بهترین Snippets .htaccess برای بهبود امنیت وردپرس

امنیت وردپرس یکی از عوامل مخرب در بین وبلاگ نویسان تازه کار است. در یک نصب وردپرس بدون نظارت ، آسیب پذیری های بالقوه ای وجود دارد که بدون مراقبت باقی می مانند. بیشتر آموزشهای نصب وردپرس روشی سریع و آسان برای استقرار وردپرس را در عرض چند دقیقه توضیح می دهند. اما آنها چند عامل مهم امنیتی را از دست نمی دهند. به عنوان مثال ، مرور دایرکتوری و استفاده از نام کاربری “مدیر” به عنوان راه حل های امنیتی جدی در نظر گرفته می شوند. امروز می خواهیم به 10 قطعه کد HTML دسترسی پیدا کنیم که به بهبود امنیت وبلاگ وردپرس شما کمک می کند. قبل از شروع کار ، اجازه دهید سریعاً بررسی کنیم که پرونده htaccess چیست.


پرونده .htaccess چیست؟?

یک فایل htaccess یک فایل پیکربندی اختیاری است که برای سرور وب آپاچی برای تفسیر ، برای هر فهرست استفاده می شود. می توانید تنظیمات مختلفی را در آن پرونده از قبیل: رمز عبور از دایرکتوری ، مسدود کردن IP ها ، مسدود کردن یک پرونده یا پوشه از دسترسی عمومی و غیره ذخیره کنید. به طور سنتی ، پرونده .htaccess در دایرکتوری پایه نصب وردپرس موجود است. ساختار پیوند ثابت را بطور پیش فرض ذخیره می کند.

نکته: قبل از شروع آموزش ، حتماً از فایل فعلی htaccess (در صورت وجود) در یک سرویس ذخیره سازی ابری مانند Dropbox نسخه پشتیبان تهیه کنید. اگر یک قطعه کد خاص سایت شما را خراب کند ، این است که به آخرین پرونده شناخته شده کار .htaccess برگردید. شروع کنیم.

1. مسدود کردن ربات های بد

ربات های بد

یکی از بهترین استفاده های پرونده .htaccess توانایی آن در انکار چندین آدرس IP از دسترسی به سایت شما است. این کار هنگام مسدود کردن اسپمرهای شناخته شده و سایر منشأ دسترسی مشکوک یا مخرب مفید است. کد:

# مسدود کردن یک یا چند آدرس IP.
# IP_ADDRESS_ * را با IP که می خواهید مسدود کنید جایگزین کنید


سفارش اجازه ، انکار
از IP_ADDRESS_1 رد کنید
از IP_ADDRESS_2 انکار کنید
اجازه از همه

جایی که IP_ADDRESS_1 اولین IP است که می خواهید از دسترسی به سایت خود جلوگیری کنید. می توانید IP های مورد نظر خود را اضافه کنید. مهم نیست که چه عامل های کاربر (مرورگرها) از این آدرس های IP استفاده می کنند ، آنها نمی توانند از یک سرور شما به یک فایل واحد دسترسی داشته باشند. وب سرور بطور خودکار تمام دسترسی ها را انکار می کند.

2. مرور فهرست را غیرفعال کنید

هک وردپرس htaccess مرور دایرکتوری را غیرفعال می کند

این یکی از ناقص ترین نقص های امنیتی در سایت وردپرس است. به طور پیش فرض ، وب سرور Apache مرور فهرست را قادر می سازد. این بدان معنی است که کلیه پرونده ها و پوشه های موجود در فهرست اصلی (که گاهی اوقات به آن فهرست خانه می گویند) وب سرور توسط یک بازدید کننده امکان پذیر و قابل دسترسی می باشد. شما این کار را نمی خواهید زیرا نمی خواهید افرادی که در آپلودهای رسانه ای شما یا پرونده های موضوع یا افزونه شما را مرور می کنند.

اگر به طور تصادفی 10 وب سایت شخصی یا شغلی وردپرس را انتخاب کنم ، 6-8 از آنها مرور فهرست را غیرفعال می کنند. این اجازه می دهد هر کسی به راحتی در اطراف wp-content / بارگذاری پوشه یا هر فهرست دیگری که پیش فرض ندارد index.php فایل. در حقیقت ، تصویری که می بینید از یکی از سایت های مشتری من است ، قبل از این که من اصلاح را توصیه کنم. قطعه کد برای غیرفعال کردن مرور فهرست:

# غیرفعال کردن مرور فهرست
گزینه ها All-Indexes

3. فقط فایلهای انتخاب شده را از wp-content مجاز کنید

shutterstock_108312266

همانطور که می دانید wp-content پوشه حاوی بیشترین تم ها ، افزونه ها و آپلودهای رسانه ای شماست. شما مطمئناً نمی خواهید مردم بدون محدودیت به آن دسترسی پیدا کنند. علاوه بر غیرفعال کردن مرور دایرکتوری ، می توانید دسترسی به همه انواع فایل ها را نیز انکار کنید ، چند مورد را ذخیره کنید. در اصل ، می توانید پرونده هایی مانند JPG ، PDF ، DOCX ، CSS ، JS و غیره را از حالت انتخاب قفل کنید و از بقیه انکار کنید. برای انجام این کار ، این قطعه کد را در پرونده .htaccess خود قرار دهید:

# دسترسی به کلیه انواع پرونده ها غیر از موارد غیرفعال را غیرفعال کنید
سفارش انکار ، اجازه
از همه انکار کنید

اجازه از همه

شما باید یک فایل .htaccess جدید با کد ایجاد کنید و آن را در wp-content پوشه این را در فهرست نصب پایه قرار ندهید – در غیر اینصورت کار نخواهد کرد. همچنین می توانید با افزودن “’ “” پس از “rar” ، نوع فایل را به این لیست اضافه کنید. لیست فوق حاوی پرونده های لازم – XML ​​، CSS و JavaScript ، قالب های تصویر و اسناد معمول و در نهایت فرمت های بایگانی شده ترین استفاده می باشد.

4. محدود کردن دسترسی به wp-شامل

shutterstock_135573032

پوشه wp-شامل فقط پرونده هایی وجود دارد که برای اجرای نسخه اصلی وردپرس کاملاً ضروری هستند – یکی بدون پلاگین یا مضامین. به یاد داشته باشید ، موضوع پیش فرض هنوز در این مکان قرار دارد wp-content / theme فهرست راهنما. بنابراین ، هیچ بازدید کننده ای (از جمله شما) نیاز به دسترسی به محتوای آن ندارد wp-شامل پوشه با استفاده از این قطعه کد زیر می توانید دسترسی را غیرفعال کنید:

# بلوک wp-شامل پوشه و پرونده ها است

بازنویسی Engine On
بازنویسی پایگاه /
بازنویسی ^ wp-admin / شامل / - [F ، L]
بازنویسی Rule! ^ wp-شامل / - [S = 3]
بازنویسی خط ^ wp-شامل / [^ /] + \. php $ - [F، L]
بازنویسی خط ^ wp-شامل / js / tinymce / langs /.+ \. php - [F، L]
بازنویسی ^ wp-شامل / تم-سازگار / - [F، L]

5- فقط به آدرسهای IP انتخاب شده اجازه دسترسی به wp-admin را بدهید

shutterstock_140373169

wp-مدیر پوشه حاوی پرونده های مورد نیاز برای اجرای داشبورد وردپرس است. در بیشتر موارد ، بازدید کنندگان شما نیازی به دسترسی به داشبورد وردپرس ندارند ، مگر اینکه بخواهند حساب خود را ثبت کنند. یک اقدام امنیتی خوب برای فعال کردن فقط چند آدرس IP انتخاب شده برای دسترسی به wp-مدیر پوشه می توانید IP های افرادی که نیاز به دسترسی به داشبورد وردپرس دارند – ویرایشگرها ، مشارکت کنندگان و سایر سرپرستان. این قطعه کد فقط به IP های ثابت اجازه می دهد تا دسترسی داشته باشند wp-مدیر پوشه را نادیده گرفته و دسترسی به سایر نقاط جهان را انکار می کند.

# ورود و مدیر توسط IP محدود کنید

سفارش انکار ، اجازه
انکار همه
از 302.143.54.102 اجازه دهید
از IP_ADDRESS_2 اجازه دهید

اطمینان حاصل کنید که یک پرونده جدید .htaccess ایجاد کرده و آن را در پوشه wp-admin قرار داده اید و نه فهرست نصب پایه. اگر این دومی باشد ، هیچ کس به جز شما قادر نخواهد بود سایت شما را مرور کند – حتی موتورهای جستجوگر! شما مطمئناً آن را نمی خواهید. چند سقوط از این اقدام به شرح زیر است:

  • اگر سایت شما اجازه می دهد یا تبلیغ می کند ثبت نام کاربر جدید, ردیابی تعداد کاربران تقریبا غیرممکن خواهد بود. به عنوان مثال در WPExplorer ، اگر می خواهید مضامین عالی عالی ما را بارگیری کنید ، باید ثبت نام کنید.
  • افراد با آدرس های IP پویا (بیشتر کاربران باند پهن ADSL با استفاده از پروتکل های PPP یا PPPoE) IP های خود را تغییر می دهند ، هر بار که به ISP خود وارد شوید و وارد سیستم شوید. مطمئناً پیگیری همه این IP ها و افزودن آنها به پرونده htaccess غیر عملی خواهد بود.
  • پهنای باند موبایل: این که آیا شما در 3G یا 4G هستید ، آدرس IP شما بستگی به برج سلولی فعلی که به آن وصل شده اید ، بستگی دارد. بگو سفر می کنید – با هر دو مایل که از مبدا حرکت می کنید ، IP شما دائماً در حال تغییر است. باز هم ، پیگیری پرونده htaccess تقریبا غیرممکن است.
  • نقاط مهم Wi-Fi عمومی: استفاده از مدارک معتبر هنگام اتصال به اینترنت با استفاده از کانون عمومی Wi-Fi مهم نیست ، زیرا کودک با یک نرم افزار کوچک می تواند هر شخصیتی را که تایپ می کنید استخراج کند. لازم به ذکر نیست ، هر کانون Wi-Fi یک آدرس IP منحصر به فرد خواهد داشت.

خوشبختانه ، تمام این معایب (صرفه جویی در مورد اول) ، با استفاده از VPN قابل اصلاح است. اگر VPN خود را تنظیم کنید که فقط با استفاده از یک آدرس IP تنها به اتصال متصل شود ، می توانید آن را فقط به پرونده htaccess خود اضافه کنید ، و تمام مشکلات شما حل خواهد شد.

6. از wp-config.php و .htaccess محافظت کنید

وردپرس-تجارت الکترونیک-امنیت-خرید-راهنمایی

wp-config.php پرونده حاوی حساس ترین اعتبار دسترسی سایت وردپرس شماست. این برنامه شامل نام پایگاه داده و اعتبار دسترسی و سایر داده های مهم دیگر از جمله سایر تنظیمات است. تحت هیچ شرایطی نمی خواهید افراد دیگر در این پرونده جستجو کنند. و البته ، شما می خواهید دسترسی عمومی به منبع همه این امنیت را غیرفعال کنید – .htaccess خود پرونده. می توانید دسترسی را غیرفعال کنید wp-config.php با این کد زیر:

# دسترسی به پرونده wp-config.php را انکار کنید

سفارش اجازه ، انکار
انکار همه

برای انکار دسترسی به همه پرونده های htaccess (به یاد داشته باشید برخی ممکن است در wp-admin و سایر پوشه ها باشند) ، از این قطعه کد استفاده کنید:

# دسترسی به همه پرونده های .htaccess را انکار کنید

سفارش اجازه ، انکار
انکار همه
همه را راضی کنید

7. Hotlinking تصویر را انکار کنید

تصویر داغ

یکی از جالبترین پرونده های htaccess. html ، این یکی اسکریپت های محتوا را با دم خود بین پاهای خود اجرا می کند. وقتی شخصی از تصویر سایت شما استفاده می کند ، پهنای باند شما مصرف می شود و بیشتر اوقات ، حتی به آن اعتبار نمی دهید. این قطعه کد آن مشکل را از بین می برد و در هنگام شناسایی یک لینک hotl ، این تصویر را ارسال می کند.

# از اسکریپت hotlinking تصویر جلوگیری کنید. URL آخر را با هر پیوند تصویری که می خواهید جایگزین کنید.
بازنویسی مهندسی را روشن کنید
بازنویسی٪ {HTTP_REFERER}! ^ $
بازنویسی٪٪ {HTTP_REFERER! ^ http (ها)؟: // (www \.)؟ yourwebsite.com [NC]
بازنویسی٪ {HTTP_REFERER}! ^ http (ها)؟: // (www \.)؟ yourotherwebsite.com [NC]
بازنویسی Rule \. (jpg | jpeg | png | gif) $ http://i.imgur.com/MlQAH71.jpg [NC، R، L]

8- Caching Browser را فعال کنید

لیست مرورگرهای وب

این هک .htaccess همچنین با استفاده از گزینه های حافظه پنهان مرورگر برای سایت وردپرس خود فعال شده است. همچنین می توانید از آن در پروژه های دیگر استفاده کنید – سایتهای HTML و غیره.

# ذخیره مرورگر راه اندازی

منقضی می شود
ExpiresByType تصویر / jpg "دسترسی 1 سال"
ExpiresByType تصویر / jpeg "دسترسی 1 سال"
ExpiresByType تصویر / gif "دسترسی 1 سال"
ExpiresByType تصویر / png "دسترسی 1 سال"
منقضی می شود متن / CSS "دسترسی 1 ماه"
ExpiresByType برنامه / pdf "دسترسی 1 ماه"
ExpiresByType text / x-javascript "دسترسی 1 ماه"
ExpiresByType برنامه / X-shockwave-flash "دسترسی 1 ماه"
ExpiresByType image / x-icon "دسترسی 1 سال"
منقضی می شود پیش فرض "دسترسی 2 روز"

9. تغییر مسیر به یک صفحه تعمیر و نگهداری

shutterstock_93288208

هنگامی که به وب هاست ها مهاجرت می کنید یا کارهای خاصی را برای تعمیر و نگهداری انجام می دهید ، همیشه توصیه می شود که یک پرونده HTML “پایین برای تعمیر و نگهداری” ایجاد کنید تا بازدید کنندگان خود را آگاه سازند که وب سایت تحت عملیات ارتقا یا نگهداری قرار دارد. به سادگی یک فایل maintenance.html (یا هر نام دیگر) ایجاد کرده و آن را در فهرست اصلی نصب وردپرس بارگذاری کنید. قطعه زیر را در پرونده .htaccess خود قرار دهید. پس از اتمام عمل ، حتماً این خطوط را حذف یا نظر دهید تا به عملیات کلی برگردید. می توانید با افزودن “#” در ابتدای هر خط ، اظهار نظر کنید.

# همه ترافیک را به پرونده maintenance.html هدایت کنید
بازنویسی مهندسی را روشن کنید
بازنویسی٪ {REQUEST_URI! /maintenance.html$
بازنویسی٪ {REMOTE_ADDR}! ^ 123 \ .123 \ .123 \ .123
بازنویسی Rule $ /maintenance.html [R = 302، L] 

10. صفحات خطای سفارشی

قالب 404

همچنین می توانید برای پیکربندی صفحات خطای سفارشی کاربرپسند برای خطاهایی مانند 403 ، 404 و 500 از پرونده htaccess استفاده کنید. پس از تهیه صفحه خطا – اجازه دهید که بگوییم error.html ، آن را در فهرست اصلی نصب وردپرس خود بارگذاری کنید. سپس قطعه کد زیر را به پرونده .htaccess خود اضافه کنید تا صفحه خطای سفارشی فعال شود:

# صفحه خطای سفارشی برای خطاهای 403 ، 404 و 500
ErrorDocument 404 /error.html
ErrorDocument 403 /error.html
ErrorDocument 500 /error.html

نتیجه:

امروز ما برخی از جالبترین هک های hacacas را برای تقویت سایت وردپرس شما آموخته ایم. من به شما پیشنهاد می کنم قبل از تست هر ماژول ، یک و یک از هر ماژول را یک به یک امتحان کنید. دلیل این امر این است که پرونده .htaccess بسیار مهم است. یک شخصیت ‘#” گم شده یا نامناسب “می تواند یکپارچگی سایت شما را از بین ببرد. اگر به داشبورد وردپرس خود بارها و بارها دسترسی پیدا می کنید ، توصیه می شود IP های انتخابی را برای خود فعال نکنید wp-مدیر پوشه.

بیش از شما – نظر شما در مورد این پست چیست؟ به نظر شما این مشکل برای ویرایش پرونده htaccess ارزش دارد؟ آیا از نکته امنیتی بهتر اطلاع دارید؟ ما از اینکه ازت خبر داشته باشیم خوشحال میشویم.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map