با بیش از 10 مورد از کاربردی ترین ترفندهای htaccess برای وردپرس در خدمت شما هستیم. اگر هنوز نمی دانید فایل htaccess چیست، در فایل htaccess. چیست؟ بصورت کامل توضیح داده ایم که استفاده از فایل htaccess میتواند به بهبود عملکرد و امنیت وبسایت کمک کند، یک فایل پیکربندی است که در سرور وب قرار دارد و به شما این امکان را میدهد که تنظیمات مختلفی را برای وبسایت خود اعمال کنید.
اما اگر به دنبال ترفندهای مفید htaccess برای سایت وردپرس خود هستید، مطالعه این قسمت از مقاله را از دست ندهید. همان طور که در بالا هم اشاره شد، فایل htaccess یک فایل پیکربندی قدرتمندی است که به شما امکان می دهد کارهای زیادی را در وب سایت خود انجام دهید. این کارها با تغییر کدهای این فایل ممکن می شود که در ادامه، به چند ترفند برای تغییر کد اشاره خواهیم کرد.
آنچه در این مقاله می خوانید :
کدها و ترفندهای مفید برای فایل htaccess وردپرس
می دانید که در فایل htaccess می توان برای کارهای حساس امنیتی و حتی موارد خاص، کدهای خاصی را استفاده کرد. در این مطلب تمایل داریم کدها و ترفندهای مفید برای فایل htaccess وردپرس را برای شما قرار دهیم.
در واقع در صورتی که با یک سری از ترفندهای این فایل آشنا شوید، خواهید توانست سایت خود را به خوبی مدیریت کنید. برخی از مفیدترین ترفندهای فایل htaccess برای وردپرس را به شما نشان می دهیم. شما می توانید بلافاصله آن ها را در سایت خود امتحان کنید و نتیجه حاصل را مشاهده نمایید.
1. حفاظت از از ناحیه مدیریت وردپرس خود
شما می توانید از فایل htaccess برای محافظت از ناحیه مدیریت وردپرس خود استفاده کنید. این کار را می توانید با محدود کردن دسترسی به آدرس های IP منتخب انجام دهید.
به منظور محافظت از ناحیه مدیریت وردپرس خود به سادگی کد زیر را کپی کرده و در فایل htaccess خود قرار دهید:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx </LIMIT>
فراموش نکنید که مقادیر xx را با آدرس IP خود جایگزین کنید. اگر از بیش از یک آدرس IP برای دسترسی به اینترنت استفاده می کنید، آن ها را نیز اضافه کنید.
نکته: محدود کردن دسترسی به ورود وردپرس با Ip تنها برای افرادی پیشنهاد می شود که Ip اختصاصی داشته باشند، اگر اینطور نیست، این کار پیشنهاد نمی شود، زیرا می تواند مانع از ورود شما به سایت شود.
2. با گذاشتن رمز عبور، از پوشه مدیریت وردپرس محافظت کنید
اگر از چندین مکان و از گوشی ها و کامپیوترهای مختلف، از جمله مکان های عمومی مثل کافی نت ها، به سایت وردپرس خود دسترسی دارید، ممکن است محدود کردن دسترسی به آدرس های IP خاص برای شما کارساز نباشد. در این شرایط شما می توانید از فایل htaccess. برای بخش مدیریت وردپرس خود رمز تعیین کنید.
برای انجام این کار ابتدا باید یک فایل htpasswds ایجاد کنید. با استفاده از online generator می توانید به راحتی، عمل ایجاد فایل htpasswds را انجام دهید. سپس این فایل htpasswds. را در خارج از پوشه وب یا پوشه /public_html/ در دسترس عموم قرار دهید. گزینه زیر، نمونه ای از یک مسیر خوب خواهد بود:
/home/user/.htpasswds/public_html/wp-admin/passwd/
سپس یک فایل htaccess ایجاد کنید و آن را در پوشه /wp-admin/ آپلود کنید و بعد از آن کد زیر را در آن جا اضافه کنید:
AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
نکته مهمی که در این جا وجود دارد این است که نباید فراموش کنید مسیر AuthUserFile را با مسیر فایل htpasswds خود جایگزین کنید و نام کاربری خود را اضافه نمایید.
3. مرور دایرکتوری را غیرفعال کنید
بسیاری از کارشناسان امنیت وردپرس توصیه می کنند که امکان مرور دایرکتوری را غیرفعال کنید. با فعال بودن امکان مرور دایرکتوری، هکرها می توانند به دایرکتوری و ساختار فایل سایت شما نگاه کنند تا یک فایل آسیب پذیر را پیدا کنند.
برای غیرفعال کردن مرور دایرکتوری در وب سایت خود، باید خط زیر را به فایل htaccess خود اضافه کنید:
Options -Indexes
در آموزش نحوه غیرفعال کردن Directory Browsing وردپرس بیشتر توضیح داده شده است که چطور در Cpanel هم این کار انجام شود.
4. اجرای PHP را در برخی از فهرست های وردپرس غیرفعال کنید
گاهی اوقات، هکرها به یک سایت وردپرس نفوذ کرده و یک درب پشتی یا همان backdoor نصب می کنند. این فایل های درب پشتی اغلب خود را به عنوان فایل های اصلی وردپرس جا می زنند و در پوشه های /wp-includes/ یا /wp-content/uploads/ قرار می گیرند.
یک راه ساده تر برای بهبود امنیت وردپرس، غیرفعال کردن اجرای PHP برای برخی از فهرست های وردپرس است. شما باید یک فایل htaccess خالی در کامپیوتر خود ایجاد کنید و سپس کد زیر را در آن قرار دهید:
<Files *.php> deny from all </Files>
این فایل را در دایرکتوری های /wp-content/uploads/ و /wp-includes/ خود ذخیره کنید.
5. از فایل wp-config.php یا فایل پیکربندی وردپرس خود محافظت کنید
احتمالاً مهم ترین فایل در فهرست اصلی وب سایت وردپرس شما، فایل wp-config.php است.
این فایل شامل اطلاعاتی در مورد پایگاه داده وردپرس شما و نحوه اتصال به آن است. برای محافظت از فایل wp-config.php خود در برابر دسترسی غیر مجاز، به سادگی کد زیر را به فایل htaccess خود اضافه کنید:
<files wp-config.php> order allow,deny deny from all </files>
- در مقاله آموزش حفاظت از پوشه wp-admin وردپرس در این مورد بیشتر بخوانید.
6. راه اندازی تغییر مسیر 301 (301 Redirects) از طریق فایل htaccess
استفاده از ریدایرکت های 301، سئو دوستانه ترین راه است تا به کاربران خود بگویید که محتوا به مکان جدیدی منتقل شده است. منظور از سئو دوستانه ترین راه، یعنی راهی که سئوی سایت شما را بالا می برد.
در صورت تغییر مسیر سایت، این امکان وجود دارد که پست به پست، محتواهای سایت خود را تغییر مسیر دهید و یا همان redirect کنید. اگر می خواهید به سرعت تغییر مسیرها را تنظیم کنید، تنها کاری که باید انجام دهید این است که کد زیر را در فایل htaccess خود قرار دهید:
Redirect 301 /oldurl/ http://www.example.com/newurl Redirect 301 /category/television/ http://www.example.com/category/tv/
7. آدرس های IP مشکوک را ممنوع کنید
آیا از یک آدرس IP خاص، درخواست های غیرمعمول زیادی برای وب سایت خود مشاهده می کنید؟ شما به راحتی می توانید با مسدود کردن آن آدرس IP در فایل htaccess خود، درخواست های غیر معمول را مسدود کنید. برای انجام این کار به سادگی کد زیر را به فایل htaccess خود اضافه کنید:
<Limit GET POST> order allow,deny deny from xxx.xxx.xx.x allow from all </Limit>
فراموش نکنید که xx را با آدرس IP که می خواهید آن را مسدود کنید، جایگزین نمایید.
8. Hotlinking تصویر در وردپرس را با استفاده از htaccess غیرفعال کنید
سایر وب سایت ها که مستقیماً تصاویر سایت شما را لینک می کنند می توانند سایت وردپرس شما را کند کنند و در واقع این کارها در نهایت باعث می شود که از حد پهنای باند سایت شما فراتر برود. این موضوع، برای اکثر وب سایت های کوچک و عادی، یک مشکل بزرگ به حساب نمی آید.
با این حال، اگر یک وب سایت محبوب یا یک وب سایت با تعداد زیادی عکس اجرا می کنید، این قضیه می تواند به یک نگرانی جدی تبدیل شود. شما می توانید با افزودن این کد به فایل htaccess خود از لینک داده شدن عکس موجود در سایت خود، توسط سایر سایت ها جلوگیری کنید:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
این کد فقط در صورتی اجازه نمایش تصاویر را می دهد که درخواست از X.com یا Google.com منشا گرفته باشد. فراموش نکنید که منظور ما از X.com، نام دامنه شما است.
به منظور جلوگیری از هات لینکینگ (Hotlinking) – جلوگیری از سرقت پهنای باند این مقاله را از دست ندهید.
9. از طریق htaccess در برابر دسترسی غیرمجاز محافظت کنید
همان طور که مشاهده کردید، کارهای زیادی وجود دارد که می توان با استفاده از فایل htaccess انجام داد. با توجه به قدرت فایل اچ تی اکسس و کنترلی که این فایل بر روی وب سرور شما دارد، مهم است که از آن در برابر دسترسی غیرمجاز هکرها محافظت کنید.
به منظور انجام این کار به سادگی کد زیر را به فایل htaccess خود اضافه کنید:
<files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
10. افزایش حجم آپلود فایل در وردپرس
راه های مختلفی برای افزایش محدودیت حجم آپلود فایل در وردپرس وجود دارد. با این حال، برای کاربران در میزبانی اشتراکی، برخی از این روش ها کار نمی کنند. یکی از روش هایی که برای بسیاری از کاربران کارساز بوده است، افزودن کد زیر به فایل htaccess است:
php_value upload_max_filesize 64M php_value post_max_size 64M php_value max_execution_time 300 php_value max_input_time 300
این کد به سادگی به سرور وب شما می گوید که از این مقادیر برای افزایش حجم آپلود فایل و همچنین حداکثر زمان اجرا در وردپرس استفاده کند. بهتر است البته برای اینکار، از راهنمایی مقاله افزایش محدودیت حافظه php در وردپرس با 3 روش (Memory Limit) استفاده نمایید.
11. غیرفعال کردن دسترسی به فایل XML-RPC با استفاده از htaccess
هر نصب وردپرس همراه با یک فایل به نام xmlrpc.php است. این فایل به برنامه های شخص ثالث اجازه می دهد تا به سایت وردپرس شما متصل شوند. اکثر کارشناسان امنیت وردپرس توصیه می کنند که اگر از برنامه های شخص ثالث استفاده نمی کنید، باید این ویژگی را غیرفعال کنید.
راه های متعددی برای انجام این کار وجود دارد. یکی از آن ها افزودن کد زیر به فایل htaccess است.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>
12. مسدود کردن اسکن نویسنده در وردپرس
یک تکنیک متداول که در حملات brute force استفاده می شود، اجرای اسکن نویسنده در یک سایت وردپرس و سپس تلاش برای شکستن رمزهای عبور آن نامهای کاربری است. می توانید با افزودن کد زیر به فایل htaccess خود، چنین اسکن هایی را مسدود کنید:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
آیا لازم است که از همه این ترفندها استفاده شود؟
خیر، نیازی به استفاده از همه این کد ها وجود ندارد. استفاده از این کدها خاص و در کل فایل htaccess یک فایل مهم و حساس است، انجام تنظیمات اشتباه و یا غیر اصولی می تواند باعث مشکل در سایت شما شود. پیشنهاد این است که اگر نگران امنیت سایت خود هستید، از خدمات ما در افزایش امنیت وردپرس استفاده نمایید.
در این خدمات کلیه کارهای لازم برای افزایش امنیت سایت و وردپرس صورت می گیرد، کدهای لازم در فایل htaccess قرار می گیرد و توضیحات کاملی برای شما ارسال می شود.
اما اگر سایت شما ویروسی شده و یا هک شده است، حتی اگر در نتایج گوگل مشکل نمایش حروف ژاپنی یا چینی را دارید، می توانید از خدمات پاکسازی سایت هک شده استفاده نمایید.
در این خدمات، ضمن پاکسازی سایت هک شده و ویروسی، خدمات افزایش امنیت هم بصورت رایگان بر روی آن اجرا می شود تا از تکرار مشکل جلوگیری شود.
نکته پایانی
همواره در نظر داشته باشید که حتماً قبل از هر تغییری فایل htaccess، حتماً یک بک آپ کامل از این فایل داشته باشید. این کار به شما اجازه میدهد که در صورت وقوع هرگونه مشکل یا خطا، به حالت قبلی وبسایت خود بازگردید.
امیدواریم که این مقاله برای شما مفید بوده باشد.
