modireserver
January 11th, 2018, 12:22
امروز با آموزش افزایش امنیت وردپرس با فایل htaccess. در خدمتتون هستیم. توسط فایل htaccess. بر روی هاست میتوان کنترل دقیقی روی درخواستهای ارسالی به سمت سایت داشت.
درواقع فایل htaccess. یک فایل کنترلی برای نحوه مدیریت صحیح درخواستها بر روی وب سرور هستش، بر روی هاست اشتراکی کاربران دسترسی تغییرات بر روی کل وب سرور را نداشته ولی این فایل به آنها این امکان را میدهد درخواستهای ارسالی به سمت سایت خود را مدیریت کنند.
کاربرد فایل htaccess. بسیار گسترده بوده که در این آموزش فقط به مباحث مرتبط با وردپرس خواهیم پرداخت ولی همینقدر بدانید که توسط این فایل میتوان بر روی دایرکتوریها پسورد گذاشت، ریدایرکت ها را کنترل کرد، دسترسیها را محدود کرد و…
در جلسه گذشته به آموزش تامین امنیت وردپرس به صورت کلی ولی دقیق پرداختیم در این جلسه فقط قصد داریم روی نحوه امن کردن سایت از طریق فایل htaccess. بپردازیم.
افزایش امنیت وردپرس از طریق فایل wp-config.php قبل از شروع کار حتماً یک بکاپ از این فایل تهیه کنید تا در صورت بروز مشکل آن را بازگردانی کنید، تمامی تغییرات اعمال شده در این فایل در ادامه کدهای موجود قرار خواهند گرفت و نباید جایگزین کدهای قبلی شوند.
قدم اول سعی میکنیم امنیت یکی از مهمترین و حساسترین فایلهای وردپرس یعنی فایل کانفیگ آن را تأمین کنیم، برای این کار کافی است فایل htaccess. را باز کرده و در انتهای آن کد زیر را قرار دهید.
<Files wp-config.php> order allow,deny deny from all </Files>
1
2
3
4
<Files wp-config.php>
order allow,deny
deny from all
</Files>
محافظت از فایل htaccess. از قدیم میگن کوزه گر از کوزه شکسته آب میخوره، قبل از رفتن به ادامه آموزش و فراموش کردن خود فایل htaccess. اونو امنش کنیم برای امن کردن این فایل کد زیر را درون خود همین فایل اضافه کنید.
<Files ".htaccess"> order allow,deny deny from all </Files>
1
2
3
4
<Files ".htaccess">
order allow,deny
deny from all
</Files>
تمامی کدهای ذکر شده سبب میشوند تا در مواقعی که فردی قصد فراخوانی این فایلها را از طریق آدرس url مرورگر خود را داشت برای آنها ارور عدم دسترسی یا forbidden error برگرداند و دسترسی به محتویات این فایل غیر ممکن شود.
بستن دسترسی هکر اگر از پلاگینهای امنیتی وردپرس استفاده میکنید و یا میتوانید آی پی فرد مهاجم را داشته باشید از طریق کد زیر میتوانید دسترسی آن را به طور کلی به سایت مسدود کنید.
order allow,deny deny from 192.163.8.9 allow from all
1
2
3
order allow,deny
deny from 192.163.8.9
allow from all
افزایش امنیت دایرکتوری wp-includes دایرکتوری wp-includes یکی از مهمترین مسیرهایی است که در آن فایلهای هسته وردپرس قرار دارد، بدیهی است برای تأمین امنیت وردپرس باید دسترسی به فایلهای مهم آن را مسدود کنیم.
با قرار دادن کد زیر در انتهای کدهای htaccess. دسترسی به یکسری از فایلهای اساسی وردپرس از طریق مرورگر کاربر را مسدود میکنیم.
# Block the include-only files <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>
1
2
3
4
5
6
7
8
9
10
# Block the include-only files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
جلوگیری از ایندکس شدن فایلها بر روی هاست ممکن است به دلیل ضعف در کانفیگ امنیتی، تمامی فایلهایی که بر روی هاست وجود دارند در صورت عدم وجود فایل index.html به کاربران نمایش داده شوند و این میتواند برای سایت شما خطرناک چرا که به کاربر اجازه مشاهده تمامی محتویات یک دایرکتوری را میدهد.
برای رفع این مشکل میتوانید خط زیر را درون فایل htaccess. قرار دهید تا بدین صورت یک گام دیگر در جهت افزایش امنیت وردپرس بر داشته باشید.
Options All –Indexes
1
Options All –Indexes
محدودسازی فایلها را همچنین میتوانید برای هر دایرکتوری به صورت جداگانه لحاظ کنید.
منبع: افزایش امنیت وردپرس (http://www.modireserver.com/%D8%A7%D9%81%D8%B2%D8%A7%DB%8C%D8%B4-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-%D8%A8%D8%A7-%D9%81%D8%A7%DB%8C%D9%84-htaccess/)
درواقع فایل htaccess. یک فایل کنترلی برای نحوه مدیریت صحیح درخواستها بر روی وب سرور هستش، بر روی هاست اشتراکی کاربران دسترسی تغییرات بر روی کل وب سرور را نداشته ولی این فایل به آنها این امکان را میدهد درخواستهای ارسالی به سمت سایت خود را مدیریت کنند.
کاربرد فایل htaccess. بسیار گسترده بوده که در این آموزش فقط به مباحث مرتبط با وردپرس خواهیم پرداخت ولی همینقدر بدانید که توسط این فایل میتوان بر روی دایرکتوریها پسورد گذاشت، ریدایرکت ها را کنترل کرد، دسترسیها را محدود کرد و…
در جلسه گذشته به آموزش تامین امنیت وردپرس به صورت کلی ولی دقیق پرداختیم در این جلسه فقط قصد داریم روی نحوه امن کردن سایت از طریق فایل htaccess. بپردازیم.
افزایش امنیت وردپرس از طریق فایل wp-config.php قبل از شروع کار حتماً یک بکاپ از این فایل تهیه کنید تا در صورت بروز مشکل آن را بازگردانی کنید، تمامی تغییرات اعمال شده در این فایل در ادامه کدهای موجود قرار خواهند گرفت و نباید جایگزین کدهای قبلی شوند.
قدم اول سعی میکنیم امنیت یکی از مهمترین و حساسترین فایلهای وردپرس یعنی فایل کانفیگ آن را تأمین کنیم، برای این کار کافی است فایل htaccess. را باز کرده و در انتهای آن کد زیر را قرار دهید.
<Files wp-config.php> order allow,deny deny from all </Files>
1
2
3
4
<Files wp-config.php>
order allow,deny
deny from all
</Files>
محافظت از فایل htaccess. از قدیم میگن کوزه گر از کوزه شکسته آب میخوره، قبل از رفتن به ادامه آموزش و فراموش کردن خود فایل htaccess. اونو امنش کنیم برای امن کردن این فایل کد زیر را درون خود همین فایل اضافه کنید.
<Files ".htaccess"> order allow,deny deny from all </Files>
1
2
3
4
<Files ".htaccess">
order allow,deny
deny from all
</Files>
تمامی کدهای ذکر شده سبب میشوند تا در مواقعی که فردی قصد فراخوانی این فایلها را از طریق آدرس url مرورگر خود را داشت برای آنها ارور عدم دسترسی یا forbidden error برگرداند و دسترسی به محتویات این فایل غیر ممکن شود.
بستن دسترسی هکر اگر از پلاگینهای امنیتی وردپرس استفاده میکنید و یا میتوانید آی پی فرد مهاجم را داشته باشید از طریق کد زیر میتوانید دسترسی آن را به طور کلی به سایت مسدود کنید.
order allow,deny deny from 192.163.8.9 allow from all
1
2
3
order allow,deny
deny from 192.163.8.9
allow from all
افزایش امنیت دایرکتوری wp-includes دایرکتوری wp-includes یکی از مهمترین مسیرهایی است که در آن فایلهای هسته وردپرس قرار دارد، بدیهی است برای تأمین امنیت وردپرس باید دسترسی به فایلهای مهم آن را مسدود کنیم.
با قرار دادن کد زیر در انتهای کدهای htaccess. دسترسی به یکسری از فایلهای اساسی وردپرس از طریق مرورگر کاربر را مسدود میکنیم.
# Block the include-only files <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule>
1
2
3
4
5
6
7
8
9
10
# Block the include-only files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
جلوگیری از ایندکس شدن فایلها بر روی هاست ممکن است به دلیل ضعف در کانفیگ امنیتی، تمامی فایلهایی که بر روی هاست وجود دارند در صورت عدم وجود فایل index.html به کاربران نمایش داده شوند و این میتواند برای سایت شما خطرناک چرا که به کاربر اجازه مشاهده تمامی محتویات یک دایرکتوری را میدهد.
برای رفع این مشکل میتوانید خط زیر را درون فایل htaccess. قرار دهید تا بدین صورت یک گام دیگر در جهت افزایش امنیت وردپرس بر داشته باشید.
Options All –Indexes
1
Options All –Indexes
محدودسازی فایلها را همچنین میتوانید برای هر دایرکتوری به صورت جداگانه لحاظ کنید.
منبع: افزایش امنیت وردپرس (http://www.modireserver.com/%D8%A7%D9%81%D8%B2%D8%A7%DB%8C%D8%B4-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D9%88%D8%B1%D8%AF%D9%BE%D8%B1%D8%B3-%D8%A8%D8%A7-%D9%81%D8%A7%DB%8C%D9%84-htaccess/)