آموزش افزایش امنیت وردپرس از طریق کد های فایل htaccess

با سلامی دوباره خدمت تمامی بینندگان وب مستر 98 ،در این مطلب قصد داریم که بصورت کامل و حرفه ای افزایش امنیت وردپرس از طریق کد های فایل htaccess را به شما عزیزان آموزش بدهیم.پس از مطالعه و انجام دادن این روش ها شما امنیت سایت وردپرسیتون را تا حد زیادی افزایش میدهید.

توجه داشته باشید که تمامی مراحل را از ابتدا انجام دهید و مقاله ای که در زمینه آموزش وردپرس برای شما عزیزان اماده کرده ایم را از همین ابتدا شروع به خواندن کنید تا مشکلی پیش نیاید.پس در ادامه با ما همراه باشید.

حتما تا به حال اسم فایل htaccess رو شنیده اید.جالبه بدونید که فایل htaccess که داخل محل نصب وردپرس در هاستتون وجود دارد یکی از حساس ترین و مهم ترین بخش برای تغییر دادن تنظیمات سرور برای افزایش امنیت و قدرت سایت شما به حساب می آید.

از ظریق و  قرار دادن کد های صحیح و ویرایشات اصولی میتوانید تنظیماتی که سرور شما دارد را فعال و یا غیر فعال کنید و در نهایت از امنیت سایت خودتون مطمئن بشید و اون رو از خطرات هک و نفوذ حفظ نمایید.

اگر بخواهیم برخی از کارهایی که میتوان از طریق این فایل را  انجام داد را مطرح کنیم میتونیم به این موارد اشاره کنیم : با تغییر دادن این فایل میتوانید تمام مسیر های ورود و خروج سایتتون رو مدیریت کنید یا دسترسی ها و ورد های غیر مجاز را به فایل های مهمتون ممنوع کنید.قرار دادن رمز ورود برای وارد شدن به پوشه ها و یا گذاشتن و کپی کردن تصاویر سایت شما در سایت های دیگر.

تمامی این کارها از طریق ویرایش فایل htaccess. انجام میشود که در ادامه بیشتر با این فایل آشنا خواهید شد و بصورت کامل شما را با ویرایش کردن این فایل آشنا خواهیم نمود و برخی از کدهارا که باعث افزایش امنیت بیشتر سایتتون میشه رو بررسی و آزمایش میکنیم پس با ماهمراه باشید.

معرفی و محل فایل htaccess. :

شاید تا به حال هرچقدر داخل هاست و ریشه سایت خودتون به دنبال فایل htaccess. بوده اید این فایل را پیدا نکرده باشید. این فایل داخل هاست شما مخفی میباشد و نقطه ای که در کنار نام مشاهده میکنید نشانگر مخفی بودن این فایل در حالت معمولی میباشد.اما برای نمایش دادن و در اوردن از حالت مخفی این فایل باید نمایش دادن فایل های مخفی رو فعال کنید در غیر این صورت نمیتوانید این فایل را ویرایش کنید

اگر این فایل فعال باشید با ویرایش نمودن اطلاعات آن تنظیمات به صورت خودکار به پیوند های یکتا وردپرس اضافه میشوند.وردپرس از فایل htaccess. برای تشخیص و معلوم نمودن پیوند های یکتا سایت شما استفاده میکند و به غیر از این مورد استفاده خاص دیگری از این فایل ندارد.البته این مسئله ربطی به بی ارزش بودن این فایل ندارد در حالی که ویرایش htaccess. یکی از حساس ترین و مهم ترین بخش برای تغییر دادن سرور سایت شما میباشد.

در ادامه بیشتر با فایل htaccess. اشنا میشوید پیشنهاد میشود فایل htaccess. را کم تاثیر قرار ندهید و حتما کد هایی که در ادامه برای شما عزیزان قرار داده ایم رو امتحان کنید.

گرفتن بک آپ از htaccess. در افزایش امنیت وردپرس :

همانطور که گفته شد این فایل یکی از حساس ترین و مهم ترین فایل در هاست شما میباشد . وجود یک کاراکتر و یک حرف اضافه دراین فایل باعث به هم ریختگی کل وب سایت شما میشود . بنابراین حتما ازاین فایل بک آپ و نسخه پشتیبان تهیه کنید.پپیشنهاد میشود همین حالا وارد هاست خود شوید و ازاین فایل یک بک آپ تهیه کنید.

تغییر دادن این فایل  هیچ مشکل و ناسازگاری با قالب وردپرس یا افزونه های نصب شده بر روی سایت شما درصورتی که مراحل را به دقت و کامل اجرا کنید ایجاد نمیکند بخاطر همین از این بابت که دستکاری در آن باعث تخریب شود جای نگرانی وجود ندارد ولی همانطور که گفته شد نکته ی مهم این است که اگر شما مراحل را با دقت و صحیح انجام بدید هیچگونه ایرادی به سایت شما وارد نمیشود ولی اگر یک متغیر اضافی به فایل اضافه کنید باعث مشکلاتی خواهد شد.پس حتما نسخه پشتیبان رو از این فایل بگیرید.

چگونه از فایل htaccess. نسخه پشتیبان تهیه کنیم؟

برای گرفتن بک آپ از این فایل ابدا باید وارد هاست خود شده سپس به قسمت Files مراحعه کنید و وارد قسمت مدیریت فایل یا همان File Manager شوید.ممکن است دراین قسمت با یک پنجره مواجه میشوید,اگر پنجره ای برای شما باز شده است تیک گزینه Show Hidden Files را زده و روی GO یا ادامه کلیک کنید.این تیک باعث میشود که پرونده های مخفی شما نمایش داده شود.

اما ممکن است در مرحله قبل برای یک سری پنجره ای باز نشود و مستقیم به مدیریت فایل وارد شود.اگر این اتفاق افتاد در قسمت بالای صفحه  File Manager روی گزینه Settings کلیک نمایید سپس تیک گزینه Show Hidden Files را فعال کنید و save را بزنید.

.
سپس در این مرحله درهمان بخش مدیریت فایل، فایل htaccess. قابل مشاهده و در دسترس میباشد.حال با زدن روی این فایل آن را انتخاب کنید و از منوی File Manager بر روی گزینه دانلود کلیک کنید.حال پس از انجام این مراحل فایل مورد نظر دانلود و بک اپ شما گرفته میشود و در کامپیوتر خود ذخیره میشود.

هروقت که نیاز دشتید یا پس از دستکاری در فایل htaccess. به مشکلی خوردید میتوانید فایلی که ذخیره کرده اید رو بازگردانی کنید.اگر نیاز به این کار داشتید میتوانید بر روی گزینه  upload کلیک کرده و سپس در تب باز شده تیک گزینه Overwrite existing files را بزنید و پس از آن فایلی که در قبل برای بک آپ گرفته بودید را اپلود کنید .پس از انجام این کار فایل اپلود شده جایگزین فایل فعلی شما میشود.

پس از اپلود شدن فایلتون بر روی Go Back کلیک کنید تا به صفحه مدیریت فایل خود بازگردید.سپس مشاهده میکنید که فایل شما جایگزین و اپلود شده است.

افزودن و تغییر کد ها در فایل htaccess.

ساخت فایل htaccess.

در برخی مواقع ممکن است شما پس از ورود به هاست و در آوردن فایل ها از حالت مخفی باز هم این فایل را پیدا نکنید.!ب توجه به وردپرسی که نصب کرده اید در برخی مواقع ممکن است فایل .htaccess در وب سایت شما موجود نباشد.حال در این حال شما فایلی برای ایجاد ویرایش ندارید پس خودتان اقدام به ساخت فایل .htaccess نمایید.برای این کار از دوراه میتوانید اقدام کنید :1- از طریق سی پنل 2- از ویرایشگر متن دلخواه خودتون(ایجاد فایل در سیستم)

برای ایجاد این فایل در سی پنل به منوی بالا رفته و روی گزینه File کلیک نمایید در صفحه باز شده نام فایل را .htaccess قرار داده و سپس ذخیره کنید تا فایل در سی پنل ایجاد شود.در برخی مواقع ممکن است که سرور شما اجازه به این کار را  ندهد در این موقع یک فایل با نام htaccess.txt ساخته و ذخیره کنید سپس پس از ایجاد شدن نام فایل را ویرایش و به .htaccess تغییر دهید.

و اما برای ایجاد و ساخت این فایل در سیستمتون ابتدا باید یک فایل متنی بسازید و سپس ان را با نام .htaccess سیو کنید.سپس با اپلود کردن این فایل در هاست خود میتوانید در اونجا اقدام به ویرایش انجام دهید.

از نسخه ۴.۲ به بعد کلیه نسخه های وردپرس این فایل را دارا میباشند و دارای محتویات و کد های پیش فرض میباشد.اگر شما این فایل را نداشته اید میتوانید محتویات پیش فرض را کپی و درفایلی که ساختید قرار بدید تا فایل خالی نباشد.

ما این کد پیش فرض را که در نسخه های حدید بصورت پیش فرض قرار دارد رو برای شما عزیزان اماده کرده ایم که میتوانید در ان را کپی کرده و در فایل .htaccess خود قرار دهید.

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

برای وردپرس شبکه از نسخه های ۳.۵ به بالا با پوشه و فایل هرشبکه به جای زیر دامنه از کد زیر استفاده نمایید:

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]

# add a trailing slash to /wp-admin
RewriteRule ^([_0-9a-zA-Z-]+/)?wp-admin$ $1wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^([_0-9a-zA-Z-]+/)?(wp-(content|admin|includes).*) $2 [L]
RewriteRule ^([_0-9a-zA-Z-]+/)?(.*\.php)$ $2 [L]
RewriteRule . index.php [L]

اگر وردپرس شبکه شما از حالت زیر دامته یا همان ساب دامین برای سایت ها استفاده میکند به جای کد بالا میتوانید از کد زیر استفاده نمایید:

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]

# add a trailing slash to /wp-admin
RewriteRule ^wp-admin$ wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^(wp-(content|admin|includes).*) $1 [L]
RewriteRule ^(.*\.php)$ $1 [L]
RewriteRule . index.php [L]

اگر  از دیگر نسخه های وردپرس استفاده میکنید میتوانید برای کسب اطلاعات بیشتر و راه حل به این ادرس مراجعه نمایید.

برای جلوگیری از سو استفاده و نفوذ به فایل .htaccess پس از ایجاد این فایل باید دسترسی های این فایل را روی 644 تنظیم کنید تا از موارد گفته شده و ورد غیر مجاز به آن محدود شود.

بخش  ویرایش فایل .htaccess

در هنگامی که شروع به ویرایش کردن این فایل میکنید باید به نکته ای توجه داشته باشید.اگر در کد های دیده باشید خط ها و عبارت های با علامت # شروع میشوند،خط هایی که  با # شروع میشوند وقتی که اجرا شوند نادیده گرفته میشوند در واقع این عبارات برای اضافه کردن توضیحات و مشخص کردن آن استفاده میشود.

باتوجه به توضیحاتی که گفته شد لازم است که شما وقتی شروع به ویرایش و تغییر در فایل کردید کد ها باید قبل و یا بعد از دستورات پیشفرض وردپرس که وجود دارد اضافه شوند.

وقتی که شما میخواهید کد جدید را به فایل .htaccess اضافه کنید آن را بین خط های # BEGIN WordPress و # END WordPress قرار ندهید.

در یک جمع بندی اگر بخواهیم بگوییم میتوانیم قرار دادن کد های جدید رو زیر قسمت های مختلف که بصورت پیش فرض دروردپرس است موجب این میشود که کدها مرتب باشند و درهنگام ذخیره سازی دچار مشکل نشود.شما میتوانید کد های جدید خود را بین تگ های مورد نظر و دلخواه خودتون قرار دهید.به طور مثال کد هایی که قصد اضافه کردن آن را دارید بین اگ های # BEGIN my codes و # END my codes قرار بدهید.

برای تبدیل کد های htaccess  به Nginx میتوانید از این لینک که ابزار انلاین با نام htaccess to nginx converter میابشد استفاده کنید.

چگونه فایل .htaccess را ویرایش کنیم؟

برای ویرایش کردن این فایل شما میتوانید از چندین روش و از راه های مختلف این عمل را انجام دهید که ما آسون ترین راه را برای انجام این عمل یعنی ویرایش در خود سی پنل را تایید و انتخاب میکنیم.

ویرایش این فایل مهم نیست که از کدام راه و روش استفاده میکنید چیزی که در این میام مهم به حساب میاد این است که پس از تغییرات و ویرایش کردن سایت شما دچار مشکل و خرابی نشود و تغییرات شما به درستی اعمال شود یعنی پس از مشاهده سایت خودتون سایت شما به مشکلی نخورد و مراحل را به دقت پیش رفته باشید.

اگر بعد از ویرایشات سایت شما دچار هرگونه مشکلی شد میتوانید به راحتی سایت خودتون رو به حالت اول برگردانید چون شما در مرحله ی اول بکاپ را از فایل .htaccess خود تهیه کرده اید.اما اگر همه چی طبق معمول بود و سایت شما دچار مشکل خاصی نشده باشید تغییرات شما به درستی اعمال شده و میتوانید موارد بعد رو هم اجرا کنید.

برای شروع به ویرایش کردن فایل وارد سی پنل خود شوید و با مراجعه به بخش Files بر روی File Manager کلیک کنید و وارد آن شوید.همانطور که در قبل گفته شد تیک گزینه نمایش دادن فایل های مخفی را زده و پس از مشاهده فایل htaccess  آن را انتخاب کرده و بر روی گزینه Edit کلیک نمایید و وارد صفحه ویرایش کد ها شوید

حال این صفحه اماده ویرایش و تغییرات شما میباشد که میتوانید هرگونه تغییر را در این صفحه انجام دهید پس از انجام تغییرت بر روی گزینه Save  کلیک کنید تا ویرایشاتی که انجام داده اید اعمال و ذخیره شوند.

حال شما اماده به ویرایش و اعمال تغییرات خود هستید که امنیت سایت خودتون رو افزایش دهید ، در ادامه ما شمارا برای افزایش امنیت از طریق ویرایشات این فایل راهنمایی خواهیم کرد.

افزایش امنیت وردپرس از طریق کد های فایل htaccess :

1-ممنوع کردن از دسترسی به فایل های مهم

محافظت کردن از فایل های مهم و جلو گیری از ورود های غیر مجاز یکی از مهم ترین و حساس ترین تغییراتی است که میتوانید از طریق این فایل اقدام به این عمل کنید.ویرایشاتی که با آن میتوانید دسترسی به فایل های مهم و حساس وردپرس را ممنوع کنید.با قرار دادن کد زیر در این فایل میتوانید دسترسی و ورود های خارجی و غیر مجاز به فایل های خطا wp-config.php و فایل php.ini را ممنوع کنید.

<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>

2-محدود کردن دس دسترسی به پیشخوان وردپرس

با استفاده از کد زیر فقط کسانی میتوانند وارد مدیریت وردپرس شوند که ای پی آن ها ثابت و در لیست ای پی های مجاز باشد.یعنی این که این روش بدرد کسانی میخورد که از  ای پی برای ورود به پیشخوان استفاده میکنند.

ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP Address One$
RewriteCond %{REMOTE_ADDR} !^IP Address Two$
RewriteCond %{REMOTE_ADDR} !^IP Address Three$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>

دو خط اول کد به این صورت عمل میکند که آی پی هایی که غیر مجاز شناخته شوند به برگه 404 قالب وردپرس فعلی خودتون منتقل میشوند.توجه داشه باشید که باید قسمت path-to-your-site را با درس سایت خودتون جایگزین کنید

و در ادامه هم کلمه های IP Address One ، IP Address Two و IP Address Three را با آی پی هایی که برای ورود به پیشخوان و مدیریت مجاز میدونید رو جایگزین نمایید.

توجه داشته باشید که در اینجا میتوانید هم به تعداد بیشتر و هم به تعداد کمتر آ پی تعیین کنید.اگر میخواهید فقط یک آی پی برای مجاز بودن به مدیریت رو تعیین کنید خط های 9 و 10 رو حذف کنید.

حتی میتونید تعداد بیشتری هم ای پی برای مجاز بودن دسترسی قرار دهید،برای این کار خظ 10 را به تعداد مورد نظر تکرار و افزایش دهید و سپس آی دی هاتون رو جایگزین کنید

3- عدم نمایش پوسته ها (Directory Browsing)

شاید شما تا به حال نمیدونستید که هرکسی میتونه فایل ها و پوشه های سایتتون رو بررسی و مشاهده کنه.! برای مثال میتوانید با زدن ادرس your-site.com/wp-content/uploads  یک لیست کامل از فایل و پوشه های سایت مد نظر مشاهده کنید.!

این یکی از نقاط ضعف و مهم هر وب سایت میباشد.پس سریعا باید اقدام برای حل این مشکل کنید.اگر این بخش به همین صورت باشد یک هکر به راحتی یک آب خوردن میتواند پوشه ها و فایل های شما را پیدا کرده و محل ذخیره سازی اون هارا بدون حدس و گمان پیدا کند و به سایت شما به اسونی نفوذ کند

اگر بخواهیم با یک مثال این مورد را توضیح دهیم به راحتی میتوانید با خواندن مثال زیر این بخش را متوجه شوید:

فرض کنید شما یک خانه دارید که برای آن یک کلید یدکی درست میکنید و آن را در محلی که کسی از آن اطلاع ندارد قرار میدهید و با این حال روی در نوشته ای مینویسید و مکان قرار گیری آن را مشخص میکنید.با این حساب هرکسی میتواند به کلید شمادسترسی داشته باشد و با رفتن به آن ادرس و برداشتن کلید یدکی وارد خانه شما شود.!

اما برای حل کردن این مشکل با اضافه کردن کد زیر به فایل .htaccess میتوانید به راحتی دسترسی به پوشه ها و فایل های خودتون رو که با زدن آن ادرس به دست میومد را ممنوع کنید با این حساب دیگر تشخیص پوشه ها و مسیر فایل ها برای هکر سخت تر خواهد شد.

Options All -Indexes

4- ممنوع کردن و محدودیت دسترسی مستقیم به فایل های PHP

دسترسی پیدا کردن به فایل های php سایت هم یکی از عوامل مهم میباشد زیرا از آن ها میتوان برای وارد کردن کد های مخرب به وب سایت شما و یا اپلود فایل های مخرب استفاده کرد.پس باید دسترسی مستقیم به این فایل ها و افزونه ها بصورت مستقیم محدود و ممنوع شوند تا امنیت این بخش هم برای نفوذ مطمئن تر کنیم.

شما میتوانید با اضافه کردن کد هایی که در زیر برای شما آماده کرده ایم دسترسی مستقیم به فایل های PHP افزونه و یا قالب ها را ممنوع کنید:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

5-عدم اجرای فایل های PHP

در روش قبل ما دسترسی به فایل های PHP را ممنوع میکردیم اما در اینجا میخواهیم با احتمال این که هکر به فایل های php ما دسترسی پیدا کرد یک مسیر دیگه رو هم برای هدفش ممنوع کنیم زیرا اگر هکر وارد فایل های php ما بشه میتونه کد های تخریب کننده و پرخطر را وارد سایت شما کند.پس ما احتمال میگیریم که هکر به فایل های PHP شما دسترسی پیدا کرده بنابراین میخواهیم حتی اگر هکر به فایل ها دسترسی پیدا کرد آن را برای اجرای آن ها محدود و ممنوع کنیم.در این حال هکر حتی اگر فایل های php خودش را در پوشه های وردپرس قرار بدهد قادر به اجرای آن ها نخواهد بود.پس با این حال این کار میتواند خیلی بیشتر از قبل مارو به فایل های پی اچ پی خودمون مطمئن کند زیرا که در این صورت این فایل قابلیت اجرا ندارد و همانطور که گفته شد اگر فایلی اضافه یا اپلود شود اجرا نخواهد شد.

برای جلوگیری و اجرای این ممنوعیت یک فایل .htaccess  جدید در پوشه محل اپلود های وردپرس (wp-content/uploads) ایجاد کنید و کدی های زیر را درون فایل قرار دهید و ذخیره کنید.

<Files *.php>
deny from all
</Files>

6-جلوگیری از وارد کردن کد های تخریب کننده سایت

تا به اینجا مراحل را به قدری برای هکر سخت کرده ایم اما  برای دشوار کردن مراحل برای تخریب کننده حتما مراحل زیر را هم ادامه دهید.در بیشتر مواقع بیشتر هکر ها برای وارد کردن کد های تخریب کننده متغیرهای GLOBALS و _REQUEST  که برای وردپرس میباشد را ویرایش میکنند.

برای جلوگیری و تخریب سایت به این گونه ، کد زیر را به فایل .htaccess اضافه کنید.

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

7- ایجاد امنیت بیشتر پوشه wp-includes

پوشه wp-includes یکی از مهم ترین پوشه های شما در محل نصب وردپرستان میباشد .از طریق جلوگیری از ورود و دسترسی های غیر مجاز به این پوشه میتوانید از استفاده های غیر مجاز از محتویات این پوشه و از نفوذ و تخریب سایتتان مطمئن تر شوید.

برای این کار میتوانید کد زیر در فایل .htaccess قرار دهید .

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

8-عدم نمایش اطلاعات کاربران

اگر یک هکر بتواند اطلاعات کاربران را مشاهده کند به راحتی میتواند هدف خود را پیاده سازی کند.منظور از اطلاعات کاربران یوزرنیم و مطالب کاربر 1 است.دراین صورت چیزی که هکر درصورت مشاهده این ها نیاز دارد فقط پسورد میباشد.

با زدن ادرس your-site.com/?author=1 هر بازدید کننده ای میتواند اطلاعات کاربران و نوشته های اون را مشاهده کنه که این روش به نام username enumeration معروف میباشد.

با گذاشتن کد زیر در فایل .htaccess میتوانید مشاهده کاربران با آی دی های آن را ممنوع کنید.

RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]9

9-ضروری کردن ssl

با قرار دادن کد زیر در .htaccess در صورتی که کسی ادرسی که در خط سوم وجود دارد را وارد کند به طور خودکار به برگه ای که دارای گواهی SSL وارد شده در خط 4 منتقل میشود:

SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq "www.you-site.com"
ErrorDocument 403 https://www.your-site.com

نکته: به جای مقادیر www.your-site.com در کد بالا حتما باید ادرس وب سایت خودتون رو جایگذاری کنید

10-عدم انتشار تصاویر سایت شما در وب سایت های دیگر (Image Hot Linking)

وقتی بازدید کننده سایت شما اگر از تصویر سایت شما بدون ذخیره سازی و اپلود در وب سایت خود استفاده کند یعنی با عملیات دراگ کردن از تصویر شما استفاده کند از پهنای باند شما سو استفاده کرده استکه به این حالت hot linking میگویند.

برای این که بازدید کننده نتواند این کار را انجام دهد کد زیر را به .htaccess اضافه کنید:

RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER}
!^http://(www\.)?your-site.com/.*$ [NC] RewriteRule \.(gif|jpg)$
http://www.your-site.com/hotlink.gif [R,L]

مثل همیشه باید حتما به جای متغیر your-site.com  که در خط 2 قرار دارد ادرس سایت خود را قرار دهید.در ادامه متغیر http://www.your-site.com/hotlink.gif که در خط 3 موجود میباشد را با آدرس آن تصویر که میخواهید کپی نشود جایگزین نمایید.

11- محافظت از دزدیده شدن فایل زبان قالب ها و افزونه ها

به مورد آخر از افزایش امنیت وردپرس از طریق کد های فایل htaccess میرسیم.با استفاده از این کد میتوانید از از دزدیه شدن فایل های زبان قالب ها و افزونه ها جلوگیری نمایید.با این کار کلیه دسترسی ها و ورود های غیر مجاز به فایل و پوشه های زبان قالب ها و افزونه ها محدود و ممنوع میشود.

برای انجام دادن این کار کافیست کد زیر را در .htaccess قرار بدهید.

<Files *.po>
deny from all
</Files>
<Files *.mo>
deny from all
</Files>

نتیجه اخر:

از طریق کد هایی که برای شما عزیزان ارائه نمودیم و توضیح دادیم میتوانید امنیت سایت خودتان را بسیار زیاد تر کنید تا از نفوذ هکر ها و تخریب سایتتون تا حد زیادی مطمئن بشید.البته توجه داشته باشید که هیچ وقت امنیت 100 درصد وجود ندارد ولی با استفاده از راهکار های گفته شده امنیت سایت وردپرسی خودتون رو خیلی بیشتر از قبل خواهید کرد.

با تشکر از همراهی شما با این قسمت از آموزش وردپرس اگر در رابطه با این پست سوال یا مشکلی دارید در قسمت نظرات اعلام بکنید تا راهنمایی شوید. در صورتی که قصد خرید قالب وردپرس دارید میتوانید به دسته بندی قالب وردپرس مراجعه بکنید.