روش هایی برای افزایش کارایی و امنیت سایت
روش هایی برای افزایش کارایی و امنیت سایت
در این مطلب به افزایش کارایی و امنیت سایت های وردپرسی می پردازیم ، با ما همراه باشید.
از فایل های مهم حفاظت کنید
از جمله تغییرات بسیار خوبی که می توانید در فایل htaccess. اعمال کنید ، همان تغییراتی می باشند که به واسطه آن ها ، دسترسی به فایل های مهم و حیاتی وردپرس ممنوع می گردد ، برای این که دسترسی خارجی و غیرمجاز به فایل های خطا ، فایل wp-config.php و فایل php.ini ممنوع شود ، باید کد زیر را وارد کنید :
<[FilesMatch “^.*(error_log|wp-config.php|php.ini|.[hH][tT][aApP].*)$”>
Order deny,allow
Deny from all
<FilesMatch/>
در دسترسی به بخش مدیریت وردپرس باید محدودیت ایجاد کنید
اگر از آی پی ثابت استفاده می کنید ، با استفاده از کد زیر ، می توانید دسترسی به بخش مدیریت وردپرس را تنها برای کاربرانی امکان پذیر کنید که آی پی آن ها در لیست آی پی های مجاز قرار دارد :
ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404
<IfModule mod_rewrite.c>
RewriteEngine on
[RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [OR
$RewriteCond %{REQUEST_URI} ^(.*)?wp-admin
$RewriteCond %{REMOTE_ADDR} !^IP Address One
$RewriteCond %{REMOTE_ADDR} !^IP Address Two
$RewriteCond %{REMOTE_ADDR} !^IP Address Three
[RewriteRule ^(.*)$ – [R=403,L
<IfModule/>
خوب است بدانید که در کد بالا دو خط اول باعث می شود که آی پی های غیر مجاز به برگه خطای 404 انتقال یابند ، توجه داشته باشید که قسمت path-to-your-site را باید با آدرس سایت خود جایگزین نمایید ، مقادیر IP Address One ، IP Address Two و IP Address Three را با آی پی هایی که مجاز به دسترسی به بخش مدیریت می باشند ، باید جایگزین نمایید و برای این که تنها یک آی پی ، مجاز باشد ، دو خط آخر را باید حذف کنید ، برای افزودن آی پی های بیشتر به لیست آی پی های مجاز ، خط آخر را به تعداد آن ها باید تکرار کنید.
از نمایش پوشه ها جلوگیری کنید
این امکان برای کلیه بازدیدکنندگان سایت شما وجود دارد که پوشه های سایت شما را بررسی کنند و فایل های شما را ببینند ، مثلا هر بازدید کننده که به آدرس your-site.com/wp- content/uploads مراجعه می کند ، می تواند لیست کاملی از فایل ها و پوشه های شما را مشاهده نماید ، این کار الزامی است که که از نمایش پوشه ها جلوگیری کنید ، چرا که اگر یک هکر وارد این بخش شود خیلی راحت قادر است فایل های مهم شما را پیدا کند و محل قرار گیری آن ها را به راحتی آب خوردن بیابد و به اهداف شوم خود به راحتی برسد ، با اضافه کردن کد زیر به فایل .htaccess دسترسی به پوشه ها و مشاهده محتویات آن ها در سایت شما غیرفعال می گردد و در این صورت هکرها بیشتر وقت خود را صرف پیدا کردن اطلاعات ضروری می گذارند :
از دسترسی مستقیم به فایل های PHP جلوگیری کنید
توجه داشته باشید که دسترسی مستقیم به فایل های PHP قالب و افزونه های وردپرس هم باید کاملا ممنوع شود ، همان طور که می دانید از فایل های PHP می توان برای تزریق کدهای آلوده به وب سایت و بارگذاری فایل های مخرب استفاده کرد ، به همین دلیل دسترسی به فایل های PHP را به صورت مستقیم باید محدود کنید ، این کار را با اضافه کردن کدهای زیر به فایل .htaccess انجام دهید :
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
/RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude
[RewriteRule wp-content/plugins/(.*.php)$ – [R=404,L
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
/RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude
[RewriteRule wp-content/themes/(.*.php)$ – [R=404,L
از اجرای فایل های PHP جلوگیری کنید
همان طور که گفته شد هکرها می توانند با استفاده از فایل های PHP کدهای مخرب و آلوده را در سایت شما قرار بدهند و برای این که این مورد اتفاق نیفتد باید جلوی اجرای فایل PHP را در اسرع وقت گرفت ، بدین ترتیب اگر هکر حتی بتواند فایل PHP خود را در پوشه آپلودهای وردپرس قرار دهد ، قادر به اجرای آن نخواهد بود ، برای این کار باید یک فایل .htaccess جدید در پوشه آپلودهای وردپرس (wp-content/uploads) ایجاد کنید و کد های زیر را در آن قرار دهید :
<Files *.php>
deny from all
<Files/>
از سایت خود در برابر تزریق کدهای مخرب محافظت کنید
با وارد کردن کدهای زیر کار را برای هکرها بسیار سخت می کنید ، ولی می خواهیم تمامی راه های نفوذ را حتی الامکان بر آن ها ببندیم ، خوب است بدانید که اکثر هکرها برای تزریق کدهای آلوده متغیرهای GLOBALS و _REQUEST وردپرس را تغییر می دهند ، اگر می خواهید از این حالت جلوگیری کنید باید کد زیر را در فایل .htaccess قرار دهید :
Options +FollowSymLinks
RewriteEngine On
[RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR
[RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR
({RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2
[RewriteRule ^(.*)$ index.php [F,L
امنیت پوشه wp-includes را اافزایش دهید
خوب است بدانید که پوشه wp-includes مکان قرارگیری فایل های مهم وردپرس می باشد و زمانی که از دسترسی های غیرمجاز به این پوشه جلوگیری می کنید ، جلوی سو استفاده های احتمالی از محتویات آن را گرفته اید ، توجه داشته باشید برای افزایش امنیت پوشه wp-includes باید از کد زیر در فایل .htaccess استفاده نمایید :
<IfModule mod_rewrite.c>
RewriteEngine On
/ RewriteBase
[RewriteRule ^wp-admin/includes/ – [F,L
[RewriteRule !^wp-includes/ – [S=3
[RewriteRule ^wp-includes/[^/]+.php$ – [F,L
[RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L
[RewriteRule ^wp-includes/theme-compat/ – [F,L
</IfModule>
از مشاهده اطلاعات کاربران با آی دی جلوگیری کنید
شاید می دانید که زمانی که یک کاربر یا بازدیدکننده وارد آدرس your-site.com/?author=1 سایت شما شود ، خود به خود به صفحه اطلاعات و نوشته های کاربری که دارای شناسه کاربری ۱ است ، انتقال می یابد که این صفحه حاوی نام کاربری است که کاربر با آی دی ۱ دارد ، کاربر از این طریق می تواند به راحتی نام کاربری کلیه کاربرهای سایت شما را بیابد که با عنوان username enumeration شناسایی می گردد ، با قرار دادن کد زیر در فایل .htaccess ، می توانید جلوی مشاهده اطلاعات کاربران با آی دی آن ها را بگیرید :
RewriteCond %{QUERY_STRING} author=d
[RewriteRule ^ /? [L,R=301
باید SSL را الزامی کنید
از کد زیر استفاده کنید ، با استفاده از این کد در صورتی که کاربر آدرس موجود در خط 3 را وارد کند به صورت خودکار به برگه دارای گواهی SSL وارد شده در خط 4 انتقال پیدا می کند :
SSLOptions +StrictRequire
SSLRequireSSL
“SSLRequire %{HTTP_HOST} eq “www.you-site.com
ErrorDocument 403 https://www.your-site.com
کد هدیه چیست ؟
این کد برای جلوگیری از دزدیده شدن فایل های زبان قالب ها و افزونه ها می باشد ، برای این کار تنها کافی است کد زیر را در فایل .htaccess قرار دهید ، بدین ترتیب کلیه دسترسی های خارجی و غیر مجاز به فایل های زبان پوسته ها و افزونه ها را ممنوع می کنید :
<Files *.po>
deny from all
<Files/>
<Files *.mo>
deny from all
<Files/>
