15 مقتطفات .htaccess مفيدة لموقع وورد الخاص بك
لدي ملف htaccess جيد التهيئة أمر بالغ الأهمية إذا كنت تريد زيادة الأمن و تقليل نقاط الضعف على موقع وورد الخاص بك. عادة ، الهدف الرئيسي من إنشاء ملف. htaccess مخصص هو منع اختراق موقعك ، ولكنه أيضًا وسيلة ممتازة للتعامل مع عمليات إعادة التوجيه وإدارة المهام المتعلقة بذاكرة التخزين المؤقت.
.htaccess هو ملف الضبط المستخدمة على خوادم الويب اباتشي. معظم المواقع وورد تعمل على خادم اباتشي, على الرغم من أن جزء صغير هو مدعوم من Nginx. في هذه المقالة ، يمكنك العثور على مجموعة من مقتطفات كود htaccess, يمكنك استخدام معظمها لتأمين موقع الويب الخاص بك بينما يقوم الباقي بتنفيذ ميزات مفيدة أخرى.
لا تنسى ذلك نسخ احتياطي ملف htaccess قبل تحريرها بحيث يمكنك دائما العودة إلى الإصدار السابق إذا حدث خطأ ما.
وإذا كنت شخصًا لا يلمس ملفات التكوين ، فأنا أوصيك بذلك الأمن ضد الرصاص البرنامج المساعد وهو الأكثر موثوقية (وربما الأقدم) مجانا. htaccess الأمن المساعد في السوق.
قم بإنشاء WP .htaccess الافتراضي
.htaccess يعمل على أساس لكل دليل مما يعني أن كل دليل يمكن أن يكون ملف htaccess الخاص به. يمكن أن يحدث بسهولة أن موقع وورد الخاص بك ليس لديه ملف htaccess. إذا لم تعثر على ملف htaccess في دليل الجذر الخاص بك إنشاء ملف نصي فارغ وتسميته ل .هتكس
.
أدناه ، يمكنك العثور على الافتراضي. htaccess يستخدم وورد. كلما احتجت إلى هذا الرمز ، يمكنك البحث عنه بسرعة في WordPress Codex. لاحظ أن هناك .htaccess مختلفة لـ WP Multisite.
# تبدأ ووردRewriteEngine On RewriteBase / RewriteRule ^ index \ .php $ - [L] RewriteCond٪ REQUEST_FILENAME! -f RewriteCond٪ REQUEST_FILENAME! -d RewriteRule. /index.php [L] # نهاية وورد
الخطوط التي تبدأ ب #
هي التعليقات. لا تقم بتحرير أي شيء ما بين السطور # تبدأ وورد
و # نهاية وورد
. أضف قواعد htaccess المخصصة أدناه هذه القواعد الافتراضية.
جميع مقتطفات الشفرات التي يمكنك العثور عليها في هذه المقالة انتقل إلى ملف htaccess الأساسية وجدت في الدليل الجذر الخاص بك.
1. رفض الوصول إلى جميع ملفات. htaccess
الكود أدناه يرفض الوصول لجميع ملفات htaccess التي قمت بتثبيتها في WordPress الخاص بك. بهذه الطريقة يمكنك منع الناس من رؤية تكوينات خادم الويب.
# يرفض الوصول إلى جميع ملفات htaccessطلب السماح ، رفض الرفض من كل إرضاء الكل
2. حماية التكوين WP الخاص بك
ال الفسفور الابيض بين ملف config.php
يحتوي الملف كل ما تبذلونه من تكوينات الفسفور الابيض, بما في ذلك تسجيل الدخول قاعدة البيانات وكلمة المرور. يمكنك إما إنكار ذلك من الجميع أو إعطاء إذن للمشرفين للوصول إليه.
إذا اخترت هذا الأخير تصريح علني ال # السماح من xx.xx.xx.xxx
خط (إزالة #
من بداية السطر) و أدخل عنوان IP الخاص بالمسؤول بدلا من xx.xx.xx.xxx
.
# يحمي الفسفور الابيض التكوينطلب السماح ، رفض # السماح من xx.xx.xx.xxx # السماح من yy.yy.yy.yyy رفض من الكل
3. منع هجوم XML-RPC DDoS
وورد يدعم XML-RPC افتراضيا ، وهو الواجهة التي تجعل النشر عن بعد ممكن. ومع ذلك ، على الرغم من أنها ميزة رائعة ، إلا أنها تعد واحدة من أكبر ثغرات أمنية في WP كما يفعل المتسللون استغلاله لهجمات DDoS.
إذا كنت لا تريد استخدام هذه الميزة ، فمن الأفضل أن تستخدمها فقط تعطيله. تماما كما كان من قبل ، يمكنك إضافة استثناءات عن طريق التعليق ال # السماح من xx.xx.xx.xxx
سطر وإضافة عناوين IP للمشرفين.
# يحمي XML-RPC ، يمنع هجوم DDoSرفض الطلب ، السماح # السماح من xx.xx.xx.xxx # السماح من yy.yy.yy.yyy الرفض من الكل
4. حماية منطقة المشرف الخاص بك
إنها أيضًا فكرة جيدة حماية منطقة المشرف عن طريق منح حق الوصول فقط للمسؤولين. هنا ، لا تنسى ذلك أضف واحدة على الأقل “السماح” استثناء وإلا فلن تتمكن من الوصول إلى المشرف على الإطلاق.
# يحمي منطقة المشرف بواسطة IP AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "التحكم في وصول مسؤول WordPress" AuthType Basicرفض الطلب ، السماح بالرفض من الكل السماح من xx.xx.xx.xxx السماح من yy.yy.yy.yyy
5. منع سرد الدليل
لا تقوم معظم مواقع WordPress بتعطيل سرد الدليل ، مما يعني أن أي شخص يمكنه ذلك تصفح المجلدات والملفات الخاصة بهم, بما في ذلك تحميل الوسائط وملفات البرنامج المساعد. لا حاجة للقول إن هذه ثغرة أمنية هائلة.
أدناه ، يمكنك أن ترى كيف أ قائمة دليل ووردبريس النموذجية تبدو مثل.
لحسن الحظ ، تحتاج فقط سطر واحد من التعليمات البرمجية لمنع هذه الميزة. هذا الكود مقتطف سوف إرجاع رسالة خطأ 403 إلى أي شخص يريد الوصول إلى الدلائل الخاصة بك.
# يمنع الدليل خيارات الإدراج ، مؤشرات
6. منع تعداد اسم المستخدم
إذا تم تمكين الروابط الدائمة لـ WP ، فمن السهل جدًا القيام بذلك تعداد أسماء المستخدمين باستخدام أرشيف المؤلف. يمكن بعد ذلك استخدام أسماء المستخدمين التي تم الكشف عنها (بما في ذلك اسم مستخدم المشرف) هجمات القوة الغاشمة.
أدخل الرمز أدناه في ملف htaccess الخاص بك إلى منع تعداد اسم المستخدم.
# يمنع تعداد اسم المستخدم RewriteCond٪ QUERY_STRING المؤلف = d RewriteRule ^ /؟ [L، R = 301]
7. منع الاطر والبوتات
في بعض الأحيان قد ترغب في ذلك تقييد الوصول من بعض عناوين IP. يوفر مقتطف الشفرة هذا طريقة سهلة لمنع مرسلي البريد العشوائي والبوتات التي تعرفها بالفعل.
# كتل الاطر والبوتاتطلب السماح ، رفض الرفض من xx.xx.xx.xxx الرفض من yy.yy.yy.yyy السماح من الجميع
8. منع صورة hotlinking
وإن لم يكن تهديدا أمنيا, صورة hotlinking لا يزال شيء مزعج. الناس لا فقط استخدم صورك دون إذنك لكنهم حتى يفعلون ذلك على نفقتك الخاصة. باستخدام هذه الأسطر القليلة من التعليمات البرمجية ، يمكنك حماية موقعك من ارتباط الصور الساخن.
# يمنع ارتباط الصورة الساخن RewriteEngine على RewriteCond٪ HTTP_REFERER! ^ $ RewriteCond٪ HTTP_REFERER! ^ http (s)؟: // (www \.)؟ yourwebsite.com [NC] RewriteCond٪ HTTP_REFERER! ^ http ( s)؟: // (www \.)؟ yourwebsite2.com [NC] RewriteRule \. (jpe؟ g؟ | png | gif | ico | pdf | flv | swf | gz) $ - [NC، F، L]
9. تقييد الوصول المباشر إلى ملفات البرنامج المساعد وموضوع PHP
يمكن أن يكون خطيرا إذا كان شخص ما يدعو مباشرة البرنامج المساعد وملفات الموضوع, سواء حدث ذلك عن طريق الخطأ أو عن طريق مهاجم ضار. هذا الكود مقتطف يأتي من شركة أمان موقع Acunetix. يمكنك قراءة المزيد عن مشكلة عدم الحصانة هذه في منشور المدونة الخاص بهم.
# يقيد الوصول إلى ملفات PHP من الدلائل الإضافية والمجلدات RewriteCond٪ REQUEST_URI! ^ / wp-content / plugins / file / to / exclude \ .php RewriteCond٪ REQUEST_URI! ^ / wp-content / plugins / directory / to / exclude / RewriteRule wp-content / plugins / (. * \. php) $ - [R = 404، L] RewriteCond٪ REQUEST_URI! ^ / wp-content / themes / file / to / exclude \ .php RewriteCond٪ REQUEST_URI! ^ / wp-content / theme / directory / to / exclude / RewriteRule wp-content / themes / (. * \. php) $ - [R = 404، L]
10. قم بإعداد عمليات إعادة التوجيه الدائمة
يمكنك بسهولة التعامل مع عمليات إعادة التوجيه الدائمة مع. htaccess. أولا عليك أن تضيف عنوان URL القديم, ثم اتبع عنوان URL جديد يشير إلى الصفحة التي تريد إعادة توجيه المستخدم إليها.
# عمليات إعادة التوجيه الدائمة إعادة التوجيه 301 / oldurl1 / http://yoursite.com/newurl1 إعادة التوجيه 301 / oldurl2 / http://yoursite.com/newurl2
11. إرسال الزوار إلى صفحة الصيانة
لقد كتبنا عن هذه التقنية بالتفصيل هنا. تحتاج إلى صفحة صيانة منفصلة (maintenance.html
في المثال) لهذه القاعدة. htaccess للعمل. يضع هذا الرمز موقع WordPress الخاص بك في وضع الصيانة.
# يعيد توجيه إلى صفحة الصيانةRewriteEngine على RewriteCond٪ REMOTE_ADDR! ^ 123 \ .456 \ .789 \ .000 RewriteCond٪ REQUEST_URI! /maintenance.html$ [NC] RewriteCond٪ REQUEST_URI! \. (jpe؟ g؟ | png | gif ) [NC] RewriteRule. * /maintenance.html [R = 503، L]
12. تقييد كل الوصول إلى الفسفور الابيض ويشمل
ال / الفسفور الابيض بين يتضمن /
مجلد يحتوي على ملفات ووردبريس الأساسية التي هي ضرورية ل CMS للعمل. لا يوجد محتوى أو مكونات إضافية أو سمات أو أي شيء آخر قد يرغب المستخدم في الوصول إليه هنا. لذلك لتشديد الأمن من الأفضل أن تقييد كل الوصول إليها.
# كتل جميع الفسفور الابيض ويشمل المجلدات والملفاتRewriteEngine On RewriteBase / RewriteRule ^ wp-admin / include / - [F، L] RewriteRule! ^ wp-include / - [S = 3] RewriteRule ^ wp-include / [^ /] + \. php $ - [F، L] RewriteRule ^ wp-include / js / tinymce / langs /.+ \. php - [F، L] RewriteRule ^ wp-include / theme-compat / - [F، L]
13. منع البرمجة النصية عبر المواقع (XSS)
مقتطف الشفرة التالي هو من WP Mix وهو يحمي موقعك من بعض هجمات XSS الشائعة, أي حقن البرنامج النصي ومحاولات تعديل المتغيرات العامة وطلب.
# كتل بعض هجمات XSSRewriteCond٪ QUERY_STRING (\ |٪ 3E) [NC، OR] RewriteCond٪ QUERY_STRING GLOBALS (= | \ [| \٪ [0-9A-Z] 0،2) [أو] RewriteCond٪ QUERY_STRING _REQUEST (= | \ [| \٪ [0-9A-Z] 0،2) RewriteRule. * index.php [F، L]
14. تمكين متصفح التخزين المؤقت
كما ذكرت من قبل ، فإن htaccess ليس جيدًا لأسباب أمنية وإعادة توجيه فحسب ، بل يمكن أن يساعدك أيضًا إدارة ذاكرة التخزين المؤقت. مقتطف الكود أدناه هو من Themes Themes وهو يجعل التخزين المؤقت للمتصفح ممكنًا من خلال تمكين الزوار ل حفظ أنواع معينة من الملفات, حتى في المرة القادمة التي يزورون فيها ليس لديهم لتنزيلها مرة أخرى.
# تمكين متصفح التخزين المؤقتExpiresActive On ExpiresByType image / jpg "access 1 year" ExpiresByType image / jpeg "access 1 year" ExpiresByType image / gif "access 1 year" ExpiresByType image / png "access 1 year" ExpiresByType text / css "access 1 year" ExpiresByType text / css "access 1 year pdf "الوصول إلى شهر واحد" ExpiresByType text / x-javascript "access 1 month" ExpiresByType application / x-shockwave-flash "access 1 month" ExpiresByType image / x-icon "access 1 year" ExpiresDefault "access 2 days"
15. إعداد صفحات خطأ مخصصة
يمكنك استخدام. htaccess لإعداد صفحات خطأ مخصصة على موقع WordPress الخاص بك. لهذا الأسلوب للعمل ، تحتاج أيضا إلى إنشاء صفحات خطأ مخصصة (العرف 403.html
, العرف 404.html
في المثال) و تحميلها إلى مجلد الجذر الخاص بك.
يمكنك إعداد صفحة خطأ مخصصة لـ أي رمز حالة خطأ HTTP (رموز الحالة 4XX و 5XX) التي تريدها.
# إعداد صفحات الخطأ المخصصة ErrorDocument 403 /custom-403.html ErrorDocument 404 /custom-404.html