مفیدترین ترفندهای htaccess برای وردپرس – آیا به دنبال ترفندهای مفید فایل htaccess برای بهینه‌سازی و بهبود عملکرد وردپرس خود هستید؟ فایل .htaccess یک فایل پیکربندی قدرتمند است که به شما امکان می‌دهد کارهای مختلفی را در وب‌سایتتان انجام دهید. در این مقاله، به برخی از مفیدترین ترفندهای .htaccess برای بهره‌برداری از وردپرس می‌پردازیم که می‌توانید بلافاصله آن‌ها را امتحان کنید.

فایل htaccess چیست و چگونه آن را ویرایش کنیم؟

فایل .htaccess وظیفه‌ای فایل پیکربندی برای سرور دارد. این فایل به شما امکان می‌دهد قوانین و تنظیماتی را برای سرور خود تعریف کنید تا وب‌سایت شما مطابق با آن‌ها عمل کند.

در وردپرس، فایل .htaccess برای ایجاد ساختار مناسب URL برای بهبود سئو استفاده می‌شود. با این حال، این فایل قادر به انجام وظایف بسیار بیشتری نیز است.

این فایل در پوشه اصلی وب‌سایت وردپرس شما قرار دارد. برای ویرایش این فایل، شما باید از طریق یک سرویس FTP به وب‌سایت خود متصل شوید. این اتصال امکان دسترسی و ویرایش فایل .htaccess را فراهم می‌کند.

بطور مهم، قبل از ویرایش فایل htaccess، حتماً یک نسخه پشتیبان از آن را روی رایانه‌تان ذخیره کنید. این کار بسیار اهمیت دارد، زیرا در صورتی که هرگونه مشکل یا خرابی رخ دهد، می‌توانید از نسخه پشتیبان به عنوان یک وضعیت قبلی استفاده کنید.

با این توصیفات، اکنون به ترفندهای مفید htaccess برای بهبود وردپرس خواهیم پرداخت که می‌توانید آن‌ها را امتحان کنید. این ترفندها می‌توانند به بهبود امنیت، کارایی و عملکرد وردپرس شما کمک کنند.

1. از ناحیه مدیریت وردپرس خود محافظت کنید

می‌توانید از htaccess. برای محافظت از ناحیه مدیریت وردپرس خود با محدود کردن دسترسی به آدرس‌های IP منتخب استفاده کنید. به سادگی این کد را کپی کرده و در فایل htaccess خود قرار دهید:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic

order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx

فراموش نکنید که مقادیر xx را با آدرس IP خود جایگزین کنید. اگر از بیش از یک آدرس IP برای دسترسی به اینترنت استفاده می کنید، مطمئن شوید که آنها را نیز اضافه کنید.

2. پوشه مدیریت وردپرس را با رمز عبور محافظت کنید

اگر دسترسی به سایت وردپرس خود را از چندین مکان و نقطه اتصال به اینترنت دارید، ممکن است محدود کردن دسترسی با استفاده از آدرس‌های IP برای شما مناسب نباشد. در این صورت، می‌توانید از فایل .htaccess برای افزودن رمز عبور اضافی به ناحیه مدیریت وردپرس خود استفاده کنید.

برای این کار، ابتدا باید یک فایل با نام .htpasswds ایجاد کنید. از اینترنت استفاده کنید تا با استفاده از یک ژنراتور آنلاین، این فایل را بسازید.

فایل .htpasswds را در پوشه‌ای خارج از پوشه‌ی وب یا در پوشه /public_html/ قرار دهید. بهتر است از مسیری مانند زیر استفاده کنید:

/home/user/.htpasswds/public_html/wp-admin/passwd/

سپس یک فایل .htaccess ایجاد کنید و آن را در داخل پوشه /wp-admin/ آپلود کنید. سپس کد‌های زیر را در این فایل .htaccess قرار دهید:

AuthType Basic
AuthName "Restricted Area"
AuthUserFile /home/user/.htpasswds/public_html/wp-admin/passwd
Require valid-user

این تنظیمات باعث افزودن یک لایه اضافی از امنیت به ناحیه مدیریت وردپرس شما می‌شود. هر کسی که می‌خواهد به این ناحیه دسترسی پیدا کند، باید نام کاربری و رمز عبور اضافی را وارد کند.

با این ترفند، امنیت ناحیه مدیریت وردپرس شما افزایش می‌یابد و فقط افرادی که اطلاعات ورود صحیح دارند، می‌توانند به این بخش دسترسی پیدا کنند.

3. مرور دایرکتوری را غیرفعال کنید.

توصیه‌های امنیتی متعددی در مورد وردپرس وجود دارد و یکی از این توصیه‌ها غیرفعال کردن مرور دایرکتوری است. این کار به این معناست که امکان مرور و دسترسی مستقیم به ساختار دایرکتوری‌ها و فایل‌های سایت شما از طریق مرورگر محدود می‌شود. این مورد به افزایش امنیت و جلوگیری از اطلاعات حساس شما در اختیار هکرها کمک می‌کند.

برای غیرفعال کردن مرور دایرکتوری در وب‌سایت خود، باید خطوط زیر را به فایل .htaccess خود اضافه کنید:

Options -Indexes

این تنظیمات باعث می‌شود که در صورتی که کاربران یک دایرکتوری خاص را بدون نام فایل مشخصی در مرورگر خود وارد کنند، سرور به آن‌ها دسترسی ندهد و لیست محتوای دایرکتوری نمایش داده نشود.

با افزودن این تنظیمات به فایل .htaccess، امنیت وب‌سایت وردپرس شما افزایش می‌یابد و اطلاعات حساس شما از دسترسی‌های غیرمجاز محافظت می‌شود.

4. اجرای PHP را در برخی از فهرست های وردپرس غیرفعال کنید

گاهی هکرها به سایت‌های وردپرس نفوذ کرده و درب پشتی (Backdoor) نصب می‌کنند. این فایل‌های درپشتی به‌طور معمول با نام‌هایی که به نظر می‌رسند مرتبط با وردپرس هستند، در پوشه‌های مختلف مانند /wp-includes/ یا /wp-content/uploads/ پنهان می‌شوند. بهترین راه‌ها برای بهبود امنیت وردپرس، پیشگیری از اینگونه وقوع اتفاقات است.

یک راه ساده‌تر برای بهبود امنیت وردپرس، غیرفعال کردن اجرای فایل‌های PHP در برخی از فهرست‌های وردپرس است. برای این کار، می‌توانید از فایل .htaccess استفاده کنید. ابتدا یک فایل خالی با نام .htaccess در رایانه‌تان ایجاد کنید و سپس کد زیر را در آن قرار دهید:

<Files *.php>
deny from all
</Files>

سپس فایل .htaccess را در دایرکتوری‌های /wp-content/uploads/ و /wp-includes/ و هر پوشه‌ای که تشکیل دهنده قسمت‌های حساس وردپرس باشند، آپلود کنید.

این کد باعث می‌شود که هر فایل با پسوند .php در داخل این پوشه‌ها قابل اجرا نشود و دسترسی به آن‌ها محدود گردد.

با انجام این تنظیمات، امنیت وردپرس شما افزایش می‌یابد و خطر نفوذ از طریق درب‌های پشتی کاهش می‌یابد. برای اطلاعات بیشتر، می‌توانید آموزش‌های مرتبط با غیرفعال کردن اجرای PHP در فهرست‌های خاص وردپرس را مطالعه کنید.

5. از فایل wp-config.php پیکربندی وردپرس خود محافظت کنید

بدون شک، یکی از مهمترین فایل‌ها در دایرکتوری اصلی وب‌سایت وردپرس، فایل wp-config.php است. این فایل حاوی اطلاعات حساس مرتبط با پایگاه داده وردپرس شما و تنظیمات اتصال به آن است.

برای حفاظت از امنیت فایل wp-config.php در برابر دسترسی غیرمجاز، به سادگی می‌توانید این کد را به فایل .htaccess اضافه کنید:

<files wp-config.php>
order allow,deny
deny from all
</files>

این تنظیمات باعث می‌شود که دسترسی به فایل wp-config.php برای همه‌ی کاربران ممنوع شود و فقط سرور مجاز به دسترسی به این فایل باشد.

با افزودن این تنظیمات به فایل .htaccess، امنیت اطلاعات حساس و تنظیمات شما افزایش می‌یابد و احتمال دسترسی غیرمجاز به فایل wp-config.php کاهش می‌یابد. این یکی از اقدامات مهم در جهت بهبود امنیت وردپرس شماست.

6. راه اندازی 301 تغییر مسیر از طریق فایل htaccess

استفاده از ریدایرکت 301 بهترین روش برای اطلاع رسانی به موتورهای جستجو و کاربران است که یک محتوا به یک مکان جدید منتقل شده است. اگر قصد دارید ریدایرکت‌های 301 خود را بر اساس مطالب در وردپرس مدیریت کنید، می‌توانید راهنمای ما را در مورد نحوه تنظیم تغییر مسیرها در وردپرس مطالعه کنید.

از طرف دیگر، اگر قصد دارید به سرعت تغییر مسیرها را اجرا کنید، کاری که باید انجام دهید، این است که این کد را به فایل .htaccess خود اضافه کنید:

apache
RewriteEngine On
RewriteRule ^old-url$ /new-url [R=301,L]

در این کد، “old-url” باید آدرس قدیمی مطلب یا صفحه باشد که می‌خواهید به “new-url” منتقل شود. این کد باعث انجام یک ریدایرکت 301 از آدرس قدیمی به آدرس جدید می‌شود.

با افزودن این کد به فایل .htaccess، تغییر مسیرها به سرعت اعمال می‌شود و کاربران به مکان جدید هدایت می‌شوند. این روش مناسبی برای تغییر سریع آدرس‌ها و اجرای تغییرات در وب‌سایت شماست.

7. آدرس های IP مشکوک را ممنوع کنید

آیا از یک آدرس IP خاص درخواست های غیرمعمول زیادی برای وب سایت خود مشاهده می کنید؟ شما به راحتی می توانید با مسدود کردن آدرس IP در فایل htaccess خود، آن درخواست ها را مسدود کنید.

کد زیر را به فایل htaccess خود اضافه کنید:

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>

فراموش نکنید که xx را با آدرس IP که می خواهید مسدود کنید جایگزین کنید.

8. Hotlinking تصویر در وردپرس را با استفاده از htaccess غیرفعال کنید

وب‌سایت‌های دیگر که مستقیماً به تصاویر و منابع سایت وردپرس شما لینک می‌دهند، می‌توانند منابع و پهنای باند شما را مصرف کرده و به اشکالی برای وب‌سایتتان منجر شوند. این مشکل به ویژه برای وب‌سایت‌های کوچکتر ممکن است مشکل‌ساز باشد. اگر وب‌سایتی با ترافیک بالا یا تعداد زیادی تصویر دارید، این موضوع به یک نگرانی مهم تبدیل می‌شود.

برای جلوگیری از اتصال مستقیم و سرقت پهنای باند، می‌توانید با اضافه کردن کد زیر به فایل .htaccess خود، از افراد و وب‌سایت‌ها جلوگیری کنید که تصاویر شما را مستقیماً لینک کنند:

apache
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourwebsite.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ - [NC,F,L]

در این کد، “yourwebsite.com” باید با آدرس دقیق وب‌سایت شما جایگزین شود. این کد باعث می‌شود که تصاویر با پسوندهای jpg، jpeg، png و gif از سایر دامنه‌ها به‌جز وب‌سایت شما مسدود شوند.
با افزودن این کد به فایل .htaccess، می‌توانید از مصرف نادرست پهنای باند جلوگیری کنید و منابع وب‌سایتتان را بهبود دهید.

9. از htaccess در برابر دسترسی غیرمجاز محافظت کنید

همانطور که مشاهده کردید کارهای زیادی وجود دارد که می توان با استفاده از فایل htaccess. با توجه به قدرت و کنترلی که بر روی وب سرور شما دارد، مهم است که از آن در برابر دسترسی غیرمجاز هکرها محافظت کنید. به سادگی کد زیر را به فایل .htaccess خود اضافه کنید:

<files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

10. افزایش حجم آپلود فایل در وردپرس

برای محدودیت حجم آپلود فایل در وردپرس، راه‌های مختلفی وجود دارد، اما تعدادی از این روش‌ها برای کاربرانی که از میزبانی اشتراکی استفاده می‌کنند کارایی ندارند.

یکی از راه‌هایی که برای بسیاری از کاربران میزبانی اشتراکی مؤثر بوده است، افزودن کد زیر به فایل .htaccess است:

apache
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300

در این کد، مقادیر حجم آپلود (upload_max_filesize)، حجم پست (post_max_size)، زمان اجرا حداکثر (max_execution_time) و زمان ورود داده حداکثر (max_input_time) افزایش می‌یابد. این تغییرات به کاربران امکان می‌دهد فایل‌های بزرگ‌تر را آپلود کنند.

با افزودن این کد به فایل .htaccess، محدودیت حجم آپلود برای کاربران میزبانی اشتراکی افزایش می‌یابد و امکان آپلود فایل‌های بزرگ‌تر را فراهم می‌کند.

11. غیرفعال کردن دسترسی به فایل XML-RPC با استفاده از htaccess

هر نصب وردپرس همراه با یک فایل به نام xmlrpc.php است که اجازه ارتباط بین برنامه‌های شخص ثالث و وب‌سایت وردپرس را می‌دهد. اما بسیاری از کارشناسان امنیت وردپرس توصیه می‌کنند که اگر از هیچ برنامه‌ی شخص ثالثی استفاده نمی‌کنید، این ویژگی را غیرفعال کنید.

برای انجام این کار، می‌توانید از راه‌های مختلفی استفاده کنید و یکی از روش‌ها افزودن کد زیر به فایل .htaccess است:

# Disable XML-RPC
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

با اضافه کردن این کد به فایل .htaccess، اجازه دسترسی به فایل xmlrpc.php از سایر منابع مسدود می‌شود و ویژگی ارتباط با برنامه‌های شخص ثالث غیرفعال می‌شود.

این تنظیمات به افزایش امنیت وب‌سایت وردپرس شما کمک می‌کند و از احتمال نقاط ضعف امنیتی مرتبط با فایل xmlrpc.php جلوگیری می‌کند.

12. مسدود کردن اسکن نویسنده در وردپرس

تکنیک معمولی در حملات Brute Force، شامل اجرای اسکن نام‌های نویسنده در یک وب‌سایت وردپرس و تلاش برای شکستن رمزهای عبور آن نام‌های کاربری است.

با افزودن کد زیر به فایل .htaccess خود، می‌توانید این اسکن‌ها را مسدود کنید:

# Block author scans
RewriteEngine On
RewriteCond %{QUERY_STRING} (author=d+) [NC]
RewriteRule ^ - [F]

با این کد، اگر کسی سعی کند از طریق اسکن نام‌های نویسنده به وب‌سایت شما دسترسی پیدا کند، دسترسی او به سایت مسدود خواهد شد.

این اقدام به افزایش امنیت وب‌سایت و جلوگیری از حملات Brute Force کمک می‌کند.

امیدواریم این مقاله به شما در یادگیری مفیدترین ترفندهای htaccess برای وردپرس کمک کرده باشد. همچنین ممکن است بخواهید راهنمای امنیتی گام به گام نهایی وردپرس ما را برای مبتدیان ببینید.