shift

8 کد طلایی برای افزایش امنیت فایل .htaccess که هر وردپرسی به آن احتیاج دارد

8 کد طلایی برای افزایش امنیت فایل .htaccess که هر وردپرسی به آن احتیاج دارد

یونس
دسته: طراحی وبسایت  تگ ها: امنیت htaccess , راههای افزایش امنیت htaccess در وردپرس , امنیت پوشه wp-include , چگونه از htaccess محافظت کنیم , محدودیت دسترسی به مدیریت وردپرس

 

افزایش امنیت پوشه wp-includes

برای جلوگیری از دسترسی های غیرمجاز به این پوشه ، کد زیر را در فایل .htaccess قرار دهید .


RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

جلوگیری از نمایش پوشه ها

برای کلیه بازدیدکنندگان سایت شما این امکان وجود دارد که پوشه های سایت شما را بررسی کرده و فایل های شما را مشاهده کند . به عنوان مثال هر بازدید کننده با وارد شدن به آدرس shift.ir/wp-content/uploads می تواند لیست کاملی از فایل ها و پوشه های شما را ببیند . اضافه کردن کد زیر به فایل .htaccess باعث می شود که دسترسی به پوشه ها و مشاهده محتویات آن ها در سایت شما غیرفعال شود . این کار باعث می شود که هکرها بیشتر برای پیدا کردن اطلاعات ضروری وقت بگذارند !


Options All -Indexes

حفاظت از فایل های مهم

یکی از بهترین تغییراتی که می توانید در این فایل اعمال کنید ، تغییراتی است که به واسطه آن ها دسترسی به فایل های مهم و حیاتی وردپرس ممنوع می شود . با استفاده از کد زیر دسترسی خارجی و غیرمجاز به فایل های خطا ، فایل wp-config.php و فایل php.ini ممنوع خواهد شد .


Order deny,allow
Deny from all

ایجاد محدودیت در دسترسی به بخش مدیریت وردپرس

توسط این کد تنها افرادی که در لیست IP های مجاز هستند می توانند به بخش مدیریت وردپرس دسترسی داشته باشند.


ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP Address One$
RewriteCond %{REMOTE_ADDR} !^IP Address Two$
RewriteCond %{REMOTE_ADDR} !^IP Address Three$
RewriteRule ^(.*)$ - [R=403,L]

دو خط اول باعث می شود که آی پی های غیر مجاز به برگه خطای ۴۰۴ منتقل شوند . مطمئن شوید که قسمت path-to-your-site را با آدرس سایت خود جایگزین کنید . همچنین مقادیر IP Address One ، IP Address Two و IP Address Three را با آی پی هایی که مجاز به دسترسی به بخش مدیریت هستند ، جایگزین کنید . اگر می خواهید فقط یک آی پی مجاز باشد ، خط های ۹ و ۱۰ را حذف کنید . برای دسترسی IP های بیشتر هم می توانید خط ۱۰ را به تعداد دلخواه تکرار کرده و در لیست آی پی های مجاز قرار دهید . محافظت از سایت در برابر تزریق کدهای مخرب. بیشتر هکرها برای تزریق کدهای آلوده متغیرهای GLOBALS و _REQUEST وردپرس را تغییر می دهند . برای جلوگیری از این حالت کد زیر را در فایل .htaccess قرار دهید .


Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

جلوگیری از دزدیده شدن فایل های زبان قالب و افزونه ها

برای جلوگیری از دزدیده شدن فایل زبان تنها کافیست کد زیر را در فایل .htaccess قرار دهید.



deny from all


deny from all

جلوگیری از قرار دادن تصاویر سایت شما در سایت های دیگر

وقتی یک بازدیدکننده آدرس تصویر شما را کپی کرده و به جای آپلود آن در سایت خود ، از آن استفاده می کند در واقع از پهنای باند شما سواستفاده می نماید . به این حالت hot linking می گویند . فراموش نکنید که قسمت shift.ir موجود در خط ۲ را با آدرس سایت خود جایگزین کنید . همچنین مقدار http://www.shift.ir/hotlink.gif موجود در خط ۳ را با آدرس تصویری که می خواهید از آن محافظت نمایید جایگزین کنید .


RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} 
!^http://(www\.)?shift.ir/.*$ [NC] RewriteRule \.(gif|jpg)$ 
http://www.shift.ir/hotlink.gif [R,L]

جلوگیری از اجرای فایل های PHP

هکرها با استفاده از فایل های PHP می توانند کدهای مخرب و آلوده را در سایت ما آپلود نمایند . برای جلوگیری از این مورد باید جلوی اجرای فایل PHP را گرفت . در این حالت حتی اگر هکر بتواند فایل PHP خود را در پوشه آپلودهای وردپرس قرار دهد قادر به اجرای آن نخواهد بود . برای جلوگیری یک فایل .htaccess جدید در پوشه آپلودهای وردپرس (wp-content/uploads) ایجاد کرده و کد های زیر را در آن قرار دهید . حتما توجه داشته باشید که باید یک فایل .htaccess جدید در پوشه آپلود وردپرس بسازید.



deny from all

درپایان حتما قبل از هر تغییری از فایل های خود یک پشتیبان تهیه نمایید.

Alihasanpor
۱۳۹۵-۱۲-۰۳

بیسار عالی

نظر خود را بنویسید...
ارسال نظر
لغو