افزایش امنیت وردپرس با 9 کد مهم در فایل htaccess.
افزایش امنیت وردپرس با ۹ کد مهم در فایل htaccess.
چیزی که به آن توجه ویژه ای داریم امنیت وردپرس و سایتی هست که شما از آن استفاده می کنید. امنیت جزء موارد مهمی است که باید همیشه به آن دقت کرد و اطلاعات و روش های افزایش امنیت را افزایش داد. فایل htaccess. یکی از مهمترین پایه های امنیتی سایت شما به شمار می رود.
فایل htaccess. وظایف متعدد و ارزشمندی را در خود می تواند جای دهد که بعضی از آنها جزء رعایت نکات سرعت سایت، امکانات وردپرس و محتوای آن می شود. قبل از هر چیز باید تعریف فایل htaccess. را بدانیم تا بتوانیم کدهای مهم مورد نظرمان را در آن جای دهیم.
تعریف htaccess : فایلی با نام htaccess. برای ایجاد پیکربندی در دایرکتوری ها یا پوشه های متفاوت در سرور آپاچی به کار می روند و در صورتی مورد استفاده قرار می گیرد که پوشه کاربری نیازمند به پیکربندی خاصی باشد و دسترسی روت (root) به زیر شاخه ها ندارید.
نکته مهم : قبل از هر تغییری نسخه پشتیبان از فایل htaccess. را تهیه کنید.
وب سایت خود را به یک سرویس گیرنده FTP (مانند نرم افزار FileZilla) متصل کنید و به سادگی فایل htaccess. را بر روی سیستم خود دانلود کنید.
اگر با مشکلی مواجه شدید می توانید فایل پشتیبانی را بارگذاری کنید.
اگر قادر به دیدن فایل نیستید مطمئن شوید که سرویس گیرنده FTP خود را برای نشان دادن فایل های مخفی تنظیم کرده اید. در صورتی که فایل را در وب سایت خود ندارید باید این فایل را ایجاد کنید. به سادگی یک فایل متنی خالی ایجاد و آن را با عنوان htaccess. ذخیره کنید.
مطمئن شوید که نام فایل htaccess. باشد نه .htaccess یعنی با . شروع شود! (وجود عبارت نقطه قبل از این فایل نشان دهنده ی پنهان و مخفی بودن آن در هاست هست. که برای نمایش و مشاهده آن باید ابتدا آن را نمایان کنید.)
در آخر فایل را در پوشه public_html وب سایت وردپرسی خود آپلود کنید.
ترفندهای مهم امنیت وردپرس در فایل htaccess.
۱- حفاظت از بخش مدیریت وردپرس
این فایل برای حفاظت از بخش مدیریت وردپرس با محدودیت دسترسی به انتخاب آدرس های IP استفاده می شود. فایل زیر را کپی و در فایل htaccess. قرار دهید.
AuthUserFile/dev/null AuthGroupFile/dev/null AuthName"WordPress Admin Access Control" AuthType Basic order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx
عبارت xx.xx.xx.xxx را با آدرس های IP خود جایگزین کنید. اگر بیشتر از یک IP برای دسترسی به اینترنت دارید مطمئن شوید که آنها را هم نیز اضافه کنید.
۲- رمز عبور برای حفاظت از پوشه مدیریت وردپرس
برای اینکار ابتدا باید یک فایل htpasswds. ایجاد کنید. این فایل را در خارج از دایرکتوری و یا در یک پوشه /public_html/ قرار دهید. مسیر نمونه زیر برای اینکار مناسب می باشد:
home/user/.htpasswds/public_html/wp-admin/passwd/
اکنون باید یک فایل جدید htaccess. ایجاد و این کد را اضافه کنید:
AuthName"Admins Only" AuthUserFile/home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile/dev/null AuthType basic requireuser putyourusernamehere //your username Order allow,deny Allow from all Satisfy any
نکته مهم : فراموش نکنید مسیر AuthUserFile به جای فایل htaccess. جایگذاری و یک نام کاربری برای خود اضافه کنید.
این فایل را در پوشه wp-admin خود آپلود کنید. حالا پوشه مدیریت با رمز محافظت شده و فقط به کاربران اجازه دسترسی خواهد داد.
۳- غیرفعال کردن راهنمای مرورگر در وردپرس
بسیاری از کارشناسان امنیتی وردپرس توصیه می کنند که از مرور دایرکتوری غیرفعال استفاده کنید. با استفاده از مرورگر دایرکتوری فعال هکرها می توانند به دایرکتوری سایت شما دسترسی و ساختار فایل را به یک فایل آسیب پذیر تبدیل کنند.
برای غیر فعال کردن مرورگر دایرکتوری باید این خط را در فایل htaccess. خود وارد کنید:
Options-Indexes
۴- غیر فعال کردن PHP در برخی از دایرکتوری های وردپرس
گاهی اوقات سایت های هک وردپرس یک بک دور برای فایل های خود دارند. این فایل ها اغلب بعنوان هسته فایل های مبدل وردپرس که در /wp-includes/ و یا /wp-content/uploads/ هستند قرار دارند.
یک راه ساده تر برای بهبود امنیت وردپرس غیرفعال کردن PHP برای برخی از دایرکتوری های وردپرس است. یک فایل خالی htaccess. ایجاد و این کد را در داخل آن قرار دهید:
<Files*.php> deny from all
اکنون این فایل را به /wp-content/uploads/ و /wp-includes/ خود ارسال و آپلود کنید.
۵- حفاظت از فایل wp-config.php
احتمالا مهم ترین فایل در ریشه دایرکتوری وب سایت، فایل wp-config.php می باشد. این فایل شامل اطلاعاتی درباره پایگاه داده و نحوه اتصال آن بهوردپرس می باشد.
برای حفاظت از این فایل برای عدم دسترسی unathorized، به سادگی این کد را به فایل htaccess. اضافه کنید:
order allow,deny deny from all
۶- راه اندازی تغییر مسیر ۳۰۱ از طریق فایل htaccess.
استفاده از تغییر مسیر ۳۰۱ می تواند کابران را از بهترین راه به مکان جدید منتقل کند. اگر می خواهید کاربران از آدرس دیگری ریدایرکت کنید، برای انجام اینکار باید کد زیر را در فایل htaccess. قرار هید:
Redirect301/oldurl/http://www.example.com/newurl Redirect301/category/television/http://www.example.com/category/tv/
۷- Ban کردن IP های مشکوک
تا به حال درخواست های غیر معقول از آدرس IP را دیده اید؟ می خواهید از دسترسی این IP ها به وب سایت جلوگیری کنید؟ این کد را به فایل htaccess. خود اضافه کنید:
order allow,deny deny from xxx.xxx.xx.x allow from all
به جای xxx همان IP آدرسی که می خواهید بلاک کنید قرار دهید.
۸- غیرفعال کردن تصویر Hotlinking با استفاده از htaccess.
افرادی هستند که می توانند سرعت وب سایت شما را کاهش، و پهنای باند را توسط hotlinking سرقت کنند. جای نگرانی نیست.
اگر سایتی محبوب با تعداد زیادی تصاویر و فیلم دارید می توانید از Hotlinking برای حل این مساله استفاده نمایید. برای جلوگیری از این موضوع کد زیر را به فایل htaccess. خود اضافه کنید:
#disable hotlinking of images with forbidden or custom image option
RewriteEngineon
RewriteCond%{HTTP_REFERER}!^$
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?youcode.ir [NC]
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?google.com [NC]
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?feeds2.feedburner.com/youcode [NC]
RewriteRule\.(jpg|jpeg|png|gif)$ – [NC,F,L]
فراموش نکنید که در خط ۴ آدرس سایت خود را به جای نام دامنه قرار دهید.
۹- حفاظت از فایل htaccess. از دسترسی های غیرمجاز
در آخر هم نوبت به محافظت از خود فایل htaccess. است.
همانطور که دیدید کارهای بسیار زیادی وجود دارند که می توانید با استفاده از این فایل انجام داد. با توجه به قدرت و کنترلی که این فایل روی وب سرور دارد، مهم است که فایل از دسترسی های غیر مجاز توسط هکرها حفاظت شود.
برای محافظت از این فایل کد زیر را به فایل htaccess. اضافه کنید:
<files~"^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all
در این آموزش با ترفند های امنیتی مهم برای فایل htaccess آشنا شدید. در آموزش های بعدی شما را با سایر ترفند های مهم در این فایل آشنا خواهیم کرد.
