مفیدترین ترفندهای htaccess برای وردپرس – آیا به دنبال ترفندهای مفید فایل htaccess برای بهینهسازی و بهبود عملکرد وردپرس خود هستید؟ فایل .htaccess یک فایل پیکربندی قدرتمند است که به شما امکان میدهد کارهای مختلفی را در وبسایتتان انجام دهید. در این مقاله، به برخی از مفیدترین ترفندهای .htaccess برای بهرهبرداری از وردپرس میپردازیم که میتوانید بلافاصله آنها را امتحان کنید.
فایل htaccess چیست و چگونه آن را ویرایش کنیم؟
فایل .htaccess وظیفهای فایل پیکربندی برای سرور دارد. این فایل به شما امکان میدهد قوانین و تنظیماتی را برای سرور خود تعریف کنید تا وبسایت شما مطابق با آنها عمل کند.
در وردپرس، فایل .htaccess برای ایجاد ساختار مناسب URL برای بهبود سئو استفاده میشود. با این حال، این فایل قادر به انجام وظایف بسیار بیشتری نیز است.
این فایل در پوشه اصلی وبسایت وردپرس شما قرار دارد. برای ویرایش این فایل، شما باید از طریق یک سرویس FTP به وبسایت خود متصل شوید. این اتصال امکان دسترسی و ویرایش فایل .htaccess را فراهم میکند.
بطور مهم، قبل از ویرایش فایل htaccess، حتماً یک نسخه پشتیبان از آن را روی رایانهتان ذخیره کنید. این کار بسیار اهمیت دارد، زیرا در صورتی که هرگونه مشکل یا خرابی رخ دهد، میتوانید از نسخه پشتیبان به عنوان یک وضعیت قبلی استفاده کنید.
مباحثی که در این آموزش به آنها میپردازیم شامل موارد زیر است:
- فایل htaccess چیست و چگونه آن را ویرایش کنیم؟
- 1. از ناحیه مدیریت وردپرس خود محافظت کنید
- 2. پوشه مدیریت وردپرس را با رمز عبور محافظت کنید
- 3. مرور دایرکتوری را غیرفعال کنید.
- 4. اجرای PHP را در برخی از فهرست های وردپرس غیرفعال کنید
- 5. از فایل wp-config.php پیکربندی وردپرس خود محافظت کنید
- 6. راه اندازی 301 تغییر مسیر از طریق فایل htaccess
- 7. آدرس های IP مشکوک را ممنوع کنید
- 8. Hotlinking تصویر در وردپرس را با استفاده از htaccess غیرفعال کنید
- 9. از htaccess در برابر دسترسی غیرمجاز محافظت کنید
- 10. افزایش حجم آپلود فایل در وردپرس
- 11. غیرفعال کردن دسترسی به فایل XML-RPC با استفاده از htaccess
- 12. مسدود کردن اسکن نویسنده در وردپرس
با این توصیفات، اکنون به ترفندهای مفید htaccess برای بهبود وردپرس خواهیم پرداخت که میتوانید آنها را امتحان کنید. این ترفندها میتوانند به بهبود امنیت، کارایی و عملکرد وردپرس شما کمک کنند.
1. از ناحیه مدیریت وردپرس خود محافظت کنید
میتوانید از htaccess. برای محافظت از ناحیه مدیریت وردپرس خود با محدود کردن دسترسی به آدرسهای IP منتخب استفاده کنید. به سادگی این کد را کپی کرده و در فایل htaccess خود قرار دهید:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx
فراموش نکنید که مقادیر xx را با آدرس IP خود جایگزین کنید. اگر از بیش از یک آدرس IP برای دسترسی به اینترنت استفاده می کنید، مطمئن شوید که آنها را نیز اضافه کنید.
2. پوشه مدیریت وردپرس را با رمز عبور محافظت کنید
اگر دسترسی به سایت وردپرس خود را از چندین مکان و نقطه اتصال به اینترنت دارید، ممکن است محدود کردن دسترسی با استفاده از آدرسهای IP برای شما مناسب نباشد. در این صورت، میتوانید از فایل .htaccess برای افزودن رمز عبور اضافی به ناحیه مدیریت وردپرس خود استفاده کنید.
برای این کار، ابتدا باید یک فایل با نام .htpasswds ایجاد کنید. از اینترنت استفاده کنید تا با استفاده از یک ژنراتور آنلاین، این فایل را بسازید.
فایل .htpasswds را در پوشهای خارج از پوشهی وب یا در پوشه /public_html/ قرار دهید. بهتر است از مسیری مانند زیر استفاده کنید:
/home/user/.htpasswds/public_html/wp-admin/passwd/
سپس یک فایل .htaccess ایجاد کنید و آن را در داخل پوشه /wp-admin/ آپلود کنید. سپس کدهای زیر را در این فایل .htaccess قرار دهید:
AuthType Basic AuthName "Restricted Area" AuthUserFile /home/user/.htpasswds/public_html/wp-admin/passwd Require valid-user
این تنظیمات باعث افزودن یک لایه اضافی از امنیت به ناحیه مدیریت وردپرس شما میشود. هر کسی که میخواهد به این ناحیه دسترسی پیدا کند، باید نام کاربری و رمز عبور اضافی را وارد کند.
با این ترفند، امنیت ناحیه مدیریت وردپرس شما افزایش مییابد و فقط افرادی که اطلاعات ورود صحیح دارند، میتوانند به این بخش دسترسی پیدا کنند.
3. مرور دایرکتوری را غیرفعال کنید.
توصیههای امنیتی متعددی در مورد وردپرس وجود دارد و یکی از این توصیهها غیرفعال کردن مرور دایرکتوری است. این کار به این معناست که امکان مرور و دسترسی مستقیم به ساختار دایرکتوریها و فایلهای سایت شما از طریق مرورگر محدود میشود. این مورد به افزایش امنیت و جلوگیری از اطلاعات حساس شما در اختیار هکرها کمک میکند.
برای غیرفعال کردن مرور دایرکتوری در وبسایت خود، باید خطوط زیر را به فایل .htaccess خود اضافه کنید:
Options -Indexes
این تنظیمات باعث میشود که در صورتی که کاربران یک دایرکتوری خاص را بدون نام فایل مشخصی در مرورگر خود وارد کنند، سرور به آنها دسترسی ندهد و لیست محتوای دایرکتوری نمایش داده نشود.
با افزودن این تنظیمات به فایل .htaccess، امنیت وبسایت وردپرس شما افزایش مییابد و اطلاعات حساس شما از دسترسیهای غیرمجاز محافظت میشود.
4. اجرای PHP را در برخی از فهرست های وردپرس غیرفعال کنید
گاهی هکرها به سایتهای وردپرس نفوذ کرده و درب پشتی (Backdoor) نصب میکنند. این فایلهای درپشتی بهطور معمول با نامهایی که به نظر میرسند مرتبط با وردپرس هستند، در پوشههای مختلف مانند /wp-includes/ یا /wp-content/uploads/ پنهان میشوند. بهترین راهها برای بهبود امنیت وردپرس، پیشگیری از اینگونه وقوع اتفاقات است.
یک راه سادهتر برای بهبود امنیت وردپرس، غیرفعال کردن اجرای فایلهای PHP در برخی از فهرستهای وردپرس است. برای این کار، میتوانید از فایل .htaccess استفاده کنید. ابتدا یک فایل خالی با نام .htaccess در رایانهتان ایجاد کنید و سپس کد زیر را در آن قرار دهید:
<Files *.php> deny from all </Files>
سپس فایل .htaccess را در دایرکتوریهای /wp-content/uploads/ و /wp-includes/ و هر پوشهای که تشکیل دهنده قسمتهای حساس وردپرس باشند، آپلود کنید.
این کد باعث میشود که هر فایل با پسوند .php در داخل این پوشهها قابل اجرا نشود و دسترسی به آنها محدود گردد.
با انجام این تنظیمات، امنیت وردپرس شما افزایش مییابد و خطر نفوذ از طریق دربهای پشتی کاهش مییابد. برای اطلاعات بیشتر، میتوانید آموزشهای مرتبط با غیرفعال کردن اجرای PHP در فهرستهای خاص وردپرس را مطالعه کنید.
5. از فایل wp-config.php پیکربندی وردپرس خود محافظت کنید
بدون شک، یکی از مهمترین فایلها در دایرکتوری اصلی وبسایت وردپرس، فایل wp-config.php است. این فایل حاوی اطلاعات حساس مرتبط با پایگاه داده وردپرس شما و تنظیمات اتصال به آن است.
برای حفاظت از امنیت فایل wp-config.php در برابر دسترسی غیرمجاز، به سادگی میتوانید این کد را به فایل .htaccess اضافه کنید:
<files wp-config.php> order allow,deny deny from all </files>
این تنظیمات باعث میشود که دسترسی به فایل wp-config.php برای همهی کاربران ممنوع شود و فقط سرور مجاز به دسترسی به این فایل باشد.
با افزودن این تنظیمات به فایل .htaccess، امنیت اطلاعات حساس و تنظیمات شما افزایش مییابد و احتمال دسترسی غیرمجاز به فایل wp-config.php کاهش مییابد. این یکی از اقدامات مهم در جهت بهبود امنیت وردپرس شماست.
6. راه اندازی 301 تغییر مسیر از طریق فایل htaccess
استفاده از ریدایرکت 301 بهترین روش برای اطلاع رسانی به موتورهای جستجو و کاربران است که یک محتوا به یک مکان جدید منتقل شده است. اگر قصد دارید ریدایرکتهای 301 خود را بر اساس مطالب در وردپرس مدیریت کنید، میتوانید راهنمای ما را در مورد نحوه تنظیم تغییر مسیرها در وردپرس مطالعه کنید.
از طرف دیگر، اگر قصد دارید به سرعت تغییر مسیرها را اجرا کنید، کاری که باید انجام دهید، این است که این کد را به فایل .htaccess خود اضافه کنید:
apache RewriteEngine On RewriteRule ^old-url$ /new-url [R=301,L]
در این کد، “old-url” باید آدرس قدیمی مطلب یا صفحه باشد که میخواهید به “new-url” منتقل شود. این کد باعث انجام یک ریدایرکت 301 از آدرس قدیمی به آدرس جدید میشود.
با افزودن این کد به فایل .htaccess، تغییر مسیرها به سرعت اعمال میشود و کاربران به مکان جدید هدایت میشوند. این روش مناسبی برای تغییر سریع آدرسها و اجرای تغییرات در وبسایت شماست.
7. آدرس های IP مشکوک را ممنوع کنید
آیا از یک آدرس IP خاص درخواست های غیرمعمول زیادی برای وب سایت خود مشاهده می کنید؟ شما به راحتی می توانید با مسدود کردن آدرس IP در فایل htaccess خود، آن درخواست ها را مسدود کنید.
کد زیر را به فایل htaccess خود اضافه کنید:
<Limit GET POST> order allow,deny deny from xxx.xxx.xx.x allow from all </Limit>
فراموش نکنید که xx را با آدرس IP که می خواهید مسدود کنید جایگزین کنید.
8. Hotlinking تصویر در وردپرس را با استفاده از htaccess غیرفعال کنید
وبسایتهای دیگر که مستقیماً به تصاویر و منابع سایت وردپرس شما لینک میدهند، میتوانند منابع و پهنای باند شما را مصرف کرده و به اشکالی برای وبسایتتان منجر شوند. این مشکل به ویژه برای وبسایتهای کوچکتر ممکن است مشکلساز باشد. اگر وبسایتی با ترافیک بالا یا تعداد زیادی تصویر دارید، این موضوع به یک نگرانی مهم تبدیل میشود.
برای جلوگیری از اتصال مستقیم و سرقت پهنای باند، میتوانید با اضافه کردن کد زیر به فایل .htaccess خود، از افراد و وبسایتها جلوگیری کنید که تصاویر شما را مستقیماً لینک کنند:
apache RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?yourwebsite.com [NC] RewriteRule .(jpg|jpeg|png|gif)$ - [NC,F,L]
در این کد، “yourwebsite.com” باید با آدرس دقیق وبسایت شما جایگزین شود. این کد باعث میشود که تصاویر با پسوندهای jpg، jpeg، png و gif از سایر دامنهها بهجز وبسایت شما مسدود شوند.
با افزودن این کد به فایل .htaccess، میتوانید از مصرف نادرست پهنای باند جلوگیری کنید و منابع وبسایتتان را بهبود دهید.
9. از htaccess در برابر دسترسی غیرمجاز محافظت کنید
همانطور که مشاهده کردید کارهای زیادی وجود دارد که می توان با استفاده از فایل htaccess. با توجه به قدرت و کنترلی که بر روی وب سرور شما دارد، مهم است که از آن در برابر دسترسی غیرمجاز هکرها محافظت کنید. به سادگی کد زیر را به فایل .htaccess خود اضافه کنید:
<files ~ "^.*.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
10. افزایش حجم آپلود فایل در وردپرس
برای محدودیت حجم آپلود فایل در وردپرس، راههای مختلفی وجود دارد، اما تعدادی از این روشها برای کاربرانی که از میزبانی اشتراکی استفاده میکنند کارایی ندارند.
یکی از راههایی که برای بسیاری از کاربران میزبانی اشتراکی مؤثر بوده است، افزودن کد زیر به فایل .htaccess است:
apache php_value upload_max_filesize 64M php_value post_max_size 64M php_value max_execution_time 300 php_value max_input_time 300
این مطالب نیز برای شما مفید خواهند بود:
در این کد، مقادیر حجم آپلود (upload_max_filesize)، حجم پست (post_max_size)، زمان اجرا حداکثر (max_execution_time) و زمان ورود داده حداکثر (max_input_time) افزایش مییابد. این تغییرات به کاربران امکان میدهد فایلهای بزرگتر را آپلود کنند.
با افزودن این کد به فایل .htaccess، محدودیت حجم آپلود برای کاربران میزبانی اشتراکی افزایش مییابد و امکان آپلود فایلهای بزرگتر را فراهم میکند.
11. غیرفعال کردن دسترسی به فایل XML-RPC با استفاده از htaccess
هر نصب وردپرس همراه با یک فایل به نام xmlrpc.php است که اجازه ارتباط بین برنامههای شخص ثالث و وبسایت وردپرس را میدهد. اما بسیاری از کارشناسان امنیت وردپرس توصیه میکنند که اگر از هیچ برنامهی شخص ثالثی استفاده نمیکنید، این ویژگی را غیرفعال کنید.
برای انجام این کار، میتوانید از راههای مختلفی استفاده کنید و یکی از روشها افزودن کد زیر به فایل .htaccess است:
# Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>
با اضافه کردن این کد به فایل .htaccess، اجازه دسترسی به فایل xmlrpc.php از سایر منابع مسدود میشود و ویژگی ارتباط با برنامههای شخص ثالث غیرفعال میشود.
این تنظیمات به افزایش امنیت وبسایت وردپرس شما کمک میکند و از احتمال نقاط ضعف امنیتی مرتبط با فایل xmlrpc.php جلوگیری میکند.
12. مسدود کردن اسکن نویسنده در وردپرس
تکنیک معمولی در حملات Brute Force، شامل اجرای اسکن نامهای نویسنده در یک وبسایت وردپرس و تلاش برای شکستن رمزهای عبور آن نامهای کاربری است.
با افزودن کد زیر به فایل .htaccess خود، میتوانید این اسکنها را مسدود کنید:
# Block author scans RewriteEngine On RewriteCond %{QUERY_STRING} (author=d+) [NC] RewriteRule ^ - [F]
با این کد، اگر کسی سعی کند از طریق اسکن نامهای نویسنده به وبسایت شما دسترسی پیدا کند، دسترسی او به سایت مسدود خواهد شد.
این اقدام به افزایش امنیت وبسایت و جلوگیری از حملات Brute Force کمک میکند.
امیدواریم این مقاله به شما در یادگیری مفیدترین ترفندهای htaccess برای وردپرس کمک کرده باشد. همچنین ممکن است بخواهید راهنمای امنیتی گام به گام نهایی وردپرس ما را برای مبتدیان ببینید.