افزایش امنیت در وردپرس (1)

1. 1. مسدود کردن ربات مخرب :

      یکی از بهترین روش برای مسدود سازی روبات یا افراد هکر برای دسترسی نداشتن به وبسایت و روت هاست این مورد از امنیت میباشد که با استفاده از کد زیر میتوانید این کار را انجام دهید لازم به ذکر است که ای پی ربات یا شخص در دسترس باشد .
      ابتدا وارد روت هاست خود شوید . در هاست سی پنل روت منظور داخل پوشه public_html   و روت در هاست پلسک پوشه  httpdocs است .
      فایلی به نام htaccess.  را باز کنید .( در صورتی که این فایل را پیدا نکردید دو حالت دارد ، یا مخفی است و یا اصلا ساخته نشده ، در سی پنل بالای صفحه سمت راست گزینه  setting  را بزنید و تیک گزینه Show Hidden Files (dotfiles)  را بزنید ،در صورتی که با وجود این تیک باز هم فایل htaccess. را نیافتید. باید آن را ایجاد کنید بدین صورت که در بالای صفحه سمت چپ روی گزینه file + کلیک کنید نام را مطابق تصویر وارد کرده گزینه create new file  را کلیک کنید . فایل شما ساخته شد حال با کلیک روی آن فایل را ادیت میکنیم و کد های زیر را در آن قرار داد و ذخیره کنید.

      

      # به جای IP_ADDRESS آدرس آی پی ربات را قرار دهید
      <Limit GET POST>
      order allow,deny
      deny from IP_ADDRESS_1
      deny from IP_ADDRESS_2
      allow from all
      </Limit>

   2. غیر فعال کردن دایرکتوری مرورگر‌ :

      یکی از نقص های مهم امنیتی در یک وبسایت وردپرسی

      به طور پیشفرض در وب سرویس آپاچی دیدن دایرکتوری از فایل ها میباشد . به این معنی که تمام فایل ها و پوشه ها در داخل دایرکتوری ریشه روت (گاهی در پوشه های مختلف) قابل دسترسی برای کابران عادی میباشد. بطور مثال فایل های : قالب وردپرس , افزونه وردپرس , و فایل ها آپلودی در دایرکتوری wp-content قرار دارند .
      برای از دسترس خارج کردن این بخش کافیه کد زیر را در فایل htaccess. قرار دهید :

      # غیر فعال کردن نمایش دایرکتوری وردپرس

      Options All –Indexes
      

   3. افزایش امنیت پوشه wp-includes

      پوشه یا دایرکتوری wp-includes  (هسته اصلی وردپرس) مکان قرارگیری فایل های مهم وردپرس میباشد . با جلوگیری از دسترسی های غیرمجاز به این پوشه ، می توانید جلوی سو استفاده های احتمالی از محتویات آن را بگیرید .

      برای افزایش امنیت پوشه wp-includes کد زیر را در فایل .htaccess قرار دهید .

      # مسدود سازی پوشه wp-include
      RewriteEngine On
      RewriteBase /
      RewriteRule ^wp-admin/includes/ – [F,L]
      RewriteRule !^wp-includes/ – [S=3]
      RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
      RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
      RewriteRule ^wp-includes/theme-compat/ – [F,L]

   4. مسدود کردن دسترسی افراد به صفحه ورود به پیشخوان وردپرس

      پوشه wp-admin که شامل فایل های مورد نیاز برای اجرای پیشخوان وردپرس میبشاد برای اغلب بازدید کنندگان دسترسی به داشبورد نیاز نمیباشد. مگر میخواهند ثبت نام کنند .
      یک اقدام امنیتی مطلوب که با فعال کردن چند آی پی به کاربران دسترسی به پوشه wp-admin یا همان پیشخوان میدهید .
      این قطعه کد اجازه میدهد تا تنها به کاربرانی اجازه ورود به پیشخوان وردپرس دهید که آی پی آنها در فایل htaccess درج شده باشد .

      نکته : یک فایل به نام htaccess. در پوشه wp-admin خود ایجاد کنید و کد زیر را درون آن قرار دهید . اگر این کد در فایل htaccess. روت اصلی شما قرار بگیرد دسترسی برای همگان جز چند آی پی درج شده میسر نمیباشد .
      کد زیر را در فایل htaccess. درون پوشه wp-admin قرار دهید :

      # محدودیت دسترسی به پیشخوان
      <Limit GET POST PUT>
      order deny,allow
      deny from all
      allow from 302.143.54.102
      allow from IP_ADDRESS_2
      </Limit>

   5. حفاظت از فایل wp-config.php در htaccess.

      فایل wp-config.php که شامل اعتبار سنجی و حساس ترین بخش وردپرس میباشد که شامل اطلاعات دسترسی به پایگاه داده و سایر داده های حیاطی میباشد که باید دسترسی به این فایل را از عموم خارج کرده تا امنیت فایل wp-config.php و وردپرس شما تامین شود .
      شما میتوانید برای از دسترس خارج کردن این فایل از عموم از کد زیر در فایل htaccess. استفاده کنید.

      # از دسترس خارج کردن فایل wp-confi.php
      <files wp-config.php>
      order allow,deny
      deny from all
      </files>

  و کلام پایانی اضافه کردن این کد ها باعث امن شدن 100% وردپرس نخواهد بود ، یا به عبارتی هیچ وقت امنیت صد در صد وجود ندارد .
برای افزایش امنیت سایت خود میتوانید با ما تماس بگیرید .