رفتن به مطلب

۹ هک و ترفند کاربردی htaccess برای وردپرس


پست های پیشنهاد شده

اکثر کاربران

وردپرس .htaccess را برای تغییر و تعمیر پیوند یکتا می‌شناسند. اما باید بدانید که قابلیت‌های زیادی دارد. فایل .htaccess تنظیمات قدرتمندی برای بالا بردن امنیت و کارایی سایت شما دارد. در این نوشته به سراغ ۹ ترفند کاربردی .htaccess برای وردپرس رفته ایم که هر کدام را می‌توانید برای سایت تان استفاده کنید.

get-most-out-of-htaccess.jpg

شروع کنید

قبل از هر کاری از فایل .htaccess خود بکاپ بگیرید. برای اینکار میتوانید مستقیم به سرور سایتتان وارد شوید و یا با نرم افزارهای مدیریت FTP نظیر Filezilla و Cute FTP به سرور وصل شده و فایل .htaccess دانلود کنید. در صورتی که سایت تان درست کار نکرد، فایل تان پشتیبان تان را آپلود کنید.

اگر فایل .htaccess را ندیدید، از تنظیمات سایت یا FTP تیک مشاهده فایل‌های مخفی (Show Hidden Files) را بگذارید.

اگر در شاخه اصلی سایت تان فایل را نیافتید، یکی بسازید. راه سختی ندارید. فایل txt بسازید و به اسم .htaccess ذخیره کنید. دقت کنید نقطه باید قبل از htaccess قرار بگیرد. و آن را در شاخه اصلی سایت تان آپلود کنید.

.htaccess

۱- بخش مدیریت وردپرس تان را ایمن کنید.

شما می‌توانید با استفاده از تنظیماتی ساده در .htaccess بخش مدیریت

وردپرس تان را برای IP‌های خاصی محدود کنید. با این کار اجازه دسترسی به هکرها نمی‌دهید. کار سختی ندارید. کد زیر را به فایل .htaccess اضافه کنید؛

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist AlirezaCH's IP address
allow from xx.xx.xx.xxx
# whitelist alireza's IP address
allow from xx.xx.xx.xxx
# whitelist Esmaeil's IP address
allow from xx.xx.xx.xxx
# whitelist Works's IP address
allow from xx.xx.xx.xxx
# whitelist Works2 IP address
allow from xx.xx.xx.xxx
</LIMIT>

به جای xx.xx.xx.xxx آی پی خودتان را وارد کنید. و در صورتی که از چندین آی پی استفاده می‌کنید، مثل کدهای بالا از آن استفاده کنید.

password-protect-admin.png

۲- بخش مدیریت پسورد را با رمز ایمن کنید.

برای شروع باید .htpasswds بسازید. با استفاده از این

ژنراتور به راحتی می‌توانید یکی بسازید.

فایل .htpasswds را در هر شاخه ای که مایلید پسورد بگذارید. مثلاً شاخه اصلی /public_html/ و یا /wp-admin/ آپلود کنید.

home/user/.htpasswds/public_html/wp-admin/passwd/

الان نیاز به ساخت .htaccess دارید، کد زیر را به آن اضافه کنید؛

<span lang="fa">AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files></span>

نکته: فراموش نکنید که آدرس شاخه ای .htpasswds را آپلود کردید را جلوی AuthUserFile وارد کنید و نام کاربری تون هم خط پنجم اضافه کنید.

فایل .htaccess را در شاخه wp-admin آپلود کنید. الان شاخه admin

وردپرس تان با پسوردی که مشخص کردید ایمن شده است و فقط برای شما و کاربرانی که شما اجازه می‌دهید، باز می‌شود.

directory-browsing.png

۳- غیرفعال کردن مشاهده زیرشاخه‌ها (دایرکتوری)

یکی از پیشنهادات مهم امنیتی

وردپرس، غیرفعال کردن قابلیت مشاهده زیرشاخه‌های وردپرس هست. در حالت فعال، هکر با مشاهده و شناسایی فایل‌ها و شاخه‌ها به دنبال راهکاری برای نفوذ به سایت شما می‌گردد.

برای فعال کردن این گزینه، کد زیر را به فایل .htaccess اضافه کنید.

Options -Indexes

۴-اجرای PHP را در بعضی از شاخه‌ها غیرفعال کنید.

در بعضی از موارد، هک شدن سایت‌ها به خاطر فایل‌های بک دور (backdoor) اتفاق افتاده است. فاین فایل‌ها در هسته

وردپرس مخفی می‌شوند و در شاخه‌هایی نظیر /wp-includes/ و /wp-content/uploads/ جای می‌گیرند. ساده ترین راه حل برای جلوگیری از اجرا بک دورها، غیرفعال کردن PHP در بعضی از شاخه‌ها هست.

برای حل این مشکل فایل .htaccess بسازید، کد زیر را به آن اضافه کنید؛

<Files *.php>
deny from all
</Files>

تمام شد. فایل ساخته شده را در شاخه‌های /wp-includes/ و /wp-content/uploads/ آپلود کنید.

۵- از فایل wp-config.php حفاظت کنید.

شاید مهم ترین فایل در شاخه اصلی

وردپرس همین wp-config.php باشد. تمامی‌اطلاعات مربوط به دیتابیس و نحوه اتصال به آن در آن در این فایل ذخیره شده است. برای جلوگیری از دسترسی به این فایل، کد زیر را به .htaccess اضافه کنید؛

<files wp-config.php>
order allow,deny
deny from all
</files>

۶- تنظیمات انتقال ۳۰۱ صفحات در .htaccess

یکی از کارهای مورد علاقه سئو که می‌توانید انجام بدهید، همین انتقال ۳۰۱ هست که کاربران را به صفحه ای دیگر منتقل می‌کند. البته برای این کار افزونه‌هایی نیز هست که در روزهای آینده آن را معرفی می‌کنیم.

اما اینجا راه حلی سریع را برای شما آماده کرده ایم. کدهای زیر را با تغییراتی که دوست دارید به فایل .htaccess اضافه کنید؛

Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/

۷- آی پی‌های مشکوک را بلوکه کنید.

آیا درخواست‌های غیرعادی از آی پی‌های خاصی دارید؟ اگر می‌خواهید آنها را بلوک کنید؟ کد زیر را به .htaccess اضافه کنید؛


<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>

آی پی موردنظرتان را به جای xx.xx.xx.xx بنویسید.

۸- دزدیدن تصاویر (Image Hotlinking) را غیرفعال کنید.

کاربران و وبلاگ نویس‌های دیگر می‌توانند سرعت سایت شما را با استفاده از تصاویر شما در سایتشان پایین بیاورند. در حالت عادی، این نگرانی برای کاربران وجود ندارد. اما اگر سایت مشهور با حجم تصاویر زیادی دارید، فعال کردن این گزینه، بسیار مهم می‌باشد. شما با اضافه کردن کد زیر در .htaccess سایت خود، میتوانید جلوی این کار را بگیرید؛


#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?1freeman.net [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?feeds2.feedburner.com/1freeman [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

۹- از .htaccess در برابر دسترسی‌های غیرمجاز حفاظت کنید.

تا الان توانایی‌های .htaccess را دیدید. با این فایل شما می‌توانید کنترل کاملی بر سرور خود داشته باشید. و ایمن کردن آن از دسترسی دسترسی‌های غیرمجاز و هکرها در اولویت می‌باشد. کار سختی ندارید. کد ساده زیر را به .htaccess اضافه کنید.

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

امیدوارم که این نوشته به کارتون بیاد. این نوشته

ترجمه ای آزاد بود از اینجا. اگر نظرتون رو جلب کرد اینو با دوستان خود در شبکه‌های اجتماعی به اشتراک بگذارید.

لینک به ارسال
مهمان
این موضوع برای عدم ارسال قفل گردیده است.
×
×
  • اضافه کردن...