خانه / وردپرس / امنیت وردپرس / هر آنچه که در مورد فایل .htaccess و ویرایش آن باید بدانید
هر آنچه که در مورد فایل .htaccess و ویرایش آن باید بدانید

هر آنچه که در مورد فایل .htaccess و ویرایش آن باید بدانید

 

سلام دوستان

فایل .htaccess در بسته نصب وردپرس، یک فایل پیکربندی قدرتمند است که شما یا هر مدیر وبسایتی میتواند به وسیله آن کارایی وبسایت خود را افزایش دهد و امنیت وبسایت را بالا ببرد، این کار به کمک این فایل و با تغییر تنظیمات وب سرور شما انجام میگیرد.

این عبارت مختصر Hypertext Access، است و شما میتوانید با دستورات صحیح اقدام به ویرایش آن کرده و عملکردهای اضافی و مجزایی را فعال یا غیر فعال کنید که میتوانند روی امنیت و کارایی وبسایت شما تاثیر مستقیم داشته باشند. با این فایل در زمینه امنیت میتوان با هکرها، اسپمرها و دیگر موارد به مقابله پرداخت.

 

فایل .htaccess چیست و چه کاری میتوان با آن انجام داد؟

پرونده .htaccess در بخش روت یا بدون مادر وبسایت شما (یا چند وبسایت) قرار دارد. شیوه نام گذاری آن هم مشخص میکند که این فایل به طور عادی مخفی است و شما نمیتوانید هنگام مرور دیگر فایل ها آن را مشاهده کنید مگر اینکه تمام فایل های مخفی را برای دیده شدن فعال کنید.

در وردپرس، این فایل برای مدیریت پیوندهای یکتای بهینه استفاده می شود و وقتی برای اولین بار از تنظیمات وردپرس استفاده کنید این فایل به طور خودکار ایجاد می شود، کارهای زیادی هستند که میتوان با آن انجام داد، نمونه بارز آن که بیشتر استفاده شده است افزودن انتقال ۳۰۱۱ یا افزودن دستوراتی مبنی بر مسدود سازی برخی کاربران ثبت نام نشده است.

اگر شناختی کافی از این فایل پیدا کرده اید و آماده اید تا تغییراتی در آن ایجاد کنید در وردپرس پلاس بمانید و به ادامه مراجعه کنید. اما بدانید قبل از هر تغییری در این فایل، قطعا نیاز به بکاپ از وبسایت خود خواهید داشت.

قبل از هر چیزی باید بدانید که بکاپ بخش مهمی از این کار است، خصوصا اینکه قبل از این مقاله چندان آشنایی خاصی با این فایل در وردپرس نداشته اید. خب مزیت بکاپ اینست که شما میتوانید با وجود مشکلاتی که برای وبسایت به طور احتمالی رخ میدهد به قبل از تغییرات بازگردید.

مهمتر اینکه شما باید این فایل را دانلود کرده و یک کپی از آن داشته باشید، سپس این کپی را در سیستم خود برای ویرایش باز کنید. برای دانلود آن باید به بخش پرونده های هاست خود در سی پنل یا دایرکت ادمین رفته و در بخش Files > File Manager آن را دانلود کنید. اگر با یک پاپ آپ مواجه شدید روی دکمه یا جعبه تیک Show Hidden Files کلیک کنید.

هر آنچه که در مورد فایل .htaccess و ویرایش آن باید بدانید

راه دیگر آن اینست که روی تنظیمات Settings کلیک کنید و تیک جعبه Show Hidden Files را بزنید تا بتوانید این فایل را پیدا کنید.

به بخش روت هاست رفته و فایل .htaccess را دانلود کنید. اگر هم نیازی به بازگردانی آن داشتید

هر آنچه که در مورد فایل .htaccess و ویرایش آن باید بدانید

روی دکمه بارگذاری Upload کلیک کنید و سپس برای بارگذاری فایل خود را انتخاب کنید.

البته در این قسمت هنگام بارگذاری دقت کنید که وقتی فایل جدیدی را برای بارگذاری انتخاب میکنید، فایل در حال بارگذاری میتواند جایگزین فایلی که قبلا در هاست وجود دارد شده و آن را پاک کند.

اگر نمیدانید چگونه از وبسایت وردپرس خود بکاپ تهیه کنید میتوانید به آموزش وردپرس تهیه بکاپ کامل و رایگان از وردپرس سری بزنید.

بکاپ در وردپرس با UpdraftPlus

 

تغییرات را شروع کنید

یک فایل .htaccess ایجاد کنید.

توجه داشته باشید که بعد از نصب وردپرس شما این فایل را نخواهید داشت. و خود به خود هم فقط زمانی ایجاد می شود که در پنل تنظیمات وردپرس تغییرات جدیدی ایجاد کنید. پس باید چنین فایلی را قبل از اینکه بتوانید تغییر دهید به طور دستی ایجاد کنید. برای ایجاد آن میتوانید از یک ویرایشگر کد استفاده کنید. اگر ویرایشگر خوبی سراغ ندارید از بهترین ویرایشگر های کد برای وبمستران و توسعه دهندگان استفاده کنید. یا اینکه در خود Cpanel آن را ایجاد کنید.

البته شاید برای ایجاد مستقیم آن دچار مشکل شوید، چون این احتمال وجود دارد سرور به شما اجازه این کار را ندهد، برای این کار شما میتوانید ابتدا فایل خود را با نام   htaccess.txt ایجاد کرده سپس آن را به .htaccess تغییر نام دهید.

همه نسخه های وردپرس که از ۴٫۲ به بالا هستند به طور پیش فرض لینک های بهینه سازی را در تنظیمات خود دارند، بنابراین بهترین کار اینست که به جای یک برگه خاصی برای فایل .htaccess ابتدا با کدهای خود وردپرس شروع کنید.

اینجا کدهای پیش فرض وردپرس برای نصب های مفرد قرار داده شده اند:

برای شبکه وبسایت های چندگانه که ساب دایرکتوری دارند نیز که از وردپرس ۳٫۵ به بالا استفاده میکنند میتوانید از کد زیر استفاده کنید:

همچنین برای شبکه وبسایت های چندگانه همراه با ساب دامین که از نسخه ۳٫۵ بالاتر وردپرس استفاده میکنند میتوان از کد زیر بهره برد:

برای نسخه های دیگر وردپرس که احتمالا استفاده نمیکنید، میتوانید از برگه کدهای .htaccess در مخزن وردپرس دیدن کنید.

وقتی شما در هاست خود فایل مهمی چون .htaccess را ایجاد میکنید باید به آن دسترسی ۶۴۴ بدهید تا آن را از برخی حمله ها محفوظ کنید.

حتما بخوانید   Super Backup بهترین و جامع ترین افزونه بکاپ و نگه داری سایت

 

خب تغییرات را کجا پیاده کنید؟

هنگام ویرایش چنین فایل مهمی باید بدانید که در ابتدای هر خطی که # وجود داشت، آنها یک متن یادداشت هستند که برای راهنمایی درج شده و جزو دستورات فایل ما نیستند. وقتی میخواهید دستورات جدید وارد کنید باید بدانید که خیلی مهم است که آنها را قبل یا بعد از دستورات پیش فرض وردپرس وارد میکنید.

به هیچ وجه نباید در عباراتی که بین# BEGIN WordPress  و # END WordPress قرار گرفته اند تغییر یا متنی وارد کنید. برای وبسایت های چندگانه نیز چنین چیزی برقرار است. وقتی شما مابین دو عبارت یادشده را تغییر دهید یعنی اجازه نمیدهید وردپرس کار خودش را انجام دهد، بنابراین باید این کار را انجام ندهید و از تغییر پرهیز کنید. به طور واضح، اگر بعد از عبارت خود وردپرس دستورات جدید را پیاده کنید هم کارها سازمان بندی شده و مرتب است هم اینکه مسئله ای برای نگرانی از این بابت وجود نخواهد داشت. در نهایت این به خود شما بستگی دارد که بخواهید چه چیزی را برای وبسایت خود ایجاد کرده یا چه تغییراتی را ایجاد کنید.   ویرایش فایل .htaccess راه های زیادی وجود دارد که شما بخواهید فایل .htaccess را ویرایش کنید. یکی از این روش ها ویرایش مستقیم این فایل در خود Cpanel است که پیشنهاد میکنیم اینکار را انجام ندهید. بهترین راه همیشه استفاده از یک نسخه کپی از فایل و همچنین انجام ساده تر آن است. این فایل را همانطور که گفتیم دانلود کرده و با ویرایش گرهای متن پیشرفته یا ساده ویرایش کنید. این کار کمک میکند تا هر وقت بخواهید تغییرات را بازبینی کرده یا آنها را قبل استفاده بررسی کنید. همچنین شما یک نسخه از فایل اولیه دارید که بدون تغییر شما بوده و هر وقت نیاز بود آن را دوباره میتوانید بازیابی کنید.  

  1. محافظت از فایل های مهم

یکی از بهترین مزیت های فایل .htaccess اینست که شرایط امنیتی مهمی را میتواند ایجاد کند. میتوانید با این فایل از خود فایل .htaccess و فایل های دیگری چون Error Logs، wp-config و php.ini نیز محافظت کنید. به کدهای زیر نگاه کنید:

البته در بین فایل های خود دنبال php.ini باشید چون ممکن است این فایل را نداشته باشید. البته شاید فایلی هم بنام php5.ini داشته باشید که میتوانید در کدنویسی بالا، آن را جایگزین کنید.

 

  1. جلوگیری از دسترسی به مدیریت

با کد زیر میتوایند اینکار را انجام دهید. این دستورات از دسترسی کاربر به آدرس های wp-login.php و wp-admin جلوگیری میکنند. البته اینکار را زمانی انجام دهید که از یک آیپی ثابت استفاده میکنید:

دو خط اولی در کد بالا، کاربر را با به محض تست برای ورود به برگه ۴۰۴ هدایت میکنند. همچنین این مورد کمک میکند تا شما بتوانید هر انتقالی را دستکاری کنید تا همانند آنچه که هست دیده نشود.

همچنین میتوانید از جایگزین کردن آیپی آدرس یک، آدرس آیپی دو، آدرس آیپی سه با آدرس آیپی واقعی که استفاده میکنید بهبره ببرید. این کار را در خط های ۸ تا ۱۰ انجام دهید. اگر میخواهید فقط یک آیپی استفاده کنید پس خط ۹ و ۱۰ را میتوانید حذف کنید. به همین شکل هم میتوانید خط ۱۰ را هر چقدر خواستید تکثیر کرده و آدرس آیپی های چهارم و پنجم و … را اضافه کنید.

اگر شما یا هر کدام از دیگر همکاران مدیر شما آیپی دینامیکی و بدون ثبات دارند، وبسایت چندگانه شما و وبسایتی که چندکاربر دارد که نیاز به ورود دارند، میتوانید برای آن از کد زیر استفاده کنید:

دقت کنید که در این کد باید مسیر وبسایت /path-to-your-site/ را با آدرس واقعی سایت خود تغییر دهید.

بسیاری از هکرها از ربات ها برای ورود به پنل مدیریت یا ورود به وبسایت استفاده میکنند. با افزودن آن به این فایل میتوانید تنها به مردمی اجازه دهید که به طور دستی آدرس وبسایت شما را در مرورگرشان وارد میکنند به وبسایت دسترسی داشته باشند.

اما این فایل در مقابل هکر هایی که به طور دستی سعی دارند وارد وبسایت شما شوند جلوگیری نخواهد کرد. در این حالت بخش بزرگی از این گونه هک ها به واسطه هک های همه جانبه Brute Force Attack انجام میگیرد. در این روش نرم افزارها آدرس ایمیل ها و هزارن کلمه و ترکیب از حروف را تست میکنند تا به مشخصات ورود دست پیدا کنند.

 

  1. جلوگیری از مرور فایل های دایرکتوری

برای کاربران ممکن است که بخواهند دایکرتوری وبسایت شما را به صورت front-end مشاهده کرده و در مرورگر آن را باز کنند. از وقتی وردپرس به فایل های وبسایت سازمان بخشیده شما نمیتوانید در وردپرس مانع بازدید دیگران از مسیر siteshoma.ir/wp-content/uploads شوید.

شاید این چیزی باشد که شما دوست ندارید در مورد آن بشنوید یا حتی بدانید. شما نمیخواهید هکرها به این مسیر یا فایل های شما دسترسی داشته باشند. بنابراین اگر شما در این مسیرها فایل هایی داشته باشید باید بدانید که هکرها شانس این را دارند مسیر و آدرس فایل شما را حدس زده تا آن را سرقت کنند.

اگر میخواهید از بازدید از دایرکتوری ها جلوگیری کنید میتوانید با کد زیر به فایل .htaccess به این قصد دست پیدا کنید:

 

 

 

  1. جلوگیری از دسترسی به فایل های PHP

خیلی ساده، جلوگیری از دسترسی به فایل های PHP شما یک نه بزرگ به هکر هاست. وقتی دسترسی و استفاده از فایل های PHP برای هکرها بسیار مهم است، شما میتوانید کار هک شدن وبسایت خود را برای آنان باز هم سخت تر کنید. با افزودن یک لایه امنیتی به فایل .htaccess میتوانید این کار را به خوبی انجام دهید. مسلما از کدها و فایل های PHP برای کارهای مختلفی توسط هکر استفاده استفاده می شود. بنابراین زیادی مهم است که از این فایل ها محافظت کنید.

شما میتوانید کدهای زیر را برای مسدود کردن دسترسی به فایل های PHP استفاده کنید. کاربران ناشناس دسترسی آسانی به فایل های PHP شما نخواهند داشت:

 

  1. جلوگیری از اجرای فایل های PHP

همانطور که گفتیم فایل های PHP مهم هستند و اگر شما استفاده و دسترسی به آنها را در وبسایت خود برای هکرها مسدود کرده اید، آنها شاید بخواهند از PHP های خود استفاده کنند. معمولا آنها سعی میکنند فایل های خود را به وبسایت شما آپلود کرده و در مسیر آپلود ها قرار دهند. بنابراین باید همین الان بعد از فعال سازی مرحله چهار، بخواهید مورد زیر را هم به فایل .htaccess اضافه کنید.

این یعنی شما میخواهید بدون اینکه دسترسی خاصی به هکر ها برای مرور فایل های PHP داده باشید، حتی این اجازه را نمیدهید که در مسیر مشخصی که در کد زیر آمده، فایل های PHP اجرا شده یا توسط هکر آپلود و استفاده شوند. از کد زیر میتوانید برای جلوگیری از اجرای کدهای PHP هکر که توسط بدافزارها رخنه میکنند ممانعت کنید:

 

حتما بخوانید   آموزش تصویری کار با دسته ها در وردپرس

 

  1. محافظت از وبسایت در برابر تزریق اسکریپت ها

شما در مسیر درستی برای محافظت از وبسایت خود قرار گرفته اید. حالا وقت آن رسیده تا به جلوگیری از تزریق اسکریپت ها بپردازید. برای اینکه در این مورد بیشتر بدانید به این مقاله مراجعه کنید.

بسیاری از هکر ها راهی که برای هک وبسایت در پیش میگیرند اینست که میخواهند از طریق تزریق کدهای مختلف و آلوده به تغییر کل وردپرس و _REQUEST بپردازند. شما میتوانید کدی که در ادامه قرار داده شده است را به فایل .htaccess اضافه کنید تا از این کار هکرها جلوگیری کرده باشید:

 

  1. تامین امنیت مسیر wp-includes

این مسیر، یک مکان مهم برای بسیاری از فایل های مهم وبسایت وردپرسی شماست. با مسدود سازی دسترسی تمام کاربران ناشناس به این مسیر، میتوانید از تمام فایل هایی که در این مسیر قرار دارند در مقابل دسترسی و حمله هکرها محافظت کنید.

در این مورد هم میتوانید در وبسایت wp explorer بیشتر بدانید.

 

  1. جلوگیری از شمارش کاربران

وقتی در نوار مرورگر کاربر، آدرس وبسایت شما وارد می شود، آدرس اگر مسیر siteshoma.ir/?author=1 باشد، کاربر دقیقا به مسیری که برگه نوشته ها و فعالیت های کاربر با شناسه ۱ است انتقال پیدا میکند. مسلما برگه بایگانی نویسنده ها یا کاربران، شناسه ای که با آن وارد وبسایت شده اند را برای هر کسی مشخص میکند.

بازدید کننده میتواند به شناسه تمام کاربرانی که در وبسایت شما محتوایی منتشر شده دارند دسترسی پیدا کنند. به این فرایند شمارش شناسه میگویند.

اگر هکر بتواند شناسه کاربر شما را پیدا کند، تنها یک مورد برای حدس زدن یا هک کردن می ماند. این هم رمز کاربر است، هکر شناسه کاربر شما را دارد.

خب تا اینجا که شناسه کاربر مورد مهمی است که هکر بدان دست پیدا کرده است، در ادامه همه چیز به این بستگی دارد که کاربر رمز خود را تا چه حد سخت و پیچیده انتخاب کرده است.

به همین دلیل است که برخی وبسایت ها همگام ثبت نام برای شما رمز سختی را انتخاب میکنند تا حداقل از حیث امنیت نسبی و بهتری داشته باشند.

با این حال به کم فایل .htaccess باز هم میتوان از شمارش شناسه یا کاربر جلوگیری کرد. برای اینکار هم میتوانید از کدی که در زیر قرار داده شده استفاده کنید:

 

  1. نیاز به SSl

از کد زیر برای اجباری کردن تاییدیه SSL برای استفاده در وبسایت استفاده کنید. مادامی که کاربر نام دامنه تایید شده کامل Fully Qualified Domain Name را وارد نکرده باشد.

فراموش نکنید که در این کد باید آدرس وبسایت خود را حتما قرار دهید. اگر وبسایت شما WWW ندارد، نباید آن را بنویسید:

 

  1. جلوگیری از سرقت یا مهمانی کردن تصاویر

برخی وبسایت های اسکرپر که محتوای خود را به شکل خبرخوان از دیگر وبسایت ها جمع آوری میکنند، اقدام به کپی کردن کل مطالب میکنند. با این کار، تصاویر وبسایت شما هم کپی می شود. در واقع محتوا مشکل خاصی نیست. مشکل در رابطه با تصاویر است.

وقتی نویسنده ای در مطلب خود از تصویر مطلب وبسایت شما استفاده میکند، تصویر در سرورهای آنان ذخیره نمیشود، بلکه از سرور شما استفاده و همچنین این کار، از پهنای باند شما استفاده میکند. همچنین اینکار به Hot Linking مشهور است. بنابراین باید از این کار جلوگیری کنید تا پهنای باند شما مصرف بی خودی نداشته باشد.

برای جلوگیری از این کار میتوانید از کد زیر استفاده کنید. با این کار دیگر شما اجازه نمیدهید تا هیچ کس از تصاویر وبسایت شما روی سرورهای خود شما و با پهنای باند شما استفاده کند. کد زیر را به فایل .htaccess اضافه کنید:

در نهایت آدرس وبسایت خود را در کد تغییر داده و خیال خود را راحت کنید.

خب دوستان به پایان آموزش امنیت وردپرس دیگری رسیدیم که امیدواریم در این مطلب توانسته باشیم آنچه را که لازم بود بدانید به شما برسانیم. با این اوصاف شما نیاز خواهید داشت که امنیت وبسایت خود را همچنان حفظ کرده و آن را همگام با امنیت مجازی دنیا پیش ببرید. امیدواریم این آموزش توانسته باشد جواب یکی از سوالات شما در مورد فایل .htaccess یا امنیت در وردپرس را درون خود داشته باشد.

 

تهیه شده در وردپرس پلاس

منبع

هر آنچه که در مورد فایل .htaccess و ویرایش آن باید بدانید
۵ (۱۰۰%) ۸ votes
مـخابره های تـلگرامـی وردپــرس پــــلاس

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *