خیلی از کاربران وردپرس هنگام حل مشکلات سایتشون با فایل htaccess  سرو کار داشتن.فایل htaccess  یک فایل قدرتمند برای ارتقا امنیت و کیفیت اجرایی سایت شماست.در این پست تکنیک هایی رو ویژه این فایل مهم وردپرس معرفی می کنیم.

توجه داشته باشیدهمون طور که در پست های گذشته توضیح دادیم ممکنه این فایل در به صورت مستقیم در دسترس نباشه که باید خودتون این فایل رو اضافه کنید.برای اطلاعات بیشتر به پست آشنایی با فایل htaccess مراجعه کنید.

هک وردپرس:ترفندهای کاربردی htaccess برای وردپرس

در هر بخش به صورت جداگانه اعمالی رو که با تغییر در فایل htaccess ممکنه رو بررسی می کنیم.فقط نکته زیر رو به یاد داشته باشید!

گام اول در ایجاد هر نوع تغییری در وردپرس: بک آپ گرفتن از سایت هست

 

محافظت از ناحیه مدیریت:

با استفاده از کد زیر می تونید از امنیت ناحیه مدیریت مطمین شید.به این ترتیب که تنها افرادی می تونن به این بخش دسترسی پیدا کنن که IP مشخصی داشته باشن.کد رو در فایل پیست کنید.

AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "WordPress Admin Access Control"AuthType Basic<LIMIT GET>order deny,allowdeny from all# whitelist Syed's IP addressallow from xx.xx.xx.xxx# whitelist David's IP addressallow from xx.xx.xx.xxx# whitelist Amanda's IP addressallow from xx.xx.xx.xxx# whitelist Muhammad's IP addressallow from xx.xx.xx.xxx# whitelist Work IP addressallow from xx.xx.xx.xxx</LIMIT>

در این کد به جای آدرس آی پی ها،به صورت پیش فرض xx.xx.xx.xxx قرار داده شده.آی پی مورد نظر رو جایگزین این بخش ها کنید.اگه از چند آی پی استفاده می کنید از صحت درج آی پی ها اطمینان حاصل کنید.

محافظت از ناحیه مدیریت وردپرس با استفاده از گذر واژه ها

ابتدا نیاز داریم فایلی رو با نام .htpasswds بسازیم.برای این ساخت این فایل باید از طریق سایتی به صورت جداگانه وآنلاین اقدام کنید.

ورود به صفحه ساخت فایل

 

1

 

پس ازورود به صفحه باید نام کاربری و کلمه عبوری رو که مایلید فایل سایت از این طریق محافظت شه رو وارد کنید.

 

فایل رو طبق مسیر زیر اپلود کنید:

home/user/.htpasswds/public_html/wp-admin/passwd/

سپس مجددا یه فایل رو با نام htaccess بسازید و کد زیر رو درج کنید.در کد،به جای مسیری که با AuthUserFile  آغاز می شه مسیری رو که خودتون برای ساخت فایل htpasswds طی کردید رو درج کنید.

AuthName "Admins Only"AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwdAuthGroupFile /dev/nullAuthType basicrequire user putyourusernamehere<Files admin-ajax.php>Order allow,denyAllow from allSatisfy any </Files>

با این کار سایت ایمن تر خواهد بود.چرا که از این به بعد برای ورود به داشبورد به صورت خودکار از  شما دو پسورد خواسته می شه.برای ورود به صفحه log in و برای ورود به داشبورد.به این ترتیب احتمال ورود افراد بیگانه به این بخش هم کمتر می شه.

غیرفعال کردن دایرکتوری در وردپرس ( دسترسی به فایل های هاست) :

برای امنیت بیشتر سایت بهتره که دسترسی به فایل های آرشیو رو محدود کنیم .اگه این فایل ها مثل همه ی فایل ها به راحتی در دسترس باشه با ورود هر هکری به سایت دسترسی به فایل های تخریب گر وایجاد مشکل هم راحت تر می شه.کد زیر رو داخل فایل درج کنید:

Options -Indexes

 

2

غیر فعال کردن اجرای  PHP در برخی از دایرکتوری ها:

بعد از این که سایتی هک می شه فایلی به سایت با نام backdoor اضافه می شه.این فایل با درج آدرس wp-includes/ or /wp-content/uploads/ folders در آدرس بار قابل مشاهدست.این فایل رو هکر ها بعد از  هک سایت ایجاد می کنن .برای امنیت وردرس بهتره  اجرای PHP NV برخی از مسیر Iها محدود شن .

ابتدا یک فایل با نام .htaccess بسازید و سپس کد زیر رو در اون پیست کنید:

<Files *.php>deny from all</Files>

محافظت از فایل wp-config.php :

یکی از مهم ترین فایل های موجود در ریشه همین فایله .فایلی حاوی اطلاعات مربوط به دیتا بیس شما که برای وردپرس خیلی حیاتیه.برای جلوگیری از هر گونه دسترسی مشکوک به سایت کد زیر رو به فایل

htaccess اضافه کنید:

<files wp-config.php>order allow,denydeny from all</files>

راه اندازی ریدایرکتری 301 با استفاده از فایل htaccess:

استفاده از ریدایرکتری 301 یکی از راه های مفید و مهم برای بهینه سازی سایت .چرا که کاربران رو از تغییراتی مثل تغییر مکان فایل یا مطلب به بخش جدیدی آگاه می کنه.این قابلیت مهم از تکنیک های مهم در

سئو وردپرسه .اگه می خواید به صورت ایمن کاربران رو از URL قبلی به آدرس جدید هدایت کنید کد زیر رو به فایل اضافه کنید:

Redirect 301 /oldurl/ http://www.example.com/newurlRedirect 301 /category/television/ http://www.example.com/category/tv/

پس از درج کد آدرس های پیش فرضی رو که به صورت example در کد آورده شدن تغییر بدین و آدرس مورد نظر خودتون رو جایگزین کنید.

محدود کردن دسترسی به سایت برای IP های مشکوک :

اگه احساس می کنید آی پی های مشکوک و غیر معمولی به سایتتون مراجعه می کنن می تونید ورود اونا رو به سایت محدود کنید.برای این کار کد زیررو در فایل پیست کنید.

جلوگیری از Hotlinking  تصاویر اختصاصی سایت :

شاید اصطلاح hotlinking  خیلی براتون آشنا نباشه. ولی آثارش رو ممکنه دیده باشید!این اصطلاح مربوط به وب هاستینگ می شه و اصولا باید در شرکت های ارایه دهنده هاست بخشی به عنوان محافظت از hotlinking وجود داشته باشه.

به استفاده از فایل ها و تصاویر توسط سرورهای دیگه از وب سایت شما hotlinking  گفته می شه.در واقع یه نوع سرقت اینترنتی محسوب میشه.چرا که عکس با محتوای مشابه از سایت شما کپی می شه و در سایت دیگه درج می شه.لذا کاربران به سمت سایت مربوط هدایت می شن و به نحوی از میزان بازید شما کم می شه.چرا که مشکل اصلی Hotlink  ها پهنای باند زیادشونه!

برای حفظ اطلاعات سایت بهتره از هک زیر استفاده کنید.کافیه کد رو در فایل htaccess پیست کنید:

#disable hotlinking of images with forbidden or custom image optionRewriteEngine onRewriteCond %{HTTP_REFERER} !^$RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?wpbeginner.com [NC]RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC]RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?feeds2.feedburner.com/wpbeginner [NC]RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L]

محافظت از فایل htaccess در برابر دسترسی های غیر مجاز:

برای افزایش امنیت وب سرور بهتره خود فایل htaccess رو هم ایمن کنید.کد زیر رو در فایل پیست کنید:

<files ~ "^.*.([Hh][Tt][Aa])">order allow,denydeny from allsatisfy all</files>

سرافراز باشید

منبع: بیگ تم

یک پینگ

  1. پینگ‌بک: آشنایی با فایل wp -confing.php و تکنیک های آن (1)| قالب های وردپرس |بیگ تم

یک نظر

  1. yesterday

    با سلام و تشکر بابت پست مفید شما
    به نظر دو ایراد به شرح زیر وجود دارد که در صورت امکان رفع نمیید:
    1. در قسمت “غیرفعال کردن دایرکتوری در وردپرس ( دسترسی به فایل های هاست)” مشخص نشده کد باید در کدام فایل درج شود؟

    2. در یخش “محدود کردن دسترسی به سایت برای IP های مشکوک” کد آن ذکر نشده است؟
    با سپاس

  2. هادی قربانی

    سلام پدران عزیز
    این موارد رو می تونی به روش های دستی بر داری یا از افزونه های خاصی باری عدم نمایش موارد مربوط به هدر سایت استفاده کنید

  3. پدرام

    سلام ببخشید راهی هست که کسی نتونه source رو ببینه؟
    با گوگل کروم توی منو…more tools… view source رو زدم و بیشتر سایت ها معلوم شد با چه cms ای و چه پلاگین هایی و چه تمی و …. دارن کار میکنن!!البته رفتم دیجیکالا و مطمینا امکانت امنیتی زیادی داره و اینجور چیزا اونجا فرق میکرد و معلوم نبود… خب اینا امنیت سایت رو پاین نمیاره؟!!! ممنون
    واقعا یه سوال خوبی بوده برام!!!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *