طراحی و بهینه سازیمشاهده

درگاه پرداخت
درگاه پرداخت

افزایش امنیت وردپرس با اصلی ترین کد های htaccess

مقالات,آموزش,ترفند , وردپرس
افزایش امنیت وردپرس با اصلی ترین کد های htaccessReviewed by M.J on Jun 27Rating: 5.0افزایش امنیت وردپرس با اصلی ترین کد های htaccessفایل .htaccess در ریشه اصلی سایت شما قرار دارد . نقطه موجود در ابتدای نام این فایل ، بیانگر این موضوع است که این فایل در حالت معمولی مخفی است و تا زمانی که گزینه نمایش دادن فایل های مخفی را فعال نکرده باشید ، قادر به مشاهده و ویرایش اطلاعات آن نیستید .

فایل .htaccess موجود در محل نصب وردپرس شما ، یکی از مهم ترین و قدرتمند ترین قسمت ها برای ویرایش تنظیمات سرور جهت افزایش امنیت و کارایی سایت شما محسوب می شود .

با ویرایش کردن این فایل و قرار دادن کدهای صحیح در آن ، می توانید تنظیمات مختلف سمت سرور را فعال یا غیرفعال کرده و از سایت خود در برابر اسپمرها ، هکرها و سایر تهدیدها مراقبت کنید .

به عنوان مثال با ویرایش کردن این فایل می توانید تغییر مسیرها را مدیریت کرده یا دسترسی خارجی و غیرمجاز به فایل های مهم را ممنوع کنید . کارهای پیچیده تر مثل اضافه کردن پسورد به پوشه ها یا جلوگیری از قرار دادن تصاویر سایت شما در وب سایت های دیگر نیز از طریق ویرایش فایل .htaccess امکان پذیر است .

 

 

در این مطلب به صورت اساسی و کامل نحوه ایجاد تغییرات در فایل .htaccess را بررسی کرده و تعدادی از بهترین کدها برای افزایش امنیت و کارایی سایت های وردپرسی را بررسی می کنیم .

 

فایل .htaccess چیست و در کجا قرار دارد ؟

فایل .htaccess در ریشه اصلی سایت شما قرار دارد . نقطه موجود در ابتدای نام این فایل ، بیانگر این موضوع است که این فایل در حالت معمولی مخفی است و تا زمانی که گزینه نمایش دادن فایل های مخفی را فعال نکرده باشید ، قادر به مشاهده و ویرایش اطلاعات آن نیستید .

در وردپرس ، این فایل با فعال بودن و ویرایش تنظیمات مربوط به پیوندهای یکتا به صورت خودکار اضافه می شود . وردپرس به صورت پیشفرض از این فایل برای مشخص کردن پیوندهای یکتا سایت شما استفاده می کند و استفاده دیگر خاصی از آن ندارد . این در حالی است که ویرایش این فایل یکی از مهم ترین بخش ها برای ایجاد تغییرات در سرور سایت شما است .

اگر با روش ویرایش .htaccess و نحوه ایجاد تغییرات مختلف در آن آشنایی دارید ، قسمت های بعدی را نادیده گرفته و به لیست کدهای کاربردی مراجعه کنید . هر چند خواندن بخش های بعدی باعث می شود که با این فایل بیشتر آشنا شوید .

 

همیشه از فایل .htaccess نسخه پشتیبان داشته باشید

وجود یک کاراکتر اضافه در کدهای فایل .htaccess می تواند باعث به هم ریختن کل سایت شما شود . پس همیشه از این فایل یک نسخه پشتیبان داشته باشید . اگر تاکنون از این فایل بک اپ تهیه نکرده اید ، همین حالا وارد کنترل پنل هاست خود شده و از آن یک فایل پشتیبان بگیرید . می توانید فایل پشتیبان را در هارد لپ تاپ خود ذخیره کنید و یا آن را در سرویس های ابری قرار دهید !

برای گرفتن نسخه پشتیبان وارد کنترل پنل خود شوید و به قسمت مدیریت فایل ها مراجعه کنید . در سی پنل این کار با مراجعه به بخش Files و قسمت File Manager امکان پذیر است . اگر در این قسمت با یک پنجره مواجه شدید ، تیک گزینه Show Hidden Files را فعال کرده و روی دکمه ادامه کلیک کنید . این کار باعث می شود که فایل های مخفی نمایش داده شوند .

اگر در مرحله قبل پنجره نمایش داده نشد ، به عنوان راه جایگزین می توانید در قسمت بالای صفحه مدیریت فایل ، روی گزینه Settings کلیک کرده و تیک گزینه Show Hidden Files را انتخاب کرده و تنظیمات را ذخیره کنید .

 

پس از انجام این تغییرات می توانید به ریشه سایت خود مراجعه کرده و فایل .htaccess را پیدا کنید . یک باز روی این فایل کلیک نمایید تا انتخاب شود ، سپس در منو فایل منجر گزینه دانلود را انتخاب کنید . با این کار یک نسخه از آن در هارد کامپیوتر شما ذخیره خواهد شد . اگر می خواهید که فایل پشتیبان خود را بازیابی کنید ، کافی است گزینه آپلود را انتخاب نمایید .

در صفحه آپلود گزینه Overwrite existing files را فعال کرده و سپس اقدام به آپلود نسخه پشتیبان کنید . این کار باعث می شود که نسخه پشتیبان جایگزین نسخه فعلی شما شود .

 

 

پس از این که نسخه پشتیبان آپلود شد می توانید روی گزینه Go Back کلیک کرده و به صفحه مدیریت فایل بازگردید . با این کار نسخه پشتیبان شما جایگزین نسخه قبلی شده است .

 

آشنایی با نحوه افزودن و ویرایش کدها در .htaccess

ایجاد فایل .htaccess

با توجه به نوع نصب وردپرس شما ممکن است فایل .htaccess در سایت شما وجود نداشته باشد ، بنابراین قبل از وارد شدن به مرحله ویرایش فایل ، باید فایلی برای ویرایش وجود داشته باشد . در اینگونه موارد باید خودتان یک فایل .htaccess ایجاد کنید . برای این کار می توانید از ویرایگر متن دلخواه خود استفاده نمایید یا از طریق خود سی پنل اقدام کنید .

حتما بخوانید  آموزش وارد کردن دائمی اطلاعات FTP در وردپرس

برای ایجاد فایل در سیستم خود ، یک فایل خالی متنی ساخته و آن را با نام .htaccess ذخیره کنید . با آپلود این فایل در ریشه سایت می توانید وارد مرحله ویرایش شوید . همچنین اگر می خواهید فایل را در قسمت مدیریت فایل سی پنل ایجاد کنید ، روی گزینه File کلیک کرده و یک فایل خالی با عنوان .htaccess ایجاد کنید .

اگر سرور شما اجازه این کار را به شما نمی دهد یک فایل خالی متنی ایجاد کرده و نام آن را htaccess.txt بگذارید . پس از آپلود این فایل در ریشه سایت ، نام آن را به .htaccess تغییر دهید .

از آن جا که کلیه نسخه های وردپرس بعد از نسخه ۴.۲ این فایل را همراه خود دارند ، می توانید محتویات پیشفرض آن را در فایل ساخته شده خود قرار دهید و از ساخت فایل خالی اجتناب کنید .

کد زیر به صورت پیشفرض در نسخه های جدید وردپرس قرار دارد . می توانید آن را کپی کرده و در فایل .htaccess خود قرار دهید :

برای وردپرس شبکه نسخه ۳.۵ به بالاتر با پوشه برای هر شبکه به جای زیر دامنه از کد زیر استفاده کنید :

اگر وردپرس شبکه شما از حالت زیر دامنه برای سایت ها استفاده می کند ، به جای کد بالا از کد زیر استفاده کنید :

اگر از سایر نسخه های وردپرس استفاده می کنید ، برای کسب اطلاعات بیشتر در مورد این فایل و محتویات آن به htaccess page مراجعه کنید .

وقتی که فایل .htaccess جدید ایجاد می کنید فراموش نکنید که باید دسترسی فایل را روی ۶۴۴ تنظیم کنید تا جلوی سو استفاده از فایل گرفته شده و دسترسی غیرمجاز به آن محدود شود .

 

کدام قسمت های فایل .htaccess را باید ویرایش کرد

وقتی که این فایل را ویرایش می کنید ، باید به این نکته توجه داشته باشید که خط هایی که با علامت # شروع می شوند ، در هنگام اجرا نادیده گرفته می شوند و به عبارتی برای اضافه کردن توضیحات و … کاربرد دارند . پس با این توضیحات ضروری است که هنگام ویرایش فایل و اضافه کردن دستورات جدید ، کد ها قبل یا بعد از دستورات پیشفرض وردپرس اضافه شوند .

وقتی که کد جدیدی به این فایل اضافه می کنید ، نباید آن را بین خط های # BEGIN WordPress و # END WordPress قرار دهید .

به صورت کلی قرار دادن کد های جدید زیر قسمت های پیشفرض وردپرس باعث می شود که کدها مرتب باشند و مشکلی هنگام ذخیره فایل ایجاد نشود . همچنین می توانید کدهای خود را بین تگ های دلخواه خود قرار دهید . مثلا کدهای اضافه شده خود را بین # BEGIN my codes و # END my codes قرار دهید .

همچنین با استفاده از ابزار آنلاین htaccess to Nginx converter می توانید کد های htaccess را به Nginx تبدیل کنید .

 

نحوه ویرایش فایل .htaccess

راه های زیادی برای ویرایش کردن فایل .htaccess وجود دارد که یکی از آن ها ویرایش این فایل به صورت مستقیم از طریق سی پنل است . برای بیشتر افراد این روش ساده ترین و بهترین روش محسوب می شود .

فرقی نمی کند که از چه روشی برای ویرایش این فایل استفاده می کنید ، نکته مهم این است که پس از ایجاد تغییرات یک بار سایت خود را رفرش کنید و ببینید که کدهای اضافه شده باعث به هم ریختن سایت شما شده اند یا خیر . اگر تغییرات باعث به هم ریختن سایت شده است به راحتی تغییرات را به حالت اول بازگردانده و دوباره تلاش کنید . اگر مشکلی وجود نداشت ، تغییرات شما به درستی وارد شده اند و شما می توانید تغییراا دیگر را اضافه کنید .

حتما بخوانید  دانلود مجموعه افزونه های سایت WPMUDEV بروزرسانی خرداد 95

پس از این که وارد سی پنل شدید ، به بخش Files و قسمت File Manager مراجعه کنید و همان طور که توضیح داده شد ، فایل های مخفی را نمایش دهید . فایل .htaccess موجود در ریشه سایت را انتخاب کرده و روی گزینه Edit کلیک کنید .

در صفحه جدید تغییرات جدید را اعمال کنید . فراموش نکنید که برای ذخیره شده تغییرات باید با انتخاب گزینه Save تنظیمات را ذخیره نمایید تا روی سایت اعمال شوند .

با توضیحات ارائه شده تا اینجا ، شما آماده هستید که کارایی و امنیت سایت خود را افزایش دهید . پس به خواندن ادامه دهید .

 

۱. حفاظت از فایل های مهم

یکی از بهترین تغییراتی که می توانید در این فایل اعمال کنید ، تغییراتی است که به واسطه آن ها دسترسی به فایل های مهم و حیاتی وردپرس ممنوع می شود . با استفاده از کد زیر دسترسی خارجی و غیرمجاز به فایل های خطا ، فایل wp-config.php و فایل php.ini ممنوع خواهد شد .

 

۲. ایجاد محدودیت در دسترسی به بخش مدیریت وردپرس

این کد مخصوص کسانی است که از آی پی ثابت استفاده می کنند . با استفاده از این کد دسترسی به بخش مدیریت وردپرس تنها برای کاربرانی امکان پذیر است که آی پی آن ها در لیست آی پی های مجاز قرار گرفته باشد .

دو خط اول باعث می شود که آی پی های غیر مجاز به برگه خطای ۴۰۴ منتقل شوند . مطمئن شوید که قسمت path-to-your-site را با آدرس سایت خود جایگزین کنید .

همچنین مقادیر IP Address One ، IP Address Two و IP Address Three را با آی پی هایی که مجاز به دسترسی به بخش مدیریت هستند ، جایگزین کنید . اگر می خواهید فقط یک آی پی مجاز باشد ، خط های ۹ و ۱۰ را حذف کنید . همچنین می توانید خط ۱۰ را به تعداد دلخواه تکرار کرده و آی پی های بیشتری را در لیست آی پی های مجاز قرار دهید .

 

۳. جلوگیری از نمایش پوشه ها (Directory Browsing)

برای کلیه بازدیدکنندگان سایت شما این امکان وجود دارد که پوشه های سایت شما را بررسی کرده و فایل های شما را مشاهده کند . به عنوان مثال هر بازدید کننده با وارد شدن به آدرس your-site.com/wp-content/uploads می تواند لیست کاملی از فایل ها و پوشه های شما را ببیند .

 

بدون شک شما باید جلوی این کار را بگیرید ، چرا که اگر یک هکر وارد این بخش شود به راحتی می تواند فایل های مهم شما را پیدا کرده و جای قرار گیری آن را بدون نیاز به حدس زدن پیدا کند و اهداف خود را خیلی ساده اجرا نماید .

یک مثال کاربردی این است که شما کلید یدکی خانه خود را در مکانی که کسی از آن اطلاع ندارد ، قرار می دهید تا در موارد ضروری از آن برای باز کردن در خانه استفاده کنید ، با این حال یک نوشته کوچک هم روی در قرار می دهید و مکان قرارگیری کلید را روی آن می نویسید ! با این کار به هر بازدیدکننده اجازه می دهید که به کلید شما دسترسی داشته باشد .

اضافه کردن کد زیر به فایل .htaccess باعث می شود که دسترسی به پوشه ها و مشاهده محتویات آن ها در سایت شما غیرفعال شود . این کار باعث می شود که هکرها بیشتر برای پیدا کردن اطلاعات ضروری وقت بگذارند !

 

۴. جلوگیری از دسترسی مستقیم به فایل های PHP

همانند مورد قبل ، دسترسی مستقیم به فایل های PHP قالب و افزونه ها باید کاملا ممنوع باشد . از فایل های PHP می توان برای تزریق کدهای آلوده به وب سایت و بارگذاری فایل های مخرب استفاده نمود . پس باید دسترسی به فایل های PHP به صورت مستقیم محدود شود .

با اضافه کردن کدهای زیر به فایل .htaccess دسترسی مستقیم به فایل های PHP قالب ها و افزونه ها ممنوع می شود  .

 

حتما بخوانید  نشانه گذاری خودکار دیدگاه های حاوی لینک های طولانی به عنوان جفنگ

۵. جلوگیری از اجرای فایل های PHP

هکرها با استفاده از فایل های PHP می توانند کدهای مخرب و الوده را در سایت شما قرار دهند . برای جلوگیری از این مورد باید جلوی اجرای فایل PHP را گرفت . در این حالت حتی اگر هکر بتواند فایل PHP خود را در پوشه آپلودهای وردپرس قرار دهد قادر به اجرای آن نخواهد بود .

برای جلوگیری از این مورد یک فایل .htaccess جدید در پوشه آپلودهای وردپرس (wp-content/uploads) ایجاد کرده و کد های زیر را در آن قرار دهید .

 

۶. محافظت از سایت در برابر تزریق کدهای مخرب

حال که جلوی چند تهدید احتمالی از طرف هکرها را گرفته اید بهتر است یک مرحله دیگر کار را برای هکرها سخت تر کنیم  .

بیشتر هکرها برای تزریق کدهای آلوده متغیرهای GLOBALS و _REQUEST وردپرس را تغییر می دهند . برای جلوگیری از این حالت کد زیر را در فایل .htaccess قرار دهید .

 

۷. افزایش امنیت پوشه wp-includes

پوشه wp-includes مکان قرارگیری فایل های مهم وردپرس شما است . با جلوگیری از دسترسی های غیرمجاز به این پوشه ، می توانید جلوی سو استفاده های احتمالی از محتویات آن را بگیرید .

برای افزایش امنیت پوشه wp-includes کد زیر را در فایل .htaccess قرار دهید .

 

۸. جلوگیری از مشاهده اطلاعات کاربران با آی دی

وقتی یک بازدیدکننده وارد آدرس your-site.com/?author=1 سایت شما شود ، به صفحه اطلاعات و نوشته های کاربری که دارای شناسه کاربری ۱ است منتقل می شود . این صفحه حاوی نام کاربری است که کاربر با آی دی ۱ دارد .

بازدیدکننده با این روش به راحتی می توانید نام کاربری کلیه کاربرهای سایت شما را پیدا کند . این روش با عنوان username enumeration شناسایی می شود .

اگر یک هکر قادر باشد به راحتی نام کاربری کاربران سایت را پیدا کند و نیازی نباشد ان ها را حدس بزند ، یک قدم به هدف خود نزدیک شده است . در واقع تنها مورد دیگری که نیاز است پیدا شود ، رمز عبور شماست .

با قرار دادن کد زیر در فایل .htaccess ، می توانید جلوی مشاهده اطلاعات کاربران با آی دی آن ها را بگیرید :

 

۹. الزامی کردن SSL

با استفاده از کد زیر در صورتی که کاربر آدرس موجود در خط ۳ را وارد کند به صورت خودکار به برگه دارای گواهی SSL وارد شده در خط ۴ منتقل می شود :

فراموش نکنید که مقادیر www.your-site.com موجود در کد بالا را با آدرس خود جایگزین کنید .

 

۱۰. جلوگیری از قرار دادن تصاویر سایت شما در سایت های دیگر (Image Hot Linking)

وقتی یک بازدیدکننده آدرس تصویر شما را کپی کرده و به جای آپلود آن در سایت خود ، از آن استفاده می کند در واقع از پهنای باند شما سواستفاده می نماید . به این حالت hot linking می گویند .

برای جلوگیری از این مورد ، کد زیر را در فایل .htaccess قرار دهید .

فراموش نکنید که قسمت your-site.com موجود در خط ۲ را با آدرس سایت خود جایگزین کنید . همچنین مقدار http://www.your-site.com/hotlink.gif موجود در خط ۳ را با آدرس تصویری که می خواهید از آن محافظت نمایید جایگزین کنید .

 

کد هدیه : جلوگیری از دزدیده شدن فایل های زبان قالب ها و افزونه ها

به عنوان آخرین کد کاربردی ، نحوه جلوگیری از دزدیده شدن فایل زبان قالب ها و افزونه ها را به شما اموزش می دهیم . برای این کار کافی است کد زیر را در فایل .htaccess قرار دهید .

با این کار کلیه دسترسی های خارجی و غیر مجاز به فایل های زبان پوسته ها و افزونه ها ممنوع می شود .

 

جمع بندی

با استفاده از آموزش ها و کدهای ارائه شده در این قسمت ، می توانید تا مقدار زیادی امنیت سایت وردپرسی خود را افزایش دهید . فراموش نکنید که اضافه کردن این کد ها باعث امن شدن ۱۰۰ درصدی وردپرس نخواهد شد ، یا به عبارتی هیچ وقت امنیت صد در صد وجود ندارد .


به کانال تلگرام بیست اسکریپت بپیوندید !

دانلود

خرید هاست حرفه ای سازگار با انواع اسکریپت همراه با نصب رایگان

مطلب مفیدی بود ؟
نویسنده : admin تاریخ : 1395/04/7 1 مقالات,آموزش,ترفند , وردپرس

لینک کوتاه مطلب : http://www.20script.ir/?p=20657

کلمات کلیدی پست :
درگاه پرداخت
مطالب مرتبط
1,356افزونه رزرواسیون و زمانبندی وردپرس Bookly نسخه ۶.۱ تاریخ : 1394/03/1
1,497افزایش سرعت سایت وردپرسی با افزونه Speed Up تاریخ : 1395/07/24
2,174۱۰ تابع برجسته ی ناشناس در وردپرس تاریخ : 1392/10/1
5,033تغییر ظاهر مدیریت وردپرس با قالب Material Admin تاریخ : 1395/07/18
1,178افزونه شمارشگر معکوس وردپرس Scarcity Builder نسخه 2.1 تاریخ : 1394/02/6
2,761افزونه ویرایشگر قالب مداد زرد Yellow Pencil نسخه 5.3.4 تاریخ : 1395/03/16
6,068افزونه فارسی پیام خصوصی و نامه نگاری بین کاربران عضو وردپرس تاریخ : 1393/10/20
9,867کد ورود و عضویت کاربران در وردپرس تاریخ : 1393/11/19
5,060تغییر ظاهر مدیریت وردپرس با افزونه First تاریخ : 1395/09/1
3,045قالب میهالیسم فارسی برای وردپرس تاریخ : 1393/09/23
3,064دانلود قالب ریواک نسخه 2 برای وردپرس تاریخ : 1395/05/19
358نحوه بازگرداندن تنظیمات تعداد ستون ها در پیشخوان وردپرس تاریخ : 1395/03/4
برخی از قالب های وبلاگ - بیست اسکریپت
قالب عشق بین انگشت ها
قالب دخترونه و آرایش
قالب زیبای ماشین
قالب فانتزی و طنز چِشم
قالب دختر رویایی
قالب وبلاگ دکوراسیون
قالب وبلاگ کلبه و درخت
قالب دختر زیبا
قالب پسرونه غمگین
قالب عاشقانه قلب