
فایل htaccess یک فایل پیکربندی سرور هست که به شما امکان میده قوانینی رو برای سرورتون تعریف کنین و اونها رو برای وبسایت وردپرستون اجرا کنین.
وردپرس معمولا از فایل htaccess برای تولید URLهای سئو استفاده میکنه. با این حال، این فایل میتونه برای اهداف مختلف دیگری هم استفاده بشه.
فایل htaccess در پوشه روت سایت وردپرستون قرار داره. برای ویرایشش باید با استفاده از یک FTP client به وبسایتتون متصل بشین.
1- از ناحیه مدیریت وردپرستون محافظت کنین
- به سادگی این کد رو کپی کنین و در فایل htaccess جاگذاریش کنین:
1 2 3 4 5 6 7 8 9 10 11 12 |
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx </LIMIT> |
- باید مقادیر xx رو با آدرس آی پی خودتون جایگزین کنین.
2- محافظت از پوشه مدیریت وردپرس با رمز عبور
میتونین از فایل htaccess برای افزودن رمز عبور اضافی به ناحیه مدیریت وردپرستون استفاده کنین.
- ابتدا باید یک فایل htpasswds ایجاد کنین. با استفاده از این generator آنلاین میتونین این کار رو انجام بدین.
- این فایل htpasswds رو در خارج از پوشه وب یا پوشه /public_html/ در دسترس عموم قرار بدین. به عنوان مثال: /public_html/wp-admin/passwd/
- یک فایل htaccess ایجاد کنین و اون رو در پوشه /wp-admin/ آپلود کنین و سپس کدهای زیر رو اونجا اضافه کنین:
1 2 3 4 5 6 7 8 9 10 |
AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files> |
- مسیر AuthUserFile رو با مسیر فایل htpasswds جایگزین کنین و نام کاربری خودتون رو اضافه کنین.
3- غیرفعال کردن Directory Browsing
برای غیرفعال کردن Directory Browsing در وبسایتتون، باید خط زیر رو به فایل htaccess اضافه کنین:
Options -Indexes
4- غیرفعال کردن PHP Execution در برخی از دایرکتوریهای وردپرس
- میتونین با غیرفعال کردن PHP Execution برای برخی از دایرکتوریهای وردپرس، امنیت وردپرس رو افزایش بدین. شما باید یک فایل htaccess خالی در سیستمتون ایجاد کنین و بعد کد زیر رو در اون قرار بدین:
1 2 3 |
<Files *.php> deny from all </Files> |
5- از فایل Configuration wp-config.php وردپرستون محافظت کنین
- برای محافظت از فایل wp-config.php در برابر دسترسی غیرمجاز، فقط کد زیر رو به فایل htaccess اضافه کنین:
1 2 3 4 |
<files wp-config.php> order allow,deny deny from all </files> |
6- راهاندازی ریدایرکت 301 از طریق فایل htaccess
- استفاده از ریدایرکتهای 301 بهترین راه برای جستوجوگرهاس تا به کاربرانتون بگین که یک محتوا به مکان جدیدی منتقل شده. میتونین با افزودن کد زیر به فایل htaccess ریدایرکتها رو تنظیم کنین:
1 2 3 |
Redirect 301 /oldurl/ http://www.example.com/newurl Redirect 301 /category/television/ http://www.example.com/category/tv/ |
7- آدرس آیپیهای مشکوک رو بن کنین
- کد زیر رو به فایل htaccess اضافه کنین. فراموش نکنین که xx رو با آدرس آیپی که میخواهین مسدود کنین جایگزین کنین:
1 2 3 4 5 |
<Limit GET POST> order allow,deny deny from xxx.xxx.xx.x allow from all </Limit> |
8- غیرفعال کردن Hotlinking تصویر در وردپرس با استفاده از htaccess
- میتونین با افزودن این کد به فایل htaccess از ایجاد hotlinking تصویر جلوگیری کنین:
1 2 3 4 5 6 |
#disable hotlinking of images with forbidden or custom image option RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L] |
9- از htaccess در برابر دسترسی Unauthorized محافظت کنین
- با توجه به قدرت و کنترلی که htaccess بر روی وب سرور شما داره، مهمه که از اون در برابر دسترسی غیرمجاز هکرها محافظت کنین. به سادگی کد زیر رو به فایل htaccess اضافه کنین:
1 2 3 4 5 |
<files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files> |
10- افزایش حجم آپلود فایل در وردپرس
- میتونین این کار رو با افزودن کد زیر به فایل htaccess انجام بدین:
1 2 3 4 |
php_value upload_max_filesize 64M php_value post_max_size 64M php_value max_execution_time 300 php_value max_input_time 300 |
11- غیرفعال کردن دسترسی به فایل XML-RPC با استفاده از htaccess
- راههای مختلفی برای انجام این کار وجود داره، یکی از اونها افزودن کد زیر به فایل htaccess هست:
1 2 3 4 5 |
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files> |
12- مسدود کردن اسکن نویسنده در وردپرس
- یک تکنیک رایج که در حملات brute force استفاده میشه، اجرای اسکن نویسنده در یک سایت وردپرس و سپس تلاش برای شکستن رمزهای عبور اون نامهای کاربری هست. میتونین با افزودن کد زیر به فایل htaccess، چنین اسکنهایی رو مسدود کنین:
1 2 3 4 5 6 |
# BEGIN block author scans RewriteEngine On RewriteBase / RewriteCond %{QUERY_STRING} (author=\d+) [NC] RewriteRule .* - [F] # END block author scans |