مقالات آموزشی

افزایش امنیت وردپرس با فایل htaccess

توسط امنیت وردپرسدر

راه های مختلفی برای افزایش امنیت وردپرس وجود دارد که یکی از مهم ترین آن ها ایمن سازی بخش های مختلف وردپرس با استفاده از فایل htaccess است.

فایل .htaccess چیست و چطور می توان آن را ویرایش کرد ؟

فایل .hataccess فایلی است که تنظیمات سرور شما در آن قرار میگیرد و شما می توانید با تعریف قوانینی سرور سایت خود را مجاب کنید تا از قوانین شما پیروی کند.

مثلا ابتدایی ترین و ساده ترین کاری که وردپرس با این فایل انجام میدهد نگهداری ساختار پیوند های یکتاست !

اگر از طریق filezilla وارد پوشه وردپرس خود در هاستتان شوید می توانید فایل .htaccess را مانند تصویر زیر ببینید

افزایش امنیت وردپرس با فایل htaccess | آموزش وردپرس | آموزش ایمن سازی وردپرس

 

مهم ترین نکته قبل از شروع مطالعه این مقاله و ایجاد تغییرات در فایل .htaccess این است که یک بک آپ یا کپی از محتویات فایل خود بگیرید تا در صورت بروز مشکل بتوانید فایل را به حالت عادی برگردانید.

 

۱- افزایش امنیت پیشخوان وردپرس

یکی از راه های افزایش امنیت وردپرس مدیریت و ایمن سازی پیشخوان سایت شماست. مثلا می توانید پیشخوان سایت را محدود به آی پی خودتان کنید که در این صورت هیچ آی پی دیگری امکان وارد شدن و استفاده از پیشخوان سایت شما رو نخواهد داشت.

برای این کار کافیست کد زیر را کپی و در انتهای فایل .htaccess سایت خود قرار دهید.

 

AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

فقط فراموش نکنید که بجای مقدار xx داخل کد باید از آی پی مودم خودتان استفاده کنید.

 

۲- افزایش امنیت وردپرس با رمز گذاری روی پوشه wp-admin

اگر از چند نقطه مختلف مثل خانه ، دفتر کار و … به مدیریت سایت خود دسترسی دارید، روش اول زیاد روش مطمئن و مناسبی برای ایمن سازی مدیریت سایت وردپرسی شما نیست .

برای افزایش امنیت وردپرس می توانید از طریق فایل .htaccess روی پوشه wp-admin رمزگذاری کنید! بدین ترتیب دسترسی به آدرس مدیریت و پیشخوان وردپرس فقط برای کسی مقدور است که کلمه عبور مد نظر شما را در اختیار داشته باشد .

ابتدا وارد سایت htaccesstools شده و یک نام کاربری و کلمه عبور بسازید و به صورت فایل .htpasswd دانلود کنید.

 

فایل .htpasswd را کنار پوشه public_html هاست خود آپلود کنید ، به آدرس زیر دقت کنید :

/home/user/.htpasswds/public_html/wp-admin/passwd/

در انتها یک فایل .htaccess داخل پوشه /wp-admin/ ایجاد کنید و کد زیر رو بهش اضافه کنید :

AuthName "Admins Only"
AuthUserFile <span style="color: #ff0000;">/home/yourdirectory/.htpasswds/public_html/wp-admin/passwd</span>
AuthGroupFile /dev/null
AuthType basic
require user <span style="color: #ff0000;">نام کاربری شما</span>
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any 
</Files>

توجه : بعد از قراردادن کد فراموش نکنید که مسیر آپلود فایل و همینطور نام کاربری مورد نظر خودتون رو وارد کنید ( موارد با رنگ قرمز توی کد مشخص شدند ) .

 

3- افزایش امنیت وردپرس با غیرفعال کردن Directory Browsing

خاصیت directory browsing به شما اجازه میده تا بدون لاگین شدن از طریق ftp یا هاست خودتون بتونید دسترسی پیدا کنید به فایل ها و صفحات آپلود شده ، قبل تر ها اگه یادتون باشه میگفتن توی پوشه های یک فایل index.php بسازید تا این خاصیت فعال بشه و بدون لاگین نشه به فایل ها دسترسی پیدا کرد.

تمام متخصصان امنیت بر این باورند که برای افزایش امنیت وردپرس می توان با غیرفعال کردن ویژگی Directory Browsing در وردپرس قدم مهمی برداشت و از دسترسی هکر ها به فایل های سایت جلوگیری کرد .

برای غیرفعال کردن این خاصی کافیه یک خط کد رو به فایل .htaccess اضافه کنید :

                                                                                                               Options -Indexes

4- افزایش امنیت وردپرس با محدود کردن wp-config.php

یکی از مهم ترین بخش های سایت وردپرس فایل wp-config.php  می باشد به این دلیل که مشخصات دیتا ، سایت شما در این فایل وجود دارد. بدون شک محافظت از فایل wp-config.php  بسیار مهم و ضروری می باشد.

برای این کار کافیست کد زیر را کپی و در انتهای فایل .htaccess سایت خود قرار دهید.

<files wp-config.php>

order allow,deny

deny from all

<files/>

5- افزایش امنیت وردپرس با پوشه wp-includes

پوشه wp-includes نیز فایل های مهم و حیاتی سایت شما را در خود دارد که بدون شک دسترسی هکر ها به این پوشه باعث مشکلات می شود.

برای این کار کافیست کد زیر را کپی و در انتهای فایل .htaccess سایت خود قرار دهید.

 Block the include-only files#

<IfModule mod_rewrite.c>

RewriteEngine On

/RewriteBase

[RewriteRule ^wp-admin/includes/ - [F,L

[RewriteRule !^wp-includes/ - [S=3

[RewriteRule ^wp-includes/[^/]+.php$ - [F,L

[RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L

[RewriteRule ^wp-includes/theme-compat/ - [F,L

<IfModule/>

6- افزایش امنیت وردپرس با محدود کردن IP هایی که دسترسی مجاز به صفحه ورود به وردپرس دارند

شما میتوانید برای افزایش امنیت سایت خود آی پی هایی که میتوانند به صفحه ورد وردپرس شما دسترسی داشته باشند را محدود کنید. لازم به ذکر است که این روش برای سایت هایی که نیازمند ثبت نام و ورود اغضا است مناسب نیست.

<Files wp-login.php>

order deny,allow

Deny from all

 allow access from my IP address #

allow from 192.168.5.1

<Files/>

7- افزایش امنیت وردپرس با جلوگیری از نمایش لیست فایل های سایت

به دلیل صعف امنیتی هاست در صورت نبودن فایل Index.html تمامی فایل هایی که بر روی هاست وجود دارد را به کاربر نشان می دهد. به دلیل در اختیار گذاشتن محتویات دایرکتوری به کاربر برای سایت شما مضر است.

برای رفع این مشکل کافیست کد زیر را کپی و در انتهای فایل .htaccess سایت خود قرار دهید.

 

Options All –Indexes

8- افزایش امنیت وردپرس با محافظت از پوشه wp-contents

پوشه wp-contents  پوه ای است که فایل های تم ، تصاویر ، پلاگین ، و ویدیو ها درآن قرار دارد. بخاطر وجود این اطلاعات مهم این پوشه هدف اکثر هکر ها است . برای امنیت این فایل ها باید یک فایلhtaccess. جداگانه بسازید و کد های مربوطه را در آن قرار دهید . بهتر است برای ساخت فایل htaccess. از فایل موجود در وردپرس کپی بگیرید و کحنوای آن را تغییر دهید.

Order deny,allow
Deny from all
<“$(Files ~ “.(xml|css|jpe?g|png|gif|js>
Allow from all
<Files/>

9- افزایش امنیت وردپرس با محدود کردن دسترسی به پنل مدیریت

برای جلوگیری دسترسی هکر ها به پنل مدیریتی سایت خود می توانید دسترسی به مدیریت سایت را تنها با IP خاص اجازه دهید. برای این کار شما می بایست یک فایل htaccess. جداگانه بسازید و کد های زیر را در آن قرار دهید  پس از قرار دادن کد ها در این فایل، فایل htaccess. را در پوشه wp-admin قرار دهید.

 Limit logins and admin by IP #
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 12.34.56.78
<Limit/>

دقت داشته باشید که IP  نوشته شده در کد فوق را باید به IP  خود تغییر دهید . می توانید آدرسهای دیگری را با کپی و پیست کردن خط Allow from … اضافه کنید.

 

10- افزایش امنیت وردپرس با مسدود کردن یک IP خاص

اگر شما میدانید که کاربر یا IP  مشکوکی قسط هک کردن سایت شمارا دارد میتوانید با محروم کردن آن IP   از سایت خود محافظت کنید.

<Limit GET POST>
order allow,deny
deny from 123.456.78.9
allow from all
<Limit/>

برای رفع این مشکل کافیست IP  مشکوک را از پنل مدیریت وردپرس پیدا کنید و در فایل  htaccess. کپی کنید.

دقت داشته باشید که IP  نوشته شده در کد فوق را باید به IP  خود تغییر دهید .

 

افزایش امنیت وردپرس

11- افزایش امنیت وردپرس با جلوگیری از نمایش تصاویر سایت شما در سایت های دیگر

اگر فردی تصاویر استفاده شده در سایت شما را کپی کند و در سایت خود به چای اپلود آن را فقز قرار دهد در واقع او دررحال استفاده از پهنای باند شما است . به این حالت از hot linking می گویند .

برای رفع این مشکل کافیست کد زیر را کپی و در انتهای فایل .htaccess سایت خود قرار دهید.

RewriteEngine on

$^!{RewriteCond %{HTTP_REFERER

[RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC

[RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourotherwebsite.com [NC

[RewriteRule \.(jpg|jpeg|png|gif)$ http://google.com/MlQAH۷۱.jpg [NC,R,L

 

12- افزایش امنیت وردپرس با غیرفعال کردن تصویر Hotlinking

هکر ها میتوانند سرعت وبسایت شما را کاهش دهkد و توسط  hotlinking پهنای باند را سرقت کنند. اگر سایتی با تعدادی زیادT تصاویر و فیلم دارید میتوانید از Hotlinking برای حل این مساله استفاده نمایید.

برای رفع این مشکل کافیست کد زیر را کپی و در انتهای فایل .htaccess سایت خود قرار دهید.

disable hotlinking of images with forbidden or custom image option#
RewriteEngineon
$^!{RewriteCond%{HTTP_REFERER
[RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?youcode.ir [NC
[RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?google.com [NC
[RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?feeds2.feedburner.com/youcode [NC
[RewriteRule\.(jpg|jpeg|png|gif)$[NC,F,L

13- افزایش امنیت وردپرس با غیر فعال کردن دسترسی به دایرکتوری ها

برای امنیت سایت شما باید دستسرسی افراد به دایرکتوری را ببندید. اگر دسترسی به دایرکتوری را محدود نکنید تمامی کاربرانی که به سایت شما مراجعه می کنند به سادگی می تواند به پوشه های سایت شما دسترسی داشته باشند .

برای رفع این مشکل کافیست کد زیر را کپی و در انتهای فایل .htaccess سایت خود قرار دهید.

 Disable directory browsing#
Options All -Indexes

دیدگاه خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    سوالی دارید؟ با ما صحبت کنید!
    دریافت مشاوره رایگان
    سلام ! اگه نیاز به مشاوره رایگان دارید توی واتس اپ همیشه پاسخگوی شما هستیم :)
    ما معمولاً کمتر از چند دقیقه پاسخ می دهیم
    سبد خرید