ورود یا ثبت نام

بالا بردن امنیت وردپرس با فایل htaccess.

3.6 / 5. تعداد رای: 16

بالا بردن امنیت وردپرس با فایل htaccess.

امروز با آموزش بالا بردن امنیت وردپرس با فایل htaccess. همراه شما دوستان میهن وردپرسی هستیم. اگر قصد دارید امنیت سایت خود را بالا ببرید می‌توانید تا پایان این مقاله با ما همراه باشید. توسط این فایل قدرتمند شما قادر هستید در مقابل حملات هکرها از امنیت بیشتری برخوردار شوید. البته این نکته را در نظر داشته باشید که هیچ سایتی دارای امنیت کامل نیست؛ و تمامی سایت‌ها ممکن است هک شوند. حتی امروزه ممکن است خبر هک شدن سایت‌های بزرگی مانند گوگل، ای بی و… به گوش برسید.

این کدها می‌تواند امنیت سایت شما را تا حد زیادی بالا ببرد (تا حدود 99 درصد). می‌توانید به‌راحتی از کدهایی که در زیر با توضیحات قرارگرفته استفاده کنید؛ و با خیال راحت‌ از امنیت سایتتان لذت ببرید. این فایل قادر است به خوبی از پنل مدیریت سایت وردپرسی شما محافظت کند.

پس مسئله امنیت در وردپرس از اهمیت بالایی برخوردار است، که شما به‌عنوان مدیر سایت جهت محافظت از سایت خود باید حتماً به آن توجه ویژه‌ای داشته باشید. شما با در نظر داشتن اینکه هرلحظه سایت شما ممکن است موردحمله هکرها قرار بگیرد باید از روش‌های مختلفی جهت حفظ آن استفاده کنید؛ و امنیت سایت خود را جدی بگیرید. حملات هکرها ممکن است خسارت‌های جبران‌ناپذیری به سایت شما وارد کند.

درواقع سایت شما شامل کسب‌وکار شما است. پس هرچه برای حفظ سایتتان بیشتر تلاش کنید می‌توانید در کسب‌وکارتان نیز موفق‌تر باشید. توجه داشته باشید که این موضوع در کسب‌وکارهای بزرگ و کوچک تفاوتی ندارد، و تمام کسب‌وکارها باید امنیت سایت خود را با استفاده از روش‌های مختلف بالا ببرند. درواقع با به‌کارگیری روش‌های مختلف شما می‌توانید از حملات هکرها به سایت خود جلوگیری کنید و از عوارض آن در امان باشید.

بالا بردن امنیت وردپرس با فایل htaccess.

خب برای اینکه با قرار دادن کد در یک فایل، امنیت سایر فایل‌ها را افزایش داد؛ باید اول امنیت خود فایل را افزایش دهید. برای این کار کد زیر را به htaccess. اضافه کنید.

<files ".htaccess">
order allow,deny
deny from all
</files>

بالا بردن امنیت وردپرس با محدود کردن wp-config.php

فایل wp-config.php یکی از مهم‌ترین بخش‌های سایت وردپرس است؛ چراکه اطلاعات مهمی مثل مشخصات دیتا در آن وجود دارد. حتماً خود اطلاع دارید که در صورت دسترسی شخصی به این مشخصات، کل اطلاعات سایت شما در اختیاران فرد قرار خواهد گرفت، و این موضوع می‌تواند مورد سوءاستفاده هکرها قرار گیرد. پس محافظت از آن بسیار مهم و ضروری است. برای انجام این کار فایل htaccess. را بازکرده و کدهای زیر را به انتهای آن اضافه کنید.

توجه داشته باشید که شما باید در ابتدای کار یک بک آپ از این فایل تهیه کنید. به‌این‌ترتیب در صورت بروز مشکل می‌توانید این فایل را بازگردانی کنید، و دیگر جای نگرانی از این بابت ندارید.

<files wp-config.php>
order allow,deny
deny from all
</files>

جلوگیری از ورود آی‌پی خاص به سایت شما

در نظر داشته باشید که اگر به آی پی شخص مهاجم که می‌خواهد به سایت شما ورود کند دسترسی دارید؛ می‌توانید به‌راحتی با قرار دادن کد زیر دسترسی او را برای همیشه به سایتتان مسدود کنید. در کد زیر آی پی مورد نظر را با 456.123.8.9 جایگزین کنید.

order allow,deny
deny from 456.123.8.9
allow from all

افزایش امنیت پوشه wp-includes

در قدم بعدی برای بالا بردن امنیت وردپرس دایرکتوری wp-includes قرار دارد، که همچون فایل‌های مهم دیگر دارای اطلاعات بسیار مهم و حیاتی سایت شما است؛ که اگر هکرها به اطلاعات آن دسترسی پیدا کنند می‌توانند کل سایتتان را به هم بریزند. شما جهت پیشگیری از این اتفاق در سایت وردپرسی خود می‌توانید کد زیر را در فایل htaccess. قرار دهید، و به‌راحتی از این اتفاق جلوگیری کنید.

# Block the include-only files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

محدود کردن صفحه ورود برای ای‌پی‌های ناشناس

اگر شما سایتی دارید که خود تنها کسی هستید که به مدیریت آن دسترسی دارد؛ و قصد دارید امنیت سایت خود را افزایش دهید؛ و همچنین دارای اینترنت با ای پی ثابت هستید می‌توانید از کد زیر استفاده کنید، و آی پی خود را در این فایل قرار دهید.

نکته: درصورتی‌که در سایت شما امکان عضویت و ورود وجود دارد، این کد را در فایل htaccess قرار ندهید!

<Files wp-login.php>
order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1
</Files>

جلوگیری از نمایش لیستی فایل‌های سایت

محتمل است هاست شما به دلیل ضعف امنیتی تمامی فایل‌هایی که روی‌هاست وجود دارد را در صورت نبود فایل Index.html به کاربر نشان دهد؛ و این می‌تواند برای سایت شما مضر باشد. چراکه این اجازه را در اختیار کاربر می‌گذارد که همه محدرات یک دایرکتوری را مشاهده کند.

برای رفع این مشکل می‌توانید کد زیر را در فایل htaccess قرار دهید.

Options All –Indexes

جلوگیری از حملات ClickJacking (دزدی کلیک)

Clickjacking نوعی از حملات مخرب هکرها است. این حمله‌ها می‌تواند به‌صورت غیرارادی نرم‌افزارهای مضر و مخرب را توسط کاربر دانلود کند؛ به صفحه‌های جعلی هدایت شوند و اطلاعات آن‌ها به سرقت برود!

برای پیشگیری از این حملات می‌توانید از کد زیر استفاده کنید.

<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>

امیدواریم این مقاله به شما در افزایش امنیت سایتتان کمک کرده باشد و از آن بهره کافی را برده باشید. 🙂

Reza Rad
رضا راد

میلیون‌ها کیلومتر اسکرول کردم تا به هدفم نزدیک بشم و این داستان همچنان ادامه داره...

نظر شما در این مورد چیه؟

  1. U339303 ۴ اسفند ۱۴۰۲

    سلام وقت بخیر ممنونم از اموزشتون
    من کد # Block the include-only files

    RewriteEngine On
    RewriteBase /
    RewriteRule ^wp-admin/includes/ – [F,L]
    RewriteRule !^wp-includes/ – [S=3]
    RewriteRule ^wp-includes/[^/]+.php$ – [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L]
    RewriteRule ^wp-includes/theme-compat/ – [F,L]

    رو که وترد کردم سایتم دیگه بالا نمیاد
    حتی کد رو پاک کردم و سیو کردم و ریلود کردم هم نشد
    Internal Server Error
    The server encountered an internal error or misconfiguration and was unable to complete your request.

    Please contact the server administrator at webmaster@novinrasan.ir to inform them of the time this error occurred, and the actions you performed just before this error.

    More information about this error may be available in the server error log.

  2. U331475 ۲۴ مهر ۱۴۰۲

    سلام. وقتتون بخیر. خسته نباشید.
    من تازه وردپرس رو نصب کردم و هیچ اطلاعاتی نداره.
    می خواستم مطمئن شم که باید همه این کدها را در همون یک فایل htaccess قرار داد؟ یا باید چند فایل htaccess برای هر کد ساخت؟ ضمنا قرار دادن یکباره همه این کدها مشکل ساز نیست؟
    ممنون می شم راهنمایی کنید. با تشکر و احترام

    • Reza Rad رضا راد ۲۵ مهر ۱۴۰۲

      سلام یکبار توی پوشه اصلی بسازید کافیه. نیاز نیست چند فایل بسازید. خیر مشکل ساز نمیشه.

  3. U314503 ۱۶ خرداد ۱۴۰۱

    سلام.در مورد این آموزش دو تا سوال از خدمتتون داشتم.1-استفاده از کد Options All –Indexes یا استفاده از گزینه indexes در هاست برای جلوگیری از دسترسی به دایرکتوری آیا تاثیر منفی در سئو و ایندکس سایت توسط موتورهای جستوجو دارد؟این کد یا کد محافظت از فایل wp-config و کل از این دست کدها رو قبل از # END WordPress بذاریم یا بعد از آن؟تشکر

  4. کاربر مهمان ۳ بهمن ۱۳۹۸

    سلام
    ممنونم از مطالب خوبتون
    من یه سوال داشتم
    میخواستم کاربر قالب سایتم رو توی inspect element نبینه
    لطفا راهنمایی بفرمایید
    ممنون میشم

  5. کاربر مهمان ۱۴ بهمن ۱۳۹۶

    سلام
    من با این مشکل روبروشدم
    [29-Jan-2018 02:13:44 Asia/Tehran] PHP Warning: mail() has been disabled for security reasons in /home/dorfakm3/public_html/mbpttf.php on line 9
    [29-Jan-2018 02:14:32 Asia/Tehran] PHP Warning: mail() has been disabled for security reasons in /home/dorfakm3/public_html/dmtlxpln.php on line 9
    روزانه ایجاد میشه و cpu رو اشغال کرده
    میشه راهنمایی کنین
    ممنون از زحماتی که میکشین

    • Reza Rad رضا راد ۱۴ بهمن ۱۳۹۶

      درود تابع php mail روی هاست شما بسته شده و باید از هاست خود بخواهید آنرا فعال کنند

  6. U6192 ۱۳ دی ۱۳۹۶

    سلام مطلب خوبی بود دستتون درد نکنه و یک سوال داشتم
    در فایل error_log خطایی ثبت میشه و نتونستم برطرف کنم اینم کد خطا:
    PHP Warning: Error while sending QUERY packet. PID=402617 in /home/kfejjrqe/public_html/wp-includes/wp-db.php on line 1931
    این یعنی چی؟

  7. کاربر مهمان ۱۸ اردیبهشت ۱۳۹۶

    یعنی یه فایل بسازیم و همه اینهارو داخل یک فایل قرار بدیم یا کد های مربوطه رو داخل فایل های خودشون قرار بدیم ؟

  8. کاربر مهمان ۱۷ دی ۱۳۹۵

    این فایل ها رو کجا اضافه کنیم .(لطفا دقیق و مبتدی )