آیا به دنبال ترفندهای مفید htaccess برای سایت وردپرس خود هستید؟ فایل .htaccess یک فایل پیکربندی قدرتمند است که به شما امکان می دهد کارهای منظمی را در وب سایت خود انجام دهید.
در این مقاله از ایوسی، برخی از مفیدترین ترفندهای .htaccess برای وردپرس را به شما نشان می دهیم که می توانید بلافاصله آنها را امتحان کنید.
برای مشاهده و ارسال فرم به برگه کامل بروید. |
فایل htaccess چیست و چگونه آن را ویرایش کنیم؟
فایل htaccess یک فایل پیکربندی سرور است. این به شما امکان می دهد قوانینی را برای سرور خود تعریف کنید تا برای وب سایت خود از آنها پیروی کند.
وردپرس از فایل htaccess. برای ایجاد ساختار URL مناسب SEO استفاده می کند. با این حال، این فایل می تواند کارهای بیشتری انجام دهد.
فایل htaccess در پوشه اصلی سایت وردپرس شما قرار دارد. برای ویرایش آن باید با استفاده از یک سرویس گیرنده FTP به وب سایت خود متصل شوید.
اگر نمی توانید فایل htaccess. خود را پیدا کنید، راهنمای ما در مورد نحوه یافتن فایل htaccess. در وردپرس را ببینید.
قبل از ویرایش فایل htaccess. مهم است که یک نسخه از آن را به عنوان پشتیبان در رایانه خود دانلود کنید. در صورت بروز مشکل می توانید از آن فایل استفاده کنید.
با این اوصاف، اجازه دهید نگاهی به ترفندهای مفید htaccess برای وردپرس بیاندازیم که می توانید آنها را امتحان کنید.
۱. از ناحیه مدیریت وردپرس خود محافظت کنید
میتوانید از htaccess. برای محافظت از ناحیه مدیریت وردپرس خود با محدود کردن دسترسی به آدرسهای IP منتخب استفاده کنید. به سادگی این کد را کپی کرده و در فایل htaccess خود قرار دهید:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx </LIMIT>
فراموش نکنید که مقادیر xx را با آدرس IP خود جایگزین کنید. اگر از بیش از یک آدرس IP برای دسترسی به اینترنت استفاده می کنید، مطمئن شوید که آنها را نیز اضافه کنید.
برای دستورالعمل های دقیق، به راهنمای ما در مورد نحوه محدود کردن دسترسی به مدیر وردپرس با استفاده از htaccess مراجعه کنید.
۲. پوشه مدیریت وردپرس را با رمز عبور محافظت کنید
اگر از چندین مکان از جمله نقاط اینترنتی عمومی به سایت وردپرس خود دسترسی دارید، ممکن است محدود کردن دسترسی به آدرس های IP خاص برای شما کارساز نباشد.
میتوانید از فایل htaccess. برای افزودن رمز عبور اضافی به ناحیه مدیریت وردپرس خود استفاده کنید.
ابتدا باید یک فایل .htpasswds ایجاد کنید. شما به راحتی می توانید با استفاده از این ژنراتور آنلاین ایجاد کنید.
این فایل htpasswds. را در خارج از پوشه وب یا پوشه /public_html/ در دسترس عموم قرار دهید. یک مسیر خوب این خواهد بود:
/home/user/.htpasswds/public_html/wp-admin/passwd/
سپس یک فایل .htaccess ایجاد کنید و آن را در پوشه /wp-admin/ آپلود کنید و سپس کدهای زیر را در آنجا اضافه کنید:
AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
مهم: فراموش نکنید که مسیر AuthUserFile را با مسیر فایل فایل .htpasswds خود جایگزین کنید و نام کاربری خود را اضافه کنید.
برای دستورالعمل های دقیق، راهنمای ما در مورد نحوه محافظت از پوشه مدیریت وردپرس با رمز عبور را ببینید.
۳. مرور دایرکتوری را غیرفعال کنید
بسیاری از کارشناسان امنیت وردپرس توصیه می کنند که مرور دایرکتوری را غیرفعال کنید. با فعال بودن مرور دایرکتوری، هکرها می توانند به دایرکتوری و ساختار فایل سایت شما نگاه کنند تا یک فایل آسیب پذیر را پیدا کنند.
برای غیرفعال کردن مرور دایرکتوری در وب سایت خود، باید خط زیر را به فایل htaccess. خود اضافه کنید.
Options -Indexes
برای اطلاعات بیشتر در مورد این موضوع، راهنمای ما در مورد نحوه غیرفعال کردن مرور دایرکتوری در وردپرس را ببینید.
۴. اجرای PHP را در برخی از فهرست های وردپرس غیرفعال کنید
گاهی اوقات هکرها به یک سایت وردپرس نفوذ کرده و یک درب پشتی نصب می کنند. این فایلهای درپشتی اغلب به عنوان فایلهای اصلی وردپرس پنهان میشوند و در پوشههای /wp-includes/ یا /wp-content/uploads/ قرار میگیرند.
یک راه ساده تر برای بهبود امنیت وردپرس، غیرفعال کردن اجرای PHP برای برخی از فهرست های وردپرس است.
شما باید یک فایل htaccess خالی در رایانه خود ایجاد کنید و سپس کد زیر را در آن قرار دهید.
<Files *.php> deny from all </Files>
فایل را ذخیره کنید و سپس آن را در دایرکتوری های /wp-content/uploads/ و /wp-includes/ خود آپلود کنید. برای کسب اطلاعات بیشتر، آموزش ما را در مورد نحوه غیرفعال کردن اجرای PHP در فهرست های خاص وردپرس بررسی کنید.
۵. از فایل wp-config.php پیکربندی وردپرس خود محافظت کنید
احتمالاً مهمترین فایل در فهرست اصلی وب سایت وردپرس شما فایل wp-config.php است. این شامل اطلاعاتی در مورد پایگاه داده وردپرس شما و نحوه اتصال به آن است.
برای محافظت از فایل wp-config.php خود در برابر دسترسی غیرمجاز، به سادگی این کد را به فایل htaccess. خود اضافه کنید:
<files wp-config.php> order allow,deny deny from all </files>
۶. راه اندازی ۳۰۱ تغییر مسیر از طریق فایل htaccess
استفاده از ریدایرکت های ۳۰۱ بهترین راه برای جستجوگرهاست تا به کاربران خود بگویید که یک محتوا به مکان جدیدی منتقل شده است. اگر می خواهید به درستی ریدایرکت های ۳۰۱ خود را بر اساس پست ها در هر پست مدیریت کنید، راهنمای ما را در مورد نحوه تنظیم تغییر مسیرها در وردپرس بررسی کنید.
از طرف دیگر، اگر می خواهید به سرعت تغییر مسیرها را راه اندازی کنید، تنها کاری که باید انجام دهید این است که این کد را در فایل htaccess. خود جایگذاری کنید.
Redirect 301 /oldurl/ http://www.example.com/newurl Redirect 301 /category/television/ http://www.example.com/category/tv/
۷. آدرس های IP مشکوک را ممنوع کنید
آیا از یک آدرس IP خاص درخواست های غیرمعمول زیادی برای وب سایت خود مشاهده می کنید؟ شما به راحتی می توانید با مسدود کردن آدرس IP در فایل htaccess خود، آن درخواست ها را مسدود کنید.
کد زیر را به فایل htaccess خود اضافه کنید:
<Limit GET POST> order allow,deny deny from xxx.xxx.xx.x allow from all </Limit>
فراموش نکنید که xx را با آدرس IP که می خواهید مسدود کنید جایگزین کنید.
۸. Hotlinking تصویر در وردپرس را با استفاده از htaccess غیرفعال کنید
سایر وب سایت ها که مستقیماً تصاویر سایت شما را لینک می کنند می توانند سایت وردپرس شما را کند کرده و از حد پهنای باند شما فراتر رود. این یک مشکل بزرگ برای اکثر وب سایت های کوچکتر نیست. با این حال، اگر یک وب سایت محبوب یا یک وب سایت با تعداد زیادی عکس اجرا می کنید، این می تواند به یک نگرانی جدی تبدیل شود.
شما می توانید با افزودن این کد به فایل htaccess خود از اتصال به عکس جلوگیری کنید:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?ivsi.ir [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
این کد فقط در صورتی اجازه نمایش تصاویر را می دهد که درخواست از ivsi.ir یا Google.com منشا گرفته باشد. فراموش نکنید که ivsi.ir را با نام دامنه خود جایگزین کنید.
برای راههای بیشتر برای محافظت از تصاویر خود، راهنمای ما در مورد راههای جلوگیری از سرقت تصویر در وردپرس را ببینید.
۹. از htaccess در برابر دسترسی غیرمجاز محافظت کنید
همانطور که مشاهده کردید کارهای زیادی وجود دارد که می توان با استفاده از فایل htaccess. با توجه به قدرت و کنترلی که روی وب سرور شما دارد، مهم است که از آن در برابر دسترسی غیرمجاز هکرها محافظت کنید. به سادگی کد زیر را به فایل htaccess. خود اضافه کنید:
<files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
۱۰. افزایش حجم آپلود فایل در وردپرس
راه های مختلفی برای افزایش محدودیت حجم آپلود فایل در وردپرس وجود دارد. با این حال، برای کاربران میزبان اشتراکی، برخی از این روش ها کار نمی کنند.
یکی از روش هایی که برای بسیاری از کاربران کارساز بوده است افزودن کد زیر به فایل htaccess آنها است:
php_value upload_max_filesize 64M php_value post_max_size 64M php_value max_execution_time 300 php_value max_input_time 300
این کد به سادگی به وب سرور شما می گوید که از این مقادیر برای افزایش حجم آپلود فایل و همچنین حداکثر زمان اجرا در وردپرس استفاده کند.
۱۱. غیرفعال کردن دسترسی به فایل XML-RPC با استفاده از htaccess
هر نصب وردپرس همراه با یک فایل به نام xmlrpc.php است. این فایل به برنامه های شخص ثالث اجازه می دهد تا به سایت وردپرس شما متصل شوند. اکثر کارشناسان امنیت وردپرس توصیه می کنند که اگر از هیچ برنامه شخص ثالثی استفاده نمی کنید، باید این ویژگی را غیرفعال کنید.
راه های مختلفی برای انجام این کار وجود دارد، یکی از آنها افزودن کد زیر به فایل htaccess.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>
برای اطلاعات بیشتر، راهنمای ما در مورد نحوه غیرفعال کردن XML-RPC در وردپرس را ببینید.
۱۲. مسدود کردن اسکن نویسنده در وردپرس
یک تکنیک رایج که در حملات brute force استفاده میشود، اجرای اسکن نویسنده در یک سایت وردپرس و سپس تلاش برای شکستن رمزهای عبور آن نامهای کاربری است.
میتوانید با افزودن کد زیر به فایل htaccess خود، چنین اسکنهایی را مسدود کنید:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
برای اطلاعات بیشتر، به مقاله ما در مورد نحوه جلوگیری از حملات brute force با مسدود کردن اسکن نویسنده در وردپرس مراجعه کنید.
امیدواریم این مقاله به شما در یادگیری مفیدترین ترفندهای htaccess برای وردپرس کمک کرده باشد. همچنین ممکن است بخواهید راهنمای امنیتی گام به گام نهایی وردپرس ما را برای مبتدیان ببینید.