افزایش امنیت وردپرس با فایل htaccess. (راهنمای از 0 تا 100)

افزایش امنیت وردپرس با فایل htaccess.

امروز با آموزش افزایش امنیت وردپرس با فایل htaccess. در خدمتتون هستیم. توسط فایل htaccess. بر روی هاست می‌توان کنترل دقیقی روی درخواست‌های ارسالی به سمت سایت داشت.

درواقع فایل htaccess. یک فایل کنترلی برای نحوه مدیریت صحیح درخواست‌ها بر روی وب سرور هستش، بر روی هاست اشتراکی کاربران دسترسی تغییرات بر روی کل وب سرور را نداشته ولی این فایل به آن‌ها این امکان را می‌دهد درخواست‌های ارسالی به سمت سایت خود را مدیریت کنند.

کاربرد فایل htaccess. بسیار گسترده بوده که در این آموزش فقط به مباحث مرتبط با وردپرس خواهیم پرداخت ولی همین‌قدر بدانید که توسط این فایل می‌توان بر روی دایرکتوری‌ها پسورد گذاشت، ریدایرکت ها را کنترل کرد، دسترسی‌ها را محدود کرد و…

در جلسه گذشته به آموزش تامین امنیت وردپرس به صورت کلی ولی دقیق پرداختیم در این جلسه فقط قصد داریم روی نحوه امن کردن سایت از طریق فایل htaccess. بپردازیم.

افزایش امنیت وردپرس با فایل htaccess.

قبل از شروع کار حتماً یک بکاپ از این فایل تهیه کنید تا در صورت بروز مشکل آن را بازگردانی کنید، تمامی تغییرات اعمال شده در این فایل در ادامه کدهای موجود قرار خواهند گرفت و نباید جایگزین کدهای قبلی شوند.

قدم اول سعی می‌کنیم امنیت یکی از مهم‌ترین و حساس‌ترین فایل‌های وردپرس یعنی فایل کانفیگ آن را تأمین کنیم، برای این کار کافی است فایل htaccess. را باز کرده و در انتهای آن کد زیر را قرار دهید.

<Files wp-config.php>
order allow,deny
deny from all
</Files>

 

محافظت از نماش اطلاعات فایل htaccess.

از قدیم میگن کوزه گر از کوزه شکسته آب میخوره، قبل از رفتن به ادامه آموزش افزایش امنیت وردپرس با فایل htaccess. و فراموش کردن خود فایل اصلی htaccess. ابتدا بهتره اونو امنش کنیم برای امن کردن این فایل کد زیر را درون خود همین فایل اضافه کنید.

<Files ".htaccess">
order allow,deny
deny from all
</Files>

تمامی کدهای ذکر شده سبب می‌شوند تا در مواقعی که فردی قصد فراخوانی این فایل‌ها را از طریق آدرس url مرورگر خود را داشت برای آن‌ها ارور عدم دسترسی یا forbidden error برگرداند و دسترسی به محتویات این فایل غیر ممکن شود.

 

مسدود کردن دسترسی هکرها

اگر از پلاگینهای امنیتی وردپرس استفاده می‌کنید و یا می‌توانید آی پی فرد مهاجم را داشته باشید از طریق کد زیر می‌توانید دسترسی آن را به طور کلی به سایت مسدود کنید.

order allow,deny
deny from 192.163.8.9
allow from all

 

افزایش امنیت دایرکتوری wp-includes

دایرکتوری wp-includes یکی از مهم‌ترین مسیرهایی است که در آن فایل‌های هسته وردپرس قرار دارد، بدیهی است برای تأمین امنیت وردپرس باید دسترسی به فایل‌های مهم آن را مسدود کنیم.

با قرار دادن کد زیر در انتهای کدهای htaccess. دسترسی به یکسری از فایل‌های اساسی وردپرس از طریق مرورگر کاربر را مسدود می‌کنیم.

# Block the include-only files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

 

جلوگیری از ایندکس شدن فایل‌ها

بر روی هاست ممکن است به دلیل ضعف در کانفیگ امنیتی، تمامی فایل‌هایی که بر روی هاست وجود دارند در صورت عدم وجود فایل index.html به کاربران نمایش داده شوند و این می‌تواند برای سایت شما خطرناک چرا که به کاربر اجازه مشاهده تمامی محتویات یک دایرکتوری را می‌دهد.

جلوگیری از ایندکس شدن فایل‌ها

برای رفع این مشکل می‌توانید خط زیر را درون فایل htaccess. قرار دهید تا بدین صورت یک گام دیگر در جهت افزایش امنیت وردپرس بر داشته باشید.

Options All –Indexes

محدودسازی فایل‌ها را همچنین می‌توانید برای هر دایرکتوری به صورت جداگانه لحاظ کنید.

 

بستن دسترسی به فایل‌های wp-config.php,readme.html,license.txt

برای بستن دسترسی هر ۳ فایل به صورت یکجا در یک قطعه کد می‌توانید از کد زیر در فایل htaccess. هاست خود استفاده کنید، البته از روش‌های قبل نیز می‌توانید جهت بستن تک‌تک فایل‌ها اقدام کنید.

<FilesMatch "^(wp-config.php|readme.html|license.txt)">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>

 

جلوگیری از حملات ClickJacking

برای افزایش امنیت وردپرس با فایل htaccess. و جلوگیری از حملات مرسوم clickjacking به سمت سایت و افزایش امنیت وردپرس از کد زیر می‌توانید استفاده کنید.

<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>

آیا این مطلب برای شما مفید بود؟

میانگین امتیاز ۵ / ۵. تعداد آرا: ۲۰

اشتراک در
اطلاع از
guest

0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها

فرم ثبت نام در مسابقه فتح پرچم

برای شرکت در مسابقه باید با اطلاعات صحیح عضو شوید
ثبت نام در مسابقه
close-link