یکی از مهم ترین فایل های وردپرس فایل htaccess. هستش که شما بوسیله اون می تونید کارهای مختلفی رو انجام بدید.با استفاده از این فایل می تونید یک سری دستورات رو اجرا کنید که در محافظت از فایل ها و پوشه های وردرپرس نقش قابل توجهی داره که نهایتا باعث افزایش امنیت سایتتون خواهد شد.
در مرحله اول باید از خود فایل htaccess. محافظت کنیم چون در این فایل کدهای مهمی قرار دارند که قرار از وب سایتمون محافظت بکنه.
برای انجام این کار وارد هاست خودتون بشید و در پوشه ی روت در بخشی که وردپرس خودتون رو نصب کردید فایل htaceess. رو پیدا کرده و جهت ویرایش کردن آن را باز کنید.
<files ".htaccess">
order allow,deny
deny from all
</files>
بعد از اینکه تونستیم امنیت خود فایل htaccess. رو تامین کنیم حالا نوبت به افزایش امنیت فایل های مهم دیکه در وردپرس می رسه.یکی دیگه از مهم ترین فایل های وردپرس فایل wp-config.php هستش که در اون اطلاعات مهمی مثل اتصال به پایگاه داده،نام کاربری و … قرار داره پس خیلی حیاتی هستش که از این فایل حفاظت کنیم.شما با استفاده از کدهای زیر می تونید به این هدفتون برسید.
<files wp-config.php>
order allow,deny
deny from all
</files>توی این پوشه فایل های مورد نیاز پروژه و کتابخانه های آماده قرار می گیره.این پوشه همچنین شامل فایل های CSS مربوط به وردپرس هستش.پس بطور کلی می تونیم بپگیم این پوشه شامل فایل های مورد نیاز هسته ی وردپرس هستش و دستکاری در این پوشه می تونه صدمات جدی به سایتتون وارد کنه پس اهمیت خیلی زیادی داره که از این فایل محافظت کنیم.
# Block the include-only files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>برای جلوگیری از وارد کردن اسکریپت و کدهای مخرب می تونیم با وارد کردن کدهای زیر در فایل htaccess. جلوگیری کنیم.
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).script.(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]اگر از IP شخصی که می دونید قصد آسیب زدن به سایتتون رو داره اطلاع دارید می تونید با قطعه کد زیر و وارد کردن IP اون شخص در کد زیر از ورود اون شخص به وب سایتتون جلوگیری کنید.
order allow,deny
deny from xxx.xxx.xx.x
allow from allبه نوعی از حملات گفته می شه که کاربر رو وادار به کلیک کردن بر روی بخشی از وب سایت می کنن و به صورت نامرئی و مخفی بخش دیگه ای اجرا می شه.
<IfModule mod_headers.c>
Header always append X-Frame-Options SAMEORIGIN
</IfModule>زمانی که وارد یک وب سایت شدید و بجای محتویات سایت پوشه های اون رو مشاهده کردید به این ویژگی Directory Browsing گفته می شه که بدلیل اینکه ساختار پوشه ها و فایل های سایت براحتی قابل مشاهده هستش بهتره که غیر فعال بشه.
# Disable directory browsing
Options All -Indexesیکی از مهم ترین موارد امنیت وردپرس جلوگیری از دزدیه شدن فایل های زبان قالب و افزونه های شما هستند که با زحمت و تلاش بسیار تهیه شده اند.
<Files *.po>
deny from all
</Files>
<Files *.mo>
deny from all
</Files>در صورتی که شما تمایل نداشته باشید که از تصاویر وب سایت شما در وب سایت دیگه استفاده بشه می تونید از قطعه کد زیر استفاده کنید.
#disable hotlinking of images with forbidden or custom image option
RewriteEngineon
RewriteCond%{HTTP_REFERER}!^$
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?youcode.ir [NC]
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?google.com [NC]
RewriteCond%{HTTP_REFERER}!^http(s)?://(www\.)?feeds2.feedburner.com/youcode [NC]
RewriteRule\.(jpg|jpeg|png|gif)$ – [NC,F,L]
