روش هایی برای پیش گیری از هک شدن وبلاگ های وردپرس
ممانعت از مرور دایرکتوری
اینکه به کاربران خود اجازه دهید به دایرکتوری شما دسترسی داشته باشند اصلا ایده خوبی نیست. این کار باعث می شود معماری و ساختار پوشه های شما برای هکرها نمایان گشته و کار پیدا کردن نقاط نفوذ بسیار آسان تر شود. برای جلوگیری از این موضوع این دو خط کد را در فایل .htaccess در پوشه root کپی کنید:
# disable directory browsing
Options All –Indexes
ایمن کردن wp-config.php
Wp-config.php از این نظر که حاوی تمام داده های حساس و تنظیمات بلاگ شما می باشد حائز اهمیت بوده و به همین دلیل باید از طریق .htaccess ایمن شود. برای این کار کافیست کد زیر را در فایل .htaccess موجود در پوشه root کپی کنید:
# protect wp-config.php
Order deny,allow
Deny from all
محدود کردن دسترسی به دایرکتوری Wp-content
Wp-content حاوی همه چیز است. این پوشه اهمیت بسیار زیادی داشته و به همین دلیل باید به شدت ایمن شود. کاربران نباید اجازه دسترسی به محتوای این پوشه داشته باشند. دسترسی کاربران باید تنها به برخی فایل ها مانند فایل های عکسی، Javascript، css و XML محدود شود.
با کپی کردن کد زیر در فایل .htaccess می توانید این محدودیت ها را اعمال کنید:
Order deny,allow
Deny from all
Allow from all
محافظت از فایل های ادمین وردپرس
دسترسی به پوشه Wp-admin باید مختص مدیران وبلاگ باشد. شما باید با استفاده از .htaccess دسترسی به این بخش را با تعریف IP های مجاز محدود کنید.
اگر IP شما استاتیک بوده و تنها از یک رایانه برای کار با وبلاگ استفاده می کنید این کار گزینه خوبی برای شما خواهد بود در غیر این صورت می توانید یک رنج IP برای دسترسی تعریف کنید. برای اطلاعات بیشتر در این زمینه می توانید به مقالات Apache در خصوص mod_access مراجعه کنید.
کد زیر را در فایل .htaccess موجود در پوشه wp-admin (نه در پوشه root) کپی کنید:
# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx # This is your static IP
deny from all
این کد از دسترسی دیگر Ip ها به جز آدرس IP که در قسمت xx.xx.xx.xx وارد می کنید خواهد شد.
روش دیگر محدود کردن دسترسی به وسیله تعریف یک گذرواژه در .htaccess می باشد.
جلوگیری از تزریق اسکریپت
با استفاده از کد زیر می توانید جلوی تزریق اسکریپت ها و تغییرات ناخواسته _REQUEST و یا GLOBALS را بگیرید.
کافیست کد زیر را در .htaccess پوشه root کپی کنید:
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
دیگر روش ها
از دیگر اقدامات امنتی که می توانید برای بهبود ضریب امنیت خود اتخاذ کنید استفاده از افزونه WordPress Firewall 2 می باشد که از وبلاگ شما در مقابل هکرها و بدافزار ها محافظت می کند. البته استفاده از این افزونه پیشنهاد نمی شود چرا که برخی اوقات باعث مزاحمت شخص مالک وبلاگ نیز شده و دسترسی وی را مختل می کند. به همین دلیل تنها در صورتی نیاز از این افزونه استفاده کنید.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.