank.gov.ua/
https://liqpay.ua
https://edmo.eu

載入網站後，這支JavaScript將利用訪問者的瀏覽器強行對列表中的網站執行 HTTP GET 請求，每次發出約1,000同時連線的請求。除了瀏覽器速度變慢之外，用戶並不會發覺到說，自己的瀏覽器被用來發動DDoS攻擊。

對於遭攻擊的網站發出的請求都會利用隨機字串，藉此繞過一些流量清洗服務(Cloudflare或Akamai)，直接攻擊網站伺服器。

DDoS攻擊對於網站伺服器發出的請求如下：
“GET /?17.650025158868488 HTTP/1.1”
“GET /?932.8529889504794 HTTP/1.1”
“GET /?71.59119445542395 HTTP/1.1”

目前大概有數百個WordPress網站遭此方式入侵，目前仍未有網站管理者或是主機服務商注意到這問題。來自BleepingComputer的開發人員Savchenko表示。

但是BleepingComputer團隊發現，同樣也有烏克蘭的網站利用此方式攻擊俄羅斯的網站，目前約有67個俄羅斯網站遭到攻擊。

文章來源

什麼是DDoS攻擊？

如何防禦DDoS攻擊？

WordPress放什麼主機最適合？

什麼是WordPress資安型主機？

#WordPress #WordPress網站 #DDoS攻擊 #DDoS防禦 #DDoS流量清洗

#烏俄戰爭 #瀏覽器 #JavaScript #Cloudflare #Akamai #WordPress主機

#WordPress資安型主機 #惡意腳本 # WordPress漏洞

The post WordPress網站遭駭客利用對烏克蘭網站發動DDoS攻擊 first appeared on 捕夢網 Blog.

虛擬主機指的是將一台實體主機分割成多個主機空間共享資源，每個主機空間之間擁有不同的規格配置，讓每一個虛擬主機都擁有獨立網域、網頁、資料庫、FTP 及 Email 等服務。

捕夢網 WordPress 主機是專為 WordPress 網站設計的方案，除了提供一鍵安裝與自動更新 WordPress ，也有多種熱門網站必備功能，可以幫助您簡單快速架設網站，又能省去龐大的設備支出，適合缺乏 IT 人員的公司，WordPress 虛擬主機是網站架設的推薦首選!

誰適合使用 WordPress 主機？

• 客群以網路開創商機與銷售產品服務用戶為主
• 無 IT 技術人員或資源
• 適合剛架站且有預算考量

如何選擇適合的WordPress 主機?

捕夢網將會協助你選擇最適合的 我適合哪種WordPress主機?。捕夢網提供主機雙重升級，專門為WP量身訂做的，有效提升您的網站速度與效能

1.捕夢網WordPress主機速度必備

是否在製作wordpress網頁時 上傳部落格文章傳不上去? 上傳圖片傳好久?

捕夢網WordPress主機結合WP Rocket，加快WordPress虛擬主機速度。提升後端網站伺服器的速度，強化前台網站讀取速度。

2.虛擬主機正常運作時間＋安全性考量

建議挑選 99.9% 以上正常運行時間的 WordPress 主機。由於Wordpress 主機是非常熱門的開源系統，開源系統架站的一大特點就是開放程式，同時也造成很多網站漏洞安全的隱憂。 捕夢網將針對提供資安型Wordprsss主機，提供最完善的保護

了解資安型wordpress主機  https://www.pumo.com.tw/hosting/wordpressSecurity.jsp

3.全天候7X24技術客服支援服務

一般國外雖然有7X24的客服，但是卻只有英文服務，造成一點點困擾。捕夢網提供7×24全天的中文技術客服。技術工程師7×24值班，可以即時幫忙檢測及排除障礙。除了電話客服，線上即時真人客服聊天，能即時協助處理。

4.如何挑選WP虛擬主機

建議可依照個人需求，找到最適合自己的 WordPress 虛擬主機。捕夢網針對Wordpess主機量身訂做瞭解wordpress虛擬主機。建議可先使用共享主機，簡單比好上手，費用也相對便宜，且能在最短速度完成 WordPress 網站架設。

想架設 WordPress 需要什麼？誰會用Wordpress來建立網站?

WordPress 是一個開源平台且是免費的， 通常給不會寫程式的人，就能夠架站的免費的一種開源內容管理系統。不懂程式碼的你也不用這麼擔心，可以透過自行編輯以視覺化地拖曳區塊，後台的操作介面也很容易明瞭，可以編輯出自己喜歡的設計風格的網站。

用Worpress可以建立自己的公司網站、形象網站、個人部落格、購物車網站、教學網站、作品集網站、活動報名網站、電子商務網站等。

架設網站 輕鬆建立自己的網站

第一步-架設WordPress購買網址

要獲得網址和 WordPress 虛擬主機，第一步你需要去申請/註冊網域Domain→網域申請。架設網站 有三個大3 要素: 1. 購買網址2. 申請主機3. 網頁設計，三者缺一不可。

捕夢網提醒你挑選網域的好訣竅: 首先先最確認您需要的是哪一種? 常見的有.com .net .org .tw 等等。最重要的是選一個能夠建立品牌的網域名稱

為你的網站選一個好記的名稱。

第二步- 架設WordPress網頁設計

網頁設計方面，WordPress 幾乎能做出不同類型的網站。其實真的不用這麼擔心，網站的設計就交給wordpress了。WordPress版型選擇 ，網頁設計搞定了，但是WordPress虛擬主機該如何做選擇?

第三步- 架設WordPress申請主機

接著第三步這時需要申請 WordPress 虛擬主機，我剛開始架設網站，要選擇哪種虛擬主機呢？
主機越高階越貴、網站速度越快。WordPress這個軟體，需要安裝於主機上才能運用。主機價格就如同電腦一樣，效能越高、費用越貴。另外，捕夢網除了提供WP主機外，也提供資安型WordPress主機，提升主機的安全性，保護網站安全。

想更多了解wordpress主機或資安型主機，可以參考

申請Wordpress虛擬主機 https://www.pumo.com.tw/hosting/wordpress.jsp

申請Wordpress資安型主機 https://www.pumo.com.tw/hosting/wordpressSecurity.jsp

或是打電話或是來信給捕夢網 專人為您解答
電話:02-8226-9123
信箱:service@pumo.com.tw

The post 什麼是WordPress 虛擬主機？如何選擇WordPress 主機? 如何輕鬆架設網站? first appeared on 捕夢網 Blog.

GoDaddy 的 WordPress 託管（Managed WordPress）可供客戶建置與管理網站，這項服務會為 GoDaddy 的客戶處理網站的主機管理工作，例如安裝 WordPress、每日自動備份、更新 WordPress 核心元件以及伺服器層級快取等等。

然而 GoDaddy 向 SEC 提交的文件指出，駭客在 9 月初使用遭洩漏的密碼取得其 provisioning system 的造訪權限；而 11 月 17 日 GoDaddy 發現未經授權的第三方嘗試造訪 WordPress 託管環境，在發現可疑入侵後立即將駭客封鎖在外，隨後展開調查並通報當地執法機關。

駭客不僅取得多達 120 萬 GoDaddy 客戶的電子郵件位址，還可以看到客戶的 WordPress 管理員系統預設密碼，這些電子郵件位址可能為其客戶帶來網路釣魚攻擊的風險。GoDaddy 還表示，對於活躍客戶而言，sFTP 和資料庫用戶名稱與密碼也遭外流；而一些客戶的私密金鑰也已外流，這些私密金鑰用於證明網站的真實性。

GoDaddy 團隊正在努力透過重置受影響的密碼，並且重新產生安全憑證以解決這些問題。該公司也正在聯繫所有受駭客攻擊影響的客戶，提供這次安全漏洞的具體細節。

中文引用來源

英文原始出處: GoDaddy Announces Security Incident Affecting Managed WordPress Service

#WordPress,

#GoDaddy

#WordPress 託管

#網路釣魚

The post GoDaddy 的 WordPress 託管遭駭客攻擊，逾百萬客戶電子郵件外流 first appeared on 捕夢網 Blog.

圖片來源: Imperva

近年來許多殭屍網路攻擊鎖定物聯網裝置，但這次駭客下手的目標，是採用內容管理平臺（CMS）的網站。近期網頁應用程式防火牆業者Imperva，揭露一個自2019年11月出現的殭屍網路KashmirBlack，駭客鎖定多款知名的網站內容管理系統下手，攻擊的範圍遍及30個國家，而其中大部分的目標仍是美國網站。

駭客控制了這些網站伺服器後，有些他們植入挖礦軟體XMRig，濫用這些網站伺服器來挖取門羅幣，有些則是用發送垃圾信，以及竄改網頁（Defacement）等。Imperva甚至發現，駭客運用部分受害主機來當做殭屍網路的基礎架構。

為了研究殭屍網路KashmirBlack的攻擊手法，Imperva在密罐建置了網站來吸引它們發動攻擊，結果其中1個被竄改成如圖中的釣魚網頁。

根據他們的分析，駭客攻擊的目標並非鎖定單一網站內容管理系統，而是至少有9種，包含WordPress、Joomla、PrestaShop、Magneto、Drupal、Vbulletin、OsCommerence、OpenCart，以及Yeager等，駭客利用它們的漏洞來進一步控制網站伺服器。研究人員指出，由於許多採用內容管理系統的網站缺乏維護，不會即時安裝官方推出的修補程式，雖然駭客利用的漏洞不少極為老舊，但還是奏效。

這個殭屍網路運用了那些漏洞呢？根據Imperva列出的17項漏洞來看，不少漏洞允許攻擊者遠端執行任意程式碼（RCE），或者是與上傳任意檔案有關。再者，有些漏洞則是能讓駭客透過暴力破解密碼，以及指令注入等。而這些漏洞不少存在已久，甚至有的超過10年以上。例如，單元測試工具PHPUnit的RCE漏洞CVE-2017-9841，雖然它在2017年才被列管，但實際上存在超過10年之久。

究竟有多少網站遭到這個殭屍網路擺布？研究人員指出，他們看到KashmirBlack有285個機器人，每個機器人單日發動攻擊的對象，平均為240臺主機（或是3,450個網站）不等。如果有1%的主機被攻陷，那麼每天就有700個主機成為受害者。換言之，從這個殭屍網路運作近11個月，迄今保守估計至少有23萬個網站成為受害者。然而，Imperva指出，他們追蹤到的機器人IP位址，應該不是全部，實際受害的網站數量，恐怕遠大於上述數字。

對於幕後操控KashmirBlack的駭客，研究人員透過IP位址尋線追查，認為是印尼駭客組織PhantomGhost所為。

再者，為了藏匿攻擊行動，他們也看到駭客濫用常見的公有雲服務，包含了GitHub、Dropbox，以及Pastebin等，目的要能向已感染的伺服器下達額外指令，而不被資安防護系統發現。

#網站 #駭客 #漏洞 #WordPress #Joomla #Drupal #網頁應用程式防火牆 #殭屍網路 #網站內容管理平臺 #CMS #物聯網 #網站伺服器 #挖礦軟體 #竄改網頁 #Defacement #PrestaShop #Magneto #Vbulletin #OsCommerence #OpenCart #Yeager #遠端執行 #PHPUnit #CVE-2017-9841 #公有雲 #GitHub #Pastebin #Dropbox #WAF #WebApplicationFirewall #deepsecurity

捕夢網WAF

捕夢網Deep Security

 

The post 23萬網站被駭客挾持，因管理者未修補的RCE與任意檔案上傳漏洞惹禍！ first appeared on 捕夢網 Blog.

圖片來源: Rank Math

專門研究WordPress外掛程式安全性的Wordfence本周揭露，該公司在搜尋引擎最佳化外掛程式Rank Math上發現兩個安全漏洞，較危險的那個將允許駭客任意更新元資料，包括授予或撤銷任何註冊用戶的管理權限，且全球已有超過20萬個WordPress網站安裝了Rank Math。

搜尋引擎最佳化（Search Engine Optimization，SEO）是一種藉由了解搜尋引擎的運作規則，來調整網站以提高網站在搜尋引擎上排名的程序，而Rank Math即是一個支援WordPress網站的SEO外掛程式，可協助網站存取各種SEO工具，全球安裝Rank Math的WordPress網站超過20萬個。

除了第一個權限擴張漏洞之外，另一個存在於Rank Math的漏洞，允許駭客在網站上的任何一個位置建立重新導向，以將使用者導至駭客所指定的任何網站。

Wordfence是在3月23日發現這兩個漏洞，隔天就通知了Rank Math的開發人員，開發人員很快就在3月26日釋出最新的1.0.41.1版本，以修補相關漏洞。Wordfence建議使用者應儘速升級到最新版本。

https://www.ithome.com.tw/news/136733

The post WordPress的SEO外掛Rank Math含有權限擴張漏洞 first appeared on 捕夢網 Blog.

ThemeGrill Demo Importer是知名WordPress主題外掛程式，WordPress用戶安裝了該程式之後，即可一鍵安裝ThemeGrill官方內容、widgets及主題設定。目前至少超過20萬個WordPress網站安裝ThemeGrill Demo Importer。

WebARX研究指出，漏洞大約3年前就存在了，ThemeGrill Demo Importer 1.3.4到1.6.1版都有存在此漏洞。由於該漏洞一般看來無惡意，因此並不會被封鎖，而可能造成重大的資料損失。

ThemeGrill Demo Importer已修補該漏洞並於2月16日釋出新版，WebARX呼籲該外掛程式的用戶應儘速更新。

文章來源: https://www.webarxsecurity.com/critical-issue-in-themegrill-demo-importer/

The post 超過20萬 WordPress 用戶可能造成重大的資料損失-更新外掛ThemeGrill Demo Importer first appeared on 捕夢網 Blog.

WP Rocket為一個付費的WordPress外掛套件。為提供捕夢網WordPress虛擬主機更好的使用體驗及網頁速度，捕夢網WordPress虛擬主機使用者，可自行透過Plesk後台安裝WP Rocket。

登入Plesk管理後台

點選右側WP Rocket一鍵安裝

出現安裝畫面，點選Install WP Rocket Here

安裝完成

安裝完畢→點選左側WordPress→選擇上方外掛程式→WP Rocket安裝完成(尚未啟用)

如何啟用WP Rocket？

捕夢網WordPress虛擬主機使用者，自行透過Plesk後台安裝WP Rocket完畢後，要記得啟用WP Rocket。

登入WordPress管理後台→外掛→已安裝的外掛→勾選WP Rocket→啟用

如何設定WP Rocket？

啟用WP Rocket之後，不表示網頁速度就會加快。需要勾選一些設定選項，才能完成網頁加速設定。捕夢網接下來所要示範的是最基本的設定，使用者可以依照網站本身的需求進行設定。

WP Rocket→設定

設定WP Rocket

進入WP Rocket設定之後，會分為「控制台」、「快取」、「檔案最佳化」、「媒體」等大分類。捕夢網將依照大分類進行設定說明。如果未進行說明，則表示保留預設值，沒有進行修改。

快取

行動裝置快取

如果未啟用行動裝置快取，WP Rocket將不會建立行動裝置專用的快取檔案。瀏覽者用手機查看您的網站將直接讀取WordPress資料庫，載入速度會較慢。

※如果您的網站沒有採RWD響應式設定，無法自動依螢幕尺寸調整網頁，請不要啟用行動裝置快取。

針對行動裝置建立獨立的快取檔案

啟用此選項後，WP Rocket將建立行動裝置專用的快取檔案。WP Rocket將為手機、平板電腦或一般電腦建立不同的快取檔案。

使用者快取

如果WordPress網站有會員登入的功能，建議勾選。為每一個登入會員建立專屬快取檔案，加快讀取速度。如果您的網站沒有會員登入功能，則可以不用勾選。就共用同一個快取檔案。

快取生命週期

指快取檔案從產生到移除的存活期間。

如果將數值設定為0，則表示永不刪除快取。

檔案最佳化

基本設定

壓縮HTML

壓縮HTML會移除檔案裡所有空白和註解來減少檔案尺寸。檔案尺寸變小，即可加快載入速度。

合併Google Fonts

合併Google Fonts字型檔案可以減少HTTP的請求數量。請求數量變少，即可加快載入速度。

從靜態資源中移除query字串

移除檔案後方的版本號 ver 字串，像是 style.css?ver=1.0 會變成 style-1.0.css.

※常見的網站測速工具Pingdom，GT Metrix和PageSpeed等，建議從靜態資源中刪除query字串。但不是全部的query字串都該刪除，建議勾選此選項，避免WordPress網站無法正確顯示。

CSS 檔案

壓縮CSS

會移除檔案裡CSS所有空白和註解來減少檔案尺寸。檔案尺寸變小，即可加快載入速度。

最佳化CSS分派

優化網站中清除前幾行內容中的禁止轉譯 CSS，讓網站載入更快速。

JavaScript 檔案

壓縮 JavaScript

移除檔案裡JavaScript所有空白和註解來減少檔案尺寸。檔案尺寸變小，即可加快載入速度。

不勾選合併 JavaScript 檔案的原因，容易造成外掛失效、Google廣告違反規則！

非同步載入 JavaScript

可能會跟網站衝突，如果發生問題可以不要勾選。

媒體

延遲載入

針對圖片延遲載入

當網頁滑到圖片位置的時候，才會載入圖片。

※未勾選的話，一開始就會把網頁的所有圖片載入完成，大幅拖長載入時間。

表情符號

網頁會針對每個符號都做一個外部的HTTP請求，影響載入時間。

內嵌

預防你的網站被別人嵌入在他自己的網站(或是非白名單網站)，以及移除 WordPress 自動內嵌影音功能的 JavaScript。

預先載入

預先載入

啟用預先載入的功能後，WP Rocket會預先載入網站地圖(sitemap)，讓瀏覽器在一開始就預先載入你網站地圖(sitemap)網頁中的所有頁面。

預先取得 DNS 請求

預先取得DNS請求可以讓外部檔案請求更快速。

下方設定的網站僅作參考之用。

//maps.googleapis.com

//maps.gstatic.com

//fonts.googleapis.com

//fonts.gstatic.com

//ajax.googleapis.com

//apis.google.com

//google-analytics.com

//www.google-analytics.com

//ssl.google-analytics.com

//youtube.com

//api.pinterest.com

//cdnjs.cloudflare.com

//pixel.wp.com

//connect.facebook.net

//platform.twitter.com

//syndication.twitter.com

//platform.instagram.com

//platform.linkedin.com

//s0.wp.com

//stats.wp.com

進階規則

進階規則

主要是設定那些網址、cookie、裝置等不要產生快取檔案，這裡可以依照個人網站需要設定。

資料庫

接下來要針對資料庫進行設定，避免更改設定之後導致資料庫出錯，請務必先備份資料庫。

文章清理

文章版本與草稿將會被刪除。如果你需要還原版本或草稿，不要使用此功能。

迴響清理

垃圾留言將被刪除。

臨時選項清理

臨時選項可以安心移除，他們是由外掛所自動產生的。

資料庫清理

減少過大的資料表

自動清理

設定自動清理的週期。

以上是WP Rocket針對WordPress網站最基本的網頁加速設定，如果有使用其他大分類的進階功能，才需要進一步設定。請使用者針對自己網站的實際情形進行設定調整。

The post WP Rocket 完整設定教學 加速您的WordPress first appeared on 捕夢網 Blog.

WordPress、Drupal及Joomla!等開源CMS平臺都使用PHPMailer郵寄函式庫，Golunski估計，PHPMailer的全球用戶超過900萬，影響數百萬個網站

The post 開源郵件函示庫PHPMailer驚爆漏洞，WordPress和Drupal上百萬個網站安全拉警報 first appeared on 捕夢網 Blog.

針對(.TW)網站數的成長，除了網路基礎建設的強化、行動網路率的普及&國民資訊教育提升之外，更是與網站內容管理(CMS)開源軟體的普及有著密不可分的關係。其中又以WordPress憑藉著豐富的外掛元件、模組及版型，無論用於架設一般網站、購物網站甚至部落格都很適合，因此在網路上迅速竄紅，紅即一時。WordPress是一個以PHP和MySQL為基礎的自由開源的架站軟體，具有外掛模組架構和模板系統。依Alexa排行前100萬的網站中，超過16.7%的網站使用WordPress。到了2011年8月，約22%的新網站採用WordPress(資料來源：維基百科)。

因應此一現象的發展，國內、外各大主機商針對WordPress量身訂做推出專屬主機，莫約有GoDadday及捕夢網；但大部分的主機服務廠商也都提供以現有虛擬主機或VPS產品安裝WordPress的服務。針對如此多樣化的產品消費者將如何選擇對自己最有利的產品便成為一項相當重要的課題。

針對此一課題，捕夢網數位科技技術長趙永弘先生表示：使用者會因為便利性及資源的多樣性，而採用WordPress。卻因為這類開源程式元件撰寫者技術能力良莠不齊，相關元件亦缺乏第三方的認證及把關，若僅憑藉網路上的介紹冒然安裝使用，實際上有可能存在相當程度的資安風險，輕則造成主機資源遭占用，導致網站效能不佳；重則有可能導致會員資料遭竊，或是成為有心人士的跳板，導致網站管理員遭陷入不必要的司法調查。這些現象在實務上屢見不鮮。

因此趙技術長建議，已經使用或計畫使用WordPress架設網站的管理人員於選擇主機服務產品時除了考量價格及規格外，同時須將主機商的維運能力加以考量；具體來說，主機供應廠商針對主機是否提供足夠的安全防護機制、針對主機狀態是否可以有效監控、出現異常是否能即時反應、作業管理是否取得安全規範認證及客服務溝通是否順暢等，皆應於制定採購決策中一併加以考量。

當然像WordPress這類的自由開源的CMS系統的確有效的降低網站架設及管理的技術門檻，對網際網路或電子商務的發展有著重大的意義，但同時也存在資安風險；在積極投入前有效的整體評估及確切的風險管理都是架設網站前所必要在意的課題。

註1：台灣網路資訊中心僅針對台灣網域進行管理與統計；但網站架設因不同的考量於台灣的網站並非一定使用台灣域名。

了解捕夢網WP主機厲害在哪？

The post 網站建置逐年成長伴隨資安事件出不窮 first appeared on 捕夢網 Blog.

對於許多 WordPress 使用者來說，他們第一次看到 .htaccess 檔案應該是在自定他們網站的固定網址時。為了使用更美觀的鏈結，而不是預設的鏈結格式（例如：https://blog.pumo.com.tw/sample-post/ 而不是 https://blog.pumo.com.tw/?p=123 ），我們必須將以下程式碼加入 .htaccess 檔案：

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

如果 .htaccess 不存在，你可以自己建立一個然後將它上傳。你需要做的只有建立一個空白的文字檔，將它儲存為 .htaccess 然後上傳到網站的根目錄。請確認在檔案的開頭有一個點，是不可漏掉的。

你也必須確認你的 .htaccess 檔案是伺服器可寫入的，WordPress 才能將適當的程式碼加入你的 .htaccess 。WordPress.org 建議把檔案權限設定為 644 。

.htaccess 檔案不僅用於固定網址，該檔案也能強化網站安全。數以百萬的 WordPress 用戶利用它來保護網站免於垃圾郵件發送者、黑客和其他已知的威脅。

在本文裡，我會分享一些用於 .htaccess 的程式碼片段，可以強化你的網站安全。相信你會找到一些對你有幫助的程式碼。

你可能也注意到上面固定網址的 .htaccess 程式碼是包覆於 #BEGIN WordPress 及 #END WordPress 裡。WordPress 可以更新這個標籤裡的程式碼，你必須把要新增的程式碼片段放置於你的 .htaccess 檔案的頂部或底部（在 #BEGIN WordPress 之前或 #END WordPress 之後）。

請注意…

.htaccess 是 WordPress 裡個性倔強的檔案，只要其中任何一個字符出錯，檔案就會出現錯誤。當錯誤發生時，它通常會影響到整個網站的運作，最重要的是你必須確保輸入 .htaccess 的程式碼沒有問題。

在開始前，備份一下你當前使用的 .htaccess 檔案吧！將它保存到你電腦裡安全的位置。如果可以，也能在雲端硬碟備份一份。

無論何時更新了你伺服器上的 .htaccess 檔案，記得回到網站重新整理一下，看看網站是不是還能正常運作。不要跳過這個步驟，因為確認網站運作正常是至關重要的一個步驟。如果你的網站給你一個白畫面，立即回復、還原 .htaccess 修改前的上個步驟。

如果你無法還原你的備份，那麼將伺服器上的 .htaccess 刪除，然後建立一個空白的 .htaccess 檔案並將它上傳。這將協助你使你的網站回復連線；當你的網站出現問題，這顯然是最重要的一步。

1. 保護 .htaccess

既然 .htaccess 擁有你整個網站的控制權，保護它遠離不相關人士就顯得很重要。以下的程式碼將讓黑客無法存取你的 .htaccess 檔，只需要透過 FTP 來修改 .htaccess 檔案（或是控制台的檔案管理）。

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

2. 保護 WP-Config.php

另一個重要的檔案是 wp-config.php。這個檔案裡包含資料庫的登入資訊，以及其他的系統設定。因此，明確的作法是禁止任何人訪問它。

<files wp-config.php>
order allow,deny
deny from all
</files>

3. 保護 /Wp-Content/

wp-content 資料夾也是 WordPress 相當重要的一部分，在這個資料夾裡包含了你的佈景主題、外掛、上傳的媒體檔案（圖片、影片）及快取檔案。

有鑑於此，這通常也是黑客下手的目標。當垃圾郵件發送者試圖破壞你的老網站，他必須將郵件程式傳到你的上傳資料夾。然後使用你的伺服器來寄送垃圾郵件；這麼做會使你的伺服器被列入垃圾郵件名單。

你可以透過創建一個獨立的 .htaccess 檔案來解決類似問題：

Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>

你必須將 .htaccess 檔案獨立上傳到 wp-content 主目錄，例如 www.yourwebsite.com/wp-content/。這麼做只會允許 XML、CSS、JPG、JPEG、PNG、GIF 和 JavaScript 被上傳到媒體資料夾，其餘的檔案類型將被拒絕。

4. 保護 Include-Only 檔案

某些檔案是絕不用讓使用者存取的。你可以加入以下程式碼，來阻擋使用者存取這些檔案：

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

5. 限制存取 WordPress 控制台

另一個黑客覬覦的目標是 WordPress 控制台。如果他們獲取了存取該區域的權限，他們就可以在你的網站上為所欲為。

確保 WordPress 控制台更加安全，建立一個 .htaccess 檔案並加入以下程式碼：

# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 12.34.56.78
</Limit>

請務必將 12.34.56.78 更改為你的 IP 位址（你可以在 What is My IP? 找到你的 IP Address），然後將它上傳到網站的 /wp-admin/ 路徑下，例如 www.yourwebsite.com/wp-admin/ 。

只有你能夠存取 WordPress 控制台，其他人將會被阻擋在外。

其他的管理員或作者的 IP 可以加在後面，你可以在 allow from 後面加入其他 IP，不同的 IP 間使用半形逗號來區隔，例如：

allow from 12.34.56.78, 98.76.54.32, 19.82.73.64

6. 封鎖某人進入你的網站

如果你知道某個來者不善的 IP 位址，你可以使用以下的程式碼將它拒於網站之外。舉例來說，你可以封鎖某些留下垃圾留言或是嘗試存取你 WordPress 控制台的使用者。

<Limit GET POST>
order allow,deny
deny from 123.123.123.9
deny from 222.111.32.1
allow from all
</Limit>

7. 將使用者傳送到維護頁面

一些維護外掛像是 Ultimate Maintenance Mode 和 Mainteance 相當實用，當你在維護網站時，可以顯示一個暫時的頁面給使用者，或是在你更新網站時。

不幸的是，維護外掛只有在你的網站運作正常時才起得了作用。

如果你想未雨稠繆，我建議你建立一個基本的 .html 頁面，將它命名為 maintenance.html 來提醒使用者目前網站遭遇一些問題，但會在短時間內恢復連線。當你的網站掛掉時，只要將以下程式碼加入你的 .htaccess 檔案，就能將所有流量引導至維護畫面。

RewriteEngine on
RewriteCond %{REQUEST_URI} !/maintenance.html$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123
RewriteRule $ /maintenance.html [R=302,L]

你必須要為你的網站來自定上方程式碼。變更上方的檔案名稱，來符合你的維護頁面路徑，你也必須加入你的 IP 位址，以便在維護狀態時不會被引導至維護頁面（讓你可以繼續調整網站），以上代碼使用 302 轉址確保維護頁面不會被搜尋引擎索引。

8. 禁止瀏覽目錄

讓未經授權的使用者瀏覽目錄下的檔案或資料夾是相當危險的一件事情。如要禁止訪問你網站的目錄，只要在你的 .htaccess 加入以下程式碼即可：

# disable directory browsing
Options All -Indexes

9. 允許瀏覽器快取

當啟動瀏覽器快取功能後，將允許使用者從你的網站儲存元件，而無須重新下載。

它用於設計元素，例如 CSS 樣式表和其它媒體內容，例如圖片。這是一個實用的技巧，因為當圖片上傳到網站後，很少會再次更新。瀏覽器快取能讓訪客直接讀取儲存在他們電腦裡的圖片，而不用從你的伺服器下載，節省頻寬、也提升了頁面載入速度。

啟用瀏覽器快取，你需要做的就是把以下程式碼加入 .htaccess 檔案：

## EXPIRES CACHING ##
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access 1 year"
ExpiresByType image/jpeg "access 1 year"
ExpiresByType image/gif "access 1 year"
ExpiresByType image/png "access 1 year"
ExpiresByType text/css "access 1 month"
ExpiresByType application/pdf "access 1 month"
ExpiresByType text/x-javascript "access 1 month"
ExpiresByType application/x-shockwave-flash "access 1 month"
ExpiresByType image/x-icon "access 1 year"
ExpiresDefault "access 2 days"
</IfModule>
 ## EXPIRES CACHING ##

10. 重新導向一個網址

301 重新導向讓你可以通知搜尋引擎該鏈結已經重新移到新的路徑。它可以被用來重新導向一個網址、資料夾，甚至是一整個網站。

因此，它常被用於網址發生變化時，例如變更網域名稱、變更固定網址結構，或是變更頁面名稱（例如將頁面名稱從 my-news 變成 mygreatnews）。

要重新導向某個路徑，你需要做的就是加入以下程式碼：

Redirect 301 /oldpage.html http://www.yourwebsite.com/newpage.html
Redirect 301 /oldfolder/page2.html /folder3/page7.html
Redirect 301 / http://www.mynewwebsite.com/

11. 禁止直接連結圖片

直接連結的意思是某人直接取用你的圖片鏈結，然後將它分享到其他網頁上。這常發生在討論區，但大多數的網站擁有者仍然會這麼做。直接連結可能對你的網站帶來負面影響，包括使你的網站變慢，也會讓你的頻寬費用增加。

你可以禁止除了你的網站外的網站直接連結圖片，將以下程式碼加入即可。請確認將以下網址更改為你的網址。

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourotherwebsite.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/g7ptdBB.png [NC,R,L]

當其他人試圖從其他網址瀏覽你的圖片時，他們將會看到禁止圖片，而這圖片可以變更為任何你想要的圖（在上面的最後一行設定圖片路徑）。

禁止直接連結可能導致一些 RSS 閱讀器無法顯示你 RSS Feed 裡的圖片。

希望以上的 .htaccess 檔案技巧對你有所助益。如你所見，它是一個可以完成許多工作的設定檔。

本文參考資料為 WordPress Htaccess Tips And Tricks，原作者 Kevin Muldoon。
轉載自《台灣免費資源網站》

The post 11 個強化 WordPress 網站安全的 .htaccess 設定技巧 first appeared on 捕夢網 Blog.