با سلام خدمت شما کاربران عزیز ، امروز میخواهیم به درخواست برخی کاربران 12 هک کاربردی فایل htaccess در وردپرس را برای شما بازگو کنیم ، واژه هک در اینجا به معنای ابزار های کاربردی و یا کد های کاربردی که وابسته به این فایل سیستمی در هاست های ما است ، میباشد . در ادامه مطلب این موارد بازگو شده اند .
12 هک کاربردی فایل htaccess در وردپرس
فایل htaccess چیست ؟
فایل htaccess یک فایل پیکربندی سروری میباشد . این فایل ، این اجازه را به شما میدهد که یک سری شرایط و وظایف را برای سرور مشخص کنید تا در قبال سایت شما انجام دهد . وردپرس از فایل htaccess برای دادن آدرس های سئو پسند استفاده میکند .البته نیاز هست این رو بگیم که کارایی این فایل بسیار بالا است .
فایل htaccess در پوشه ریشه سایت شما قرار دارد که میتوانید آن را پیدا کنید .
قبل از این که اقدام به ویرایش کردن این فایل کنید شدیدا توصیه میشود از فایل خود یک کپی تهیه کرده و بر روی سیستم خود قرار دهید تا در صورت بروز مشکل بتوانید آن را بازیابی کنید . حال میرویم سراغ کاربرد های این فایل سیستمی :
1- محافظت از پوشه مدیریت وردپرس شما
شما میتوانید از پوشه wp-admin خود که مربوط به مدیریت وردپرس میباشد در مقابل ورود افراد متفرقه که ممکن است مزاحم باشند یا هکر محافظت نمایید .برای نمونه میتوانید کد زیر را درون فایل htaccess قرار دهید :
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist admin IP address
allow from xx.xx.xx.xxx
# whitelist writer IP address
allow from xx.xx.xx.xxx
</LIMIT>
حتما توجه کنید که به جای xx.xx.xx.xx آدرس آی پی اینترنت خود را قرار دهید و نکته بعدی این که این روش به درد افرادی میخورد که دارای آی پی ثابت باشند .
2- قرار دادن رمز بر روی پوشه مدیریت وردپرس
این روش مناسب افرادی میباشد که دارای آی پی ثابت نمیباشند و با این روش میتوانند بر روی پوشه مدیریت خود رمز قرار دهند تا از ورود افراد مزاحم به آدرس و پنل مدیریتی خود جلوگیری کنند . ابتدا شما باید فایل رمز عبور برای پوشه مربوطه ایجاد کرده که از طریق این آدرس میتوانید این کار را انجام دهید .
سپس این فایل رو در جایی که در دسترس افراد مزاحم نباشد آپلود کنید به عنوان مثال قبل از پوشه public_html ، در نهایت کد زیر را درون htaccess قرار دهید
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
توجه داشته باشید خط دوم مربوط به آدرس قرار گیری فایل مورد نظر میباشد پس آن را با آدرس مورد نظر خود تغییر دهید .
3- جلوگیری از مرور کردن پوشه های شما
در بعضی از هاست ها شما زمانی که یک پوشه دارید و فایل ایندکسی درون آن پوشه قرار نداده اید کاربران با وارد کردن آدرس آن پوشه میتوانند محتویات آن پوشه را مشاهده کنند و فایل های شما را به سرقت ببرند . مانند تصویر زیر :
برای غیر فعال کردن این حالت کافی است کد زیر را در فایل htaccess قرار دهید :
Options -Indexes
4- غیر فعال کردن اجرای فایل های PHP
بعضی اوقات هکر ها در سایت شما یک راه نفوذ و دور زدن و ورود به سایت شما پیدا میکنند که اصطلاحا به آن بکدور یا در پشتی گفته میشود . اکثر مورد در پوشه های wp-includes و /wp-content/uploads/ رخ میدهد .
یک راه آسان برای جلوگیری از اجرای فایل های پی اچ پی در این پوشه ها استفاده از کد زیر در فایل htaccess میباشد :
<Files *.php>
deny from all
</Files>
در این قسمت 4 مورد رو بهتون گفتیم که ان شاء الله در قسمت های آتی بقیه موارد رو هم خدمتتون عرض خواهیم کرد .