ورود کاربران VIP سرزمین دانلود، مرجع دانلود و آموزش رایگان نرم افزار

منوی سایت



آموزش تغییرات در فایل htaccess. وردپرس، جهت افزایش کارایی و جلوگیری از هک شدن سایت
 
 
آموزش تغییرات در فایل .htaccess وردپرس جهت افزایش کارایی سایت های ورددپرسی و جلوگیری از هک شدن
 
 
اگر شما از دارندگان سایت هایی با سیستم مدیریت محتوای وردپرس هستید و میخواهید امنیت سایت خود را بالا ببرید و حفره های امنیتی را پر کنید و از هک شدن سایتتان جلوگیری کنید، باید در فایل htaccess. که در بین فایل های وردپرس است تغییراتی ایجاد کنید. همچنین با دستکاری در این فایل میتوانید تعیین کنید که زمانی که فردی وارد سایت شما میشود، به سایتی دیگر فرستاده شود.
 
 
فایل htaccess. چیست؟

فایل htacces. یک فایل پیکربندی است که در سرور آپاچی استفاده میشود. اکثر سایت های وردپرسی بر روی یک سرور آپاچی هستند.

 
قبل از دستکاری در این فایل، از آن یک نسخه پشتیبان تهیه کنید تا در صورت بروز مشکل نسخه سالم فایل را جایگزین کنید.

همچنین اگر شما تنها مدیر سایت خود نیستید و افرادی دیگری هم هستند که سایت شما را مدیریت میکنند و نمیخواهید که بتوانند فایل های اجرایی سایت شما را دستکاری کنند، پلاگین BulletProof Security را نصب کنید تا خیالتان راحت شود.
 
 
ساخت یک فایل htacces. در وردپرس
 
ممکن است در بین فایل های سیستم مدیریت محتوا وردپرس در چند پوشه فایل htaccess. وجود داشته باشد. همچنین ممکن است که اصلا وجود نداشته باشد. اگر وجود نداشت، در پوشه اصلی در فایل های خود یک فایل Text خالی بسازید و نامش را htaccess. بگذارید.
 
پس از اینکه این فایل را ساختید، کد های زیر را در آن وارد کنید و سپس ذخیره اش کنید.
 
1 # BEGIN WordPress
 
2 <Ifmodule mod_rewrite.c>
 
3 RewriteEngine ON
 
4 RewriteBasw /
 
5 RewriteRule ^INDEX.PHP$ - [L]
 
6 RewrireCond %{REQUEST_FILENAME} !-F
 
7 RewriteCond %{REQUEST_FILENAME} !-D
 
8 RewriteRule . ?index.php [L]
 
9 </IfModule>
 
10 # END Wordpress
 
 
این کد ها را همانگونه که در اینجا هستند وارد کنید و هیچ تغییری در آنها ندهید.
 
 
1. جلوگیری از دستکاری در تمامی فایل های htaccess.
 
با وارد کردن کد های زیر به فایل htaccess. میتوانید از دسترسی داشتن دیگران به تمامی فایل های htaccess. در فایل های وردپرس جلوگیری کنید. با این کار هیچ فردی نمیتواند نوع پیکر بندی سرور شما را بفهمد:
 
1 # Denies acces to all .htaccess files
 
2 <Files ~ “^.*.( [Hh] [Tt] [Aa] ) “>
 
3 Order Allow,Deny
 
4 Deny from  all
 
5 Satisfy all
 
6 </Files>
 
 
2. محافظت از پیکر بندی وردپرس
 
فایل wp-config.php دارای تمامی پیکر بندی های سیستم مدیریت محتوای وردپرس است. نام کاربری و رمز عبور شما به سایت در این فایل وجود دارند. شما یا میتوانید دسترسی به این فایل را برای همه غیر فعال کنید. البته میتوانید دسترسی به این فایل را تنها برای مدیران سایت فعال کنید.
 
اگر میخواهید دسترسی به این فایل را برای همه غیر فعال کنید کد های زیر را وارد کنید. اگر میخواهید مدیران سایت به این فایل دسترسی داشته باشند علامت # اول خط 4 را پاک کنید و تمامی x ها را پاک کنید و ای پی مدیر مود نظر جهت دسترسی داشتن را وارد کنید. در خط 5 نیز همینطور.
 
1 # Protects wp-config
 
2 <Files wp-config.php>
 
3 Order Allow,Deny
 
4 # Allow from xx.xx.xx.xxx
 
5 # Allow from yy.yy.yy.yyy
 
6. Deny from  all
 
7 </Files>
 
 
3. جلوگیری از حمله DDOS توسط XML-PRC
 
وردپرس در حالت پیشفرض از XML-PRC پشتیبانی میکند. XML-PRC یک رابط است که امکان انتشار مطالب از راه دور توسط وردپرس را میدهد. هر چند این یک قابلیت فوق العاده است، اما یک حفره امنیتی بزرگ برای حملات هکر ها نیز محسوب میشود.
 
شما میتوانید استفاده از این قابلیت را برای همه به جز یک سری از مدیران سایت غیر فعال کنید. برای این کار کد های زیر را وارد کنید و در مقابل خط های 4 و 5 به جای x و y آی پی فردی را وارد کنید که میخواهید بتواند دسترسی داشته باشد. همچنین # اول این دو خط را پاک کنید.
 
1 # Protects XML-PRC. Prevents Ddos attack
 
2 <FilesMatch “^(XMLPRC.PHP)”>
 
3 Order Deny,Allow
 
4 # Allow from xx.xx.xx.xxx
 
5 # Allow from yy.yy.yy.yyy
 
6 Deny from all
 
7 </FilesMatch>
 
 
4. محافظت از اکانت ادمین
 
میتوانید با وارد کردن کد های زیر از دسترسی به اکانت ادمین سایت جلوگیری کنید. البته در خط 9 به جای x ها آی پی خودتان را وارد کنید تا بتوانید به اکانت ادمین دسترسی داشته باشید. همچنین اگر میخواهید فرد دیگری هم بتواند دسترسی داشته باشد آی پی آن فرد را نیز در خط 10 بنویسید.
 
1 # Protects admin area ny IP
 
2 AuthUserFile /dev/null/
 
3 AuthGroupFile /dev/null
 
4 AuthName “Wordpress Admin Access Control”
 
5 AuthType Bsic
 
6 <LIMIT GET>
 
7 Order Deny,Allow
 
8 Deny from all
 
9 Allow from xx.xx.xx.xx
 
1 Allow From yy.yy.yy.yyy
 
11 </LIMIT>
 
 
5. جلوگیری از مشاهده لیست فایل ها
 
اکثر سایت های وردپرسی قابلیت مشاهده فایل ها و پوشه ها را غیر فعال نمیکنند و هر فردی میتواند فایل ها و پوشه های آن ها را مرور کند. اگر قابلیت مشاهده فایل ها و پوشه ها را غیر فعال نکنید ممکن است یک فرد هکر سایت شما را مورد حمله قرار دهد.
 
در اینجا عکسی از فایل ها و پوشه های یک سایت وردپرسی را میتوانید ببینید:
 
آموزش تغییرات در فایل .htaccess وردپرس جهت افزایش کارایی سایت های ورددپرسی و جلوگیری از هک شدن
 
 
با وارد کردن کد زیر هر فرد بخواهد فایل ها و پوشه های سایت شما را مشاهده کند با ارور 403 مواجه خواهد شد.
 
1 # Prevents directory listing
 
2 Options –Indexes
 
 
6. جلوگیری از دیده شدن یوزر نیم ادمین
 
اگر Permalink ها در وردپرس شما فعال باشند هر فردی به راحتی میتواند نام ادمین سایت را ببیند. زیرا نام نویسنده پست ها نوشته خواهد شد. یک هکر میتواند از آن برای هک سایت استفاده کند.
 
برای جلوگیری از دیده شدن نام ادمین سایت کد های زیر را وارد کنید.
 
1 # Prevents username enumiration
 
2 RewriteCond %{QUERY_STRING} author=d
 
3 RewriteRule ^ /? [;,R=301]
 
 
7. جلوگیری از اسپم و ربات ها
 
گاهی اوقات میخواهید دسترسی یک فرد را به سایت خود قطع کنید (و یا یک ربات و فرد اسپم کننده) اگر آی پی فرد مورد نظر و یا ربات مورد نظر را میدانید، میتوانید با استفاده از کد های زیر دسترسی او را قطع کنید. در خط های 4 و 5 به جای x و y آیپی فرد مورد نظر را وارد کنید:
 
1 # Blocks spammers and bots
 
2 <Limit GET POST>
 
3 Order Allow,Deny
 
4 Deny from xx.xx.xx.xxx
 
5 Deny from yy.yy.yy.yyy
 
6 </Limit>
 
7 Allow from all
 
 
8. جلوگیری از استفاده عکس های سایت شما در دیگر سایت ها
 
بعضی از سایت ها لینک عکس های سایت شما را برمیدارند و در سایت خود قرار میدهند و از آنها استفاده میکنند. با اینکار هر بار آن عکس در سایت آن ها باز شود مقداری از پهنای باند سایت شما کم میشود و سرعت سایت شما پایین میاید و به سرور فشار بیشتری میاید. برای جلوگیری از این کار کد های زیر را در فایل htaccess. وارد کنید. البته چیز هایی را باید در کد زیر تغییر دهید. برای مثال به جای yourwebsite نام سایت خودتان را بنویسید.
 
1 #Prevents image hotlinking
 
2 RewriteEngine on
 
3 RewriteCond %{HTTP_REFERER} !^$
 
4 RewriteCond %{HTTP_REFERER} !^http(s)?://(222|.)?yourwebsite.com [NC]
 
5 RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourwebsite2.com [NC]
 
6 RewritRule . (jpe?g? | png | gof | ico | pdf | flv | swf | gz)$ - [NC,F,L]
 
 
9. جلوگیری از دسترسی به فایل های پلاگین ها و تم ها
 
دسترسی داشتن کاربران به فایل های مربوط به پلاگین ها و تم های سایت شما میتواند یک خطر بزرگ برای سایت شما باشد. برای جلوگیری از دسترسی داشتن دیگران به این فایل ها، کد های زیر را وارد کنید.
 
1 # Restrics acces to PHP files from plugin and theme directories
 
2 RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
 
3 RewriteCond %{REQUEST_URI} !^/w[-content/plugina/directory/to/exclude/
 
4 RewriteRule wp-content/plugins//(.*.php)$ - [R=404.L]
 
5 RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude.php
 
6 RewriteCond %{REQUEST_URI} !^/wpcontent/themes/directories/to/exclude/
 
7 RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
 
 
10. انتقال کاربر از یک لینک به یک لینک دیگر (ریدایرکت)
 
شما میتوانید تعیین کنید که برای مثال زمانی که یک کاربر وارد یکی از صفحات سایت شما میشود، به یک صفحه دیگر منتقل شود. برای انجام این کار کد های زیر را وارد کنید. به جای oldurl1 و oldurl2 لینک های اول را وارد کنید، و به جای newurl1 و newurl2 لینک های جدید جهت انتقال داده شدن را وارد کنید.
 
1 # Permanent redirects
 
2 Redirect 301 /oldurl1/ http://yoursite.com/newurl1
 
3 Redirect 301 /olduel2/  http://yoursite.com/newurl2
 
 
11. نمایش دادن صفحه در حال تعمیر به بازدید کنندگان سایت
 
برای اینکه زمانی که در حال ایجاد تغییرات در سایت خود هستید و میخواهید که بازدید کنندگان با یک صفحه با پیغام در حال تعمیر مواجه شوند باید یک صفحه تعمیر بسازید و نام آن را Maintenance.html بگذارید و در پوشه اصلی فایل های وردپرس خود قرار دهید و سپس کد های زیر را در htaccess. وارد کنید.
 
1 # Redirects to maintenance page
 
2 <Ifmodule mod_rewrite.c>
 
3 RewriteEngine on
 
4 RewriteCond %{REMOTE_ADDR} !^123.456.789.000
 
5 RewriteCond %{REQUEST_URI} !/Maintenance.html$ [NL]
 
6 RewriteCond %{REQUEST_URI} !.(jpe?g?|png|gif) [NC]
 
7 RewriteRule . */Maintenanced.html [R=503,L]
 
8 </Ifmodule>
 
 
12. جلوگیری از دسترسی دیگران به پوشه WP Includes
 
پوشه wp-includes دارای فایل های هسته سیستم مدیریت محتوای وردپرس است که برای کار کردن وردپرس واجب هستند. فایل های هیچ تم، پلاگین و... در این پوشه قرار نمیگیرد و تنها فایل های اصلی وردپرس در این پوشه هستند. بنابر این درست ترین کار جلوگیری از دسترسی دیگران به این پوشه است.
 
1  # Blocks all wp-includes folders and files
 
2 <Ifmodule mod_rewrite.c>
 
3 RewriteEngine on
 
4 RewriteBase /
 
5 RewriteRule ^wp-admin/includes/ - [F,L]
 
6 RewriteRule !^wp-includes/ - [S=3]
 
7 RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
 
8 RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L]
 
9 RewriteRule ^wp-includes/theme-compact/ - [F,L]
 
10 </Ifmodule>
 
 
13. جلوگیری از حمله XSS
 
برای جلوگیری از این حمله توسط هکر ها کد های زیر را وارد کنید.
 
1 # Blocks some xss attacks
 
2 <Ifmodule mod-rerwite.c>
 
3 RewriteCond %{QUERY_STRING} (|%3E) [NC,OR]
 
4 RewriteCond %{QUERY_STRING} GLOBALS(=|[%[0-9A-Z] {0,2} ) [OR]
 
5 RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
 
6 RewriteRule .* index.php [F,L]
 
7 </ Ifmodule>
 
 
14. فعال سازی ذخیره فایل های کش
 
با این کار یک سری فایل ها و عکس های موجود در سایت شما به عنوان فایل کش ذخیره خواهند شد و بازدید کنندگان سایت دفعه بعدی که از سایت شما بازدید میکنند نیازی به بارگذاری تمامی عکس ها و اطلاعات شما ندارند.
 
1 # Enables browser caching
 
2 <If module mod_expires.c>
 
3 ExpiresActive On
 
4 ExpiresByType Image/jpg “access 1 year”
 
5 ExpiresByType image/jpeg “access 1 year”
 
6 ExpiresByType image/gif “access 1 year”
 
7 ExpiresByType image/png “access 1 year”
 
8 ExpiresByType text/css “access 1 month”
 
9 ExpiresByType application/pdf  “access 1 month”
 
10 ExpiresByType text/x-shockwave-flash “access 1 month”
 
11 ExpiresByTypeapplication/x-shockwave-flash “access 1 month”
 
12 ExpiresByType image/x-icon “access 1 year”
 
13 ExpiresDefault “access 2 days”
 
14 </Ifmodule>
 
 
15. ساخت یک صفحه ارور
 
اول از همه باید یک صفحه ارور بسازید و نام آن را Costum-403.html و یا Contum-404.html بگذارید و آن را در پوشه اصلی فایل های وردپرس قرار دهید. سپس کد های زیر را در فایل .htaccess بنویسید.
 
1 # Sets up custum error pages
 
2 ErrorDocument 403 /custom-403.html
 
3 ErrorDocument 404 /custom-404.html
 
 


( بدون کامنت - اولین کامنت را شما بنویسید )



 



سوالات و نظرات کاربران در مورد این مطلب

هنوز نظری در مورد این مطلب ارسال نشده است. شما اولین نفر باشید!

نکات مهم :

- قبل از طرح سوال یا مشکل خود، کامنت سایر کاربران و پاسخ آنها را مطالعه کنید.
- لطفا فارسی تایپ کنید. امکان بررسی کامنت های پینگلیش وجود ندارد.
- پاسخ سوالات از طریق ایمیل و SMS نیز ارسال میشود. لطفا مشخصات خود را دقیق وارد کنید.

* نام 
آدرس ايميل (برای دریافت پاسخ از طریق ایمیل)
* شماره موبایل (برای دریافت پاسخ از طریق SMS)
توجه: ایمیل و موبایل شما فقط برای دریافت پاسخ سایت بوده و نمایش داده نمیشود.
* متن

* کد امنیتی
کد امنیتی


(اگر کد امنیتی واضح نیست، روی آن کلیک کنید تا عوض شود)
 


توجه : نظر شما بعد از تایید از طرف سایت، نمایش داده خواهد شد.
سرزمین دانلود، مرجع دانلود و آموزش نرم افزار

سرزمین دانلود را دنبال کنید !

عضویت در خبرنامه سرزمین دانلود

با وارد کردن ایمیل خود و سپس تایید آن، جدیدترین مطالب و نرم افزار ها برای شما ارسال می شود:



------------------------------------------