با ایمن سازی htaccess. گام استواری بردارید- آموزش وردپرس

با ایمن سازی htaccess. گام استواری بردارید

دسته‌بندی‌ها: مقالات وردپرس 5 مهر 1393

0 رای

سلام عزیزان؛

در جلسه ی قبلی مدرسه، یاد گرفتیم که چطوری فایل های قالب رو قفل کنیم تا ایمنی لازم برقرار بشه. اما امروز میخوایم راجع به مبحث دیگه ای در وردپرس صحبت کنیم که به یک صفحه ی خالی و در نگاه اول برای هر کاربری بی ارزش برمیگرده.
مطمئنا بارها به فایل htaccess. برخورد کردید و یا شایدم مشکلاتی براتون ایجاد کرده. فایل htaccess. یک فایل معمولا خالی هستش مه ارتباط مستقیمی با پیوندهای یکتا برقرار میکنه ولی گاهی در موارد خاصی داخلش کدهایی افزوده میشه.مثلا بعضی از این کدها مربوط به امنیت هم میشه که امروز قراره در موردش ۵ دقیقه ای با هم صحبت کنیم.

حفاظت از وردپرس با htaccess.

فایل htaccess. در عین سادگی یک فایل بسیار قدرتمندی است که عملکرد سرور رو تحت نظارت قرار میده و اثر گذاری اون بالاست و همچنین ارتباط مستقیمی با پیوندهای یکتا داره.این موضوع در بحث امنیت وردپرس بسیار اهمیت داره!
وجود قایل htaccess. و مواظبت از اون به منظور تقویت وبسایت وردپرسی بسیار مهمه. پس دقت کنید هر نوشته ای که داخل این فایل می نویسید به حالت تگ با Begin wordpress# شروع و با End wordpress خاتمه یابد.
مطمئنا با کلیک کردن بر روی تنظیمات، این فایل رو نمی بینید زیرا همیشه به حالت پنهان هستش. به عبارت دیگه، فایل htaccess. به صورت یک فایل غیر قابل رویت است.
فایل wp-config.php یکی از مهمترین فایل هاست که شامل اتصالات به پایگاه داده و تنظیمات آن، جداول پیشوندی، کلیدهای امنیتی و دیگر اطلاعات حساس است.برای حفاظت از این فایل کد زیر رو درون htaccess. وارد کنید:

<files wp-config.php>
order allow,deny
deny from all
</files>

البته میتونید فایل wp-config.php رو از محل نصب جا به جا کنید، با این حال بحث امنیت دیتابیس هم مطرحه.
محدود کردن دسترسی به ناحیه مدیریتی وردپرس با استفاده از آدرس آی پی از قطعه کد زیر امکان پذیره.بعلاوه شما احتیاج به ایجاد یک فایل htaccess. جداگانه دارید که از اون رو میتونید در شاخه ی wp-admin ذخیره کنید.دقت کنید که برای دسترسی به پنل مدیریتی با یک شناسه ی آی پی دیگه احتیاج به تغییر فایل htaccess. هستش.

order deny,allow
allow from 192.168.5.1
deny from all

افزودن شناسه ی آی پی میتونه به راحتی انجام بشه و هر چند تا که بخواین رو پوشش بده. برای مثال کد زیر رو ببینید:

order deny,allow
allow from 192.168.5.1
allow from 123.456.7.8
deny from all

فایل wp-login.php در ریشه ی وردپرس و در بخش نصب پیدا میشه که میتونه شناسه های آی پی مخصوصی رو محدود کنه! صفحه ی wp-login در نهایت برای هر کاربری که در مسیر wp-admin قرار گرفته باشه باز میشه،بنابراین اگر هر کس غیر از افراد قابل قبول باشند امکان باز شدن آن حتی با داشتن نام کاربری و رمز عبور امکان پذیر نیست!
برای ایجاد چنین سدی در wp-login.php کد زیر رو وارد نمایید:

<Files wp-login.php>
order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1
</Files>

اگه متوجه شدید که فردی تلاش میکنه تا به ناحیه ی مدیریتی وارد بشه با قطعه کد زیر به راحتی میتونین اون رو سرکوب کنید:

order allow,deny
deny from 456.123.8.9
allow from all

شاخه ی wp-includes شامل تعداد زیادی فایل های مهم هست که برای اجرای وردپرس استفاده میشن.این پوشه احتیاجی به دیده شدن توسط افراد نداره. برای حفاظت از آن کد زیر رو داخل htaccess. جدیدی وارد کنید:

# Block the include-only files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

برای جلوگیری از جستجوی افراد برای این محتواها کد زیر رو نیز در فایل htaccess. وارد کنید:

Options All -Indexes

حال برای حفاظت از خود فایل htaccess. که شامل این همه کد مهم و امنیتی شده کد زیر رو داخلش به کار ببرید:

<Files .htaccess>
order allow,deny
deny from all
</Files>

پوشه ی wp-content نیز توسط فایل htaccess. قابل حفاظته! برای این کار درباره فایل htaccess. جداگانه ای ایجاد کنید و در پوشه ی wp-content بارگذاری کنید.سپس کد زیر رو درون آن اضافه کنید.

order deny,allow
deny from all
<files ~ ".(xml|css|jpe?g|png|gif|js)$">
allow from all

همونطور که ملاحظه می کنید تکنیک بالا هم برای حفاظت از wp-content به کار میره! اما به XML ، CSS،Java script و تصاویر پرداخته نمیشه!
دقت کنید این کدها طوری نوشته شدند که به هیچ وجه به کدهای پی اچ پی موجود در قالب و افزونه ها ضرری وارد نمیکنند.
گاهی اوقات کاربران عزیز احساس می کنند فایل htaccess. بی ارزشه و وجودش هیچ سودی نداره اما دقیقا برعکس اگه این فایل حذف بشه باعث خرابی های زیادی میشه و حتی ممکنه خیلی از افزونه های شما نصب نشه. پس در حفظ آن کوشا باشید و اگه زمانی این فایل حذف شد نگران نباشید چون نحوه ی ساختش بسیار ساده است!
فقط دوستای عزیزم یادتون باشه قبل از انجام کارهایی که گفته شد حتما از سایت نسخه ی پشتیبان تهیه کنید.

نمایش تصادفی پست ها در وردپرس

موفق باشید

آیا این مقاله برای شما مفید بود؟

بله

تقریبا

خیر

در صورت تمایل به اشتراک بگذارید

دیدگاهتان را بنویسید لغو پاسخ

دیدگاه‌های این نوشته جدید ترین ها شاخص

Amin Safaei ۱۷:۴۴ ۱۳۹۷-۰۴-۲۴ 6 سال عضو همیار وردپرس

پاسخ

من می خوام از طریق htaccess کاری کنم وردپرس کاری به یک سری از آدرس های سایت نباشه چون با سیستم دیگه طراحی شده ولی وردپرس اجازه باز شدنشون رو نمیده ، چی باید تو htaccess قرار بدم؟

0
آرش ۱۳:۲۷ ۱۳۹۵-۰۴-۹

پاسخ

سلام
چطور میشه پوشه upload را امنیتش رو بالا برد.
که فایل index.html رو نخونه و ارور 403 بده.
مثل بر خودتون:
http://hamyarwp.com/wp-content/uploads/

0
علی ۰۸:۱۴ ۱۳۹۴-۰۷-۲

پاسخ

سلام من کد زیر ( البته چپ چین)
order deny,allow
deny from all

allow from all
در فایل htaccess. پوشه wp-content ریختم ، قالبم را به هم ریخت برای رفع مشکل آن چه کنم؟

0
- بهاره کوهستانی ۰۹:۵۳ ۱۳۹۴-۰۷-۳ 10 سال عضو همیار وردپرس
  
  پاسخ
  
  سلام
  یعنی چی چپ چین ؟
  
  0
pooria ۱۸:۰۱ ۱۳۹۴-۰۶-۲۹

پاسخ

سلام خانم کوهستانی
من وقتی کدهای مخصوص wp-admin رو وارد کردم دیگه از طریق wp-admin وارد قسمت ورود به وردپرس نمیشه و خطایی میده که در خط 67 توی wp-login.php ارور ساسپند داره اینم متن پیام
Parse error: syntax error, unexpected ‘>’ in /home/username man/public_html/wordpress/wp-login.php on line 67
بعد که میرم تو wp-login.php این متن و میبینم که سردر نمیارم پایین

<meta http-equiv="Content-Type" content="; charset=<?php bloginfERROR: Invalid username or e-mail.’));
return $errors;
}

// Redefining user_login ensures we return the right case in the email.
$user_login = $user_data->user_login;
$user_email = $user_data->user_email;

اگه امکانش هست دقیق راهنمایی کنید که چطور برطرفش کنم خیلی ممنون

0
- pooria ۱۰:۰۱ ۱۳۹۴-۰۶-۳۰
  
  پاسخ
  
  لطفا به سوال بالا که پرسیدم جواب بدید ممنون
  
  0
- بهاره کوهستانی ۱۰:۴۲ ۱۳۹۴-۰۷-۱ 10 سال عضو همیار وردپرس
  
  پاسخ
  
  سلام
  آدرس آی پی هایی که من گذاشتم به عنوان نمونه بوده و شما باید آی پی مخصوص خودتون رو بدید./1
  برای تست مجدد کل کدهایی رو گذاشتید توسط هاست بردارید و ببینید آیا حالا پنل شما باز میشه ؟ /2
  اگه باز شد مکان قرار دادن کدها رو در فایل ها تغییر بدید. /3
  
  0
- pooria ۱۱:۵۰ ۱۳۹۴-۰۷-۱
  
  پاسخ
  
  سلام ممنون از پاسخ شما
  راستش من چون بصورت تمرینی کار میکنم اول وردپرس و دیتا بیس رو پاک کردم و از اول ساخت و نصب کردم که باز همین ارور را میدادگویا اشکال از خود یوزنیم هاست بود که اکانت را بکلی از هاست حذف کردم و دوباره ساختم که درست شد حالا نمی دونم در آینده اگه این مشکل دوباره بوجود اومد چیکار کنم
  من تمام کدها را پاک کردم دیفالتم کردم باز این ارور بود نمی دونم چی شد که کد wp-login به مشکل خورد در هر صورت خیلی ممنون از پاسختان
  
  0
- بهاره کوهستانی ۱۰:۵۱ ۱۳۹۴-۰۷-۳ 10 سال عضو همیار وردپرس
  
  پاسخ
  
  سلام
  موفق باشید
  
  0
اردلـان ۰۰:۵۵ ۱۳۹۴-۰۵-۳ 9 سال عضو همیار وردپرس

پاسخ

سلام
آی پی هایی که شما وارد کردید، احتیاجی به تغییر ندارند؟؟
+
میشه همشون رو استفاده کرد دیگه؟؟

0
- بهاره کوهستانی ۰۶:۳۹ ۱۳۹۴-۰۵-۳ 10 سال عضو همیار وردپرس
  
  پاسخ
  
  سلام
  نیاز نیست
  
  0