آموزش کامل htaccess وردپرس

در این مطلب سعی داریم جواب سوال ” htaccess چیست؟ ” را با هم بررسی کنیم. آموزش ساخت فایل htaccess در ورپرس و نحوه پیدا کردن محل فایل htaccess در وردپرس را باهم مرور می‌کنیم و در نهایت نحوه اضافه کردن دستورات جدید در htaccess را آموزش می‌ دهیم.

اگرچه ایمنی صددرصد نیست، اما در وردپرس با مدیریت و استفاده از کدهای فایل htaccess می‌توانید نواقص ایمنی را تا حد زیادی حل‌وفصل کنید. بخصوص اگر در این زمینه مبتدی هستید و پلاگین‌های امنیتی زیادی روی سایت خود نصب کردید، فایل htaccess می‌تواند حلال مشکلات باشد.

فایل htaccess در وردپرس شما یک فایل پیکربندی قدرتمند است که می‌توانید از آن برای تنظیمات روی سرور وب خود برای بهبود امنیت و عملکرد سایت خود استفاده کنید. در واقع این عبارت مخفف «Hypertext Access» می‌باشد که دارای دستورات ویژه‌ای خواهد داشت، دستورات آن مشابه بسیاری از زبان‌های برنامه‌نویسی نوشته نمی‌شود و فرم و ساختار خاص خود را دارد، به‌راحتی می‌توانید فایل را ویرایش کنید و با دستورات مناسب، می‌توانید عملکردها و ویژگی‌های اضافی را فعال یا غیرفعال کنید تا از سایت خود در برابر اسپم، هکرها و سایر تهدیدها محافظت کنید.

فایل htaccess می‌تواند ارکان وب‌سایت شما را کنترل کند. اگر از هک شدن می‌ترسید، اگر می‌خواهید سایت وردپرسی شما ایمن‌ترین باشد. در حال حاضر با ویرایش این فایل می‌توان نواقص را تا ۹۹ درصد برطرف کرد.

برخی از این ویژگی‌ها عبارت‌اند از تغییر مسیرهای اولیه، قفل‌کردن دسترسی خارجی به فایل‌های خاص، یا عملکردهای پیشرفته‌تر مانند محافظت از رمز عبور محتوا یا جلوگیری از اتصال سریع تصویر؛ بنابراین بیایید نگاهی عمیق به نحوه دست‌کاری فایل htaccess خود برای افزایش امنیت خود بیندازیم. دقت کنید که ویرایش این فایل بدون تخصص در این حوزه هیچ کمکی به شما نمی‌کند، چه‌بسا می‌تواند موجب ازکارافتادن سایت شما شود. پس از اجرای هر کد روی این قسمت، لازم است که حتماً سایت خود را کنترل کنید. فایل htaccess باید مطابق استانداردهای سئو، ایمنی و… مورداستفاده قرار گیرد.

فایل htaccess چیست و چرا ایجاد می‌شود؟

فایل htaccess در ریشه سایت شما قرار دارد. یک فایل پیکربندی برای مدیریت داده‌ها و انتقال فایل‌ها و یا دریافت است. نقطه جلوی نام فایل به این معنی است که یک فایل مخفی است و شما نمی‌توانید آن را هنگام مرور فایل‌های خود ببینید مگر اینکه همه فایل‌های مخفی را در رایانه خود روی حالت نمایش عمومی قرار دهید. این موضوع در مورد وب سرورها، دایرکت ادمین، سی پنل و پلسک نیز صدق می‌کند. پس اگر سایت شما روی یک هاست اشتراکی است، فایل htaccess در حالت مخفی قرار دارد.

در وردپرس، فایل برای تسهیل پیوندهای دائمی استفاده می‌شود و با فعال‌شدن این گزینه به طور خودکار شما می‌توانید آن را داشته باشید. بااین‌حال، کارهای بیشتری می‌توانید با htaccess انجام دهید، مانند اضافه‌کردن ۳۰۱ تغییر مسیر یا گنجاندن قوانینی برای مسدودکردن بازدیدکنندگان غیرمجاز که قصد خرابکاری روی سایت شما را دارند.

پله اول: برای شروع به کار با فایل htaccess بک‌آپ بگیرید!

فایل htaccess می‌تواند کل وب‌سایت شما را نابود کند. البته این در صورتی است که کار با آن را به‌خوبی نیاموخته باشید. همان‌طور که گفته شد، اگر دستورات را بادقت وارد کنید. هیچ مشکلی پیش نمی‌آید. در بدترین حالت می‌توانید این فایل را حذف و مجدداً ایجاد کنید.

تهیه نسخه پشتیبان از سایت خود قبل از ایجاد هرگونه تغییری می‌تواند به‌عنوان یک روش ایمن برای رفع مشکلات عمل کند تا بتوانید به‌سرعت فایل‌های خود را بازیابی کنید و به‌گونه‌ای کار کنید که انگار این کد روی هاست و سرور سایت شما اجرا نشده است. خوب، اجازه دهید که در ادامه نحوه نمایش آن را در کنترل پنل سی پنل بیاموزیم.

حداقل کاری که باید انجام دهید این است که یک کپی از فایل .htaccess خود را در رایانه خود دانلود کنید تا در صورت بروز اشتباه بتوانید آن را جایگزین کنید. می‌توانید پس از ورود به سیستم، با رفتن به Files > File Manager یک کپی از فایل htaccess. خود را در cPanel بارگیری کنید. اگر از شما خواسته شد، کادر انتخاب Show Hidden Files را انتخاب کنید، سپس روی Go کلیک کنید.

همچنین، می‌توانید روی تنظیمات در سمت راست‌بالای مدیریت فایل کلیک کنید و روی کادر نمایش فایل‌های مخفی کلیک کنید، سپس روی دکمه ذخیره کلیک کنید. اکنون باید بتوانید به روت یا همان ریشه در سایت خود بروید و فایل htaccess را پیدا کنید. یک‌بار در لیست روی آن کلیک کنید، سپس روی دکمه دانلود در ناوبری کلیک کنید. آن را در رایانه خود ذخیره کنید. اگر نیاز به بازیابی آن دارید، می‌توانید روی دکمه آپلود در بالای صفحه کلیک کنید.

کادر Overwrite existing files را انتخاب کنید، سپس روی دکمه Select File کلیک کنید تا نسخه پشتیبان فایل htaccess. خود را جستجو کرده و روی صفحه اجرا گردد.

هنگامی که فایل را باز کردید، باید آپلود شود و می‌توانید روی پیوند Go Back در پایین صفحه کلیک کنید تا به File Manager خود بازگردید. پس از انجام این کار، به این معنی است که فایل htaccess. شما بازیابی شده است.

ایجاد فایل htaccess روی هاست سی پنل

بسته به نوع نصب خود، ممکن است فایل htaccess. نداشته باشید، بنابراین قبل از اینکه بتوانید به ویرایش آن فکر کنید، ممکن است نیاز به ایجاد آن داشته باشید. می‌توانید از ویرایشگر متن موردعلاقه خود برای ایجاد یکی استفاده کنید یا آن را مستقیماً در cPanel انجام دهید.

یک فایل جدید ایجاد و آپلود کنید و نام آن را htaccess قرار دهید.

اگر سرور شما به شما اجازه انجام این کار را نمی‌دهد، به‌جای آن فایلی به نام htaccess.txt ایجاد کنید، سپس نام فایل را به htaccess. تغییر دهید.

ازآنجایی‌که همه نصب‌های وردپرس دارای پیوندهای دائمی زیبایی هستند که از نسخه ۴٫۲ به طور پیش‌فرض تنظیم شده‌اند، بهتر است به‌جای ایجاد یک فایل خالی، از خطای احتیاط استفاده کنید و کدی را که برای فایل‌های htaccess. پیش‌فرض است در نسخه‌های جدیدتر وردپرس وارد کنید.

کد پیش فرضی که باید برای نصب تکی وردپرس وارد کنید در اینجا آمده است:

# BEGIN WordPress

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ – [L]

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

</IfModule>

# END WordPress

برای شبکه‌های چند سایتی که با sub-directorie با نسخه ۳٫۵ یا بالاتر نصب شده‌اند، به‌جای آن از کد زیر استفاده کنید:

RewriteEngine On

RewriteBase /

RewriteRule ^index\.php$ – [L]

# add a trailing slash to /wp-admin

RewriteRule ^wp-admin$ wp-admin/ [R=301,L]

RewriteCond %{REQUEST_FILENAME} -f [OR]

RewriteCond %{REQUEST_FILENAME} -d

RewriteRule ^ – [L]

RewriteRule ^(wp-(content|admin|includes).*) $1 [L]

RewriteRule ^(.*\.php)$ $1 [L]

RewriteRule . index.php [L]

هنگامی که یک فایل htaccess جدید ایجاد می‌کنید، ضروری است که مجوز فایل ۶۴۴ را برای محافظت از آن در برابر حملات احتمالی تنظیم کنید. در این صورت فایل htaccess ایجاد شده در معرض نمایش تمام کاربران قرار نمی‌گیرد و صرفاً کسانی که اکانت ادمین دارند می‌توانند آن را بررسی کنند. دقت کنید که بخش مهمی از ایمنی سایت شما به این فایل مرتبط است و باید به‌خوبی از آن در مقابل حمله هکرها محافظت کنید.

اضافه‌کردن کد جدید در فایل htaccess

یکی از نکاتی که در مورداستفاده و ساخت فایل htaccess باید بدانید این است که همه چیز بستگی به ساختار کد و نوع کدهایی که استفاده می‌کنید دارد.

هنگامی که در حال ویرایش فایل خود هستید، توجه داشته باشید که خطوطی که با هشتگ شروع می‌شوند، نظرات یا همان کامنت هستند و در فرم دستورات کلی htaccess. گنجانده نمی‌شوند. هنگامی که قوانینی را اضافه می‌کنید، بسیار مهم است که آنها را در بالا یا پایین قانون پیش‌فرض وردپرس که در بالا توضیح داده شد، وارد کنید. شما نباید چیزی بین خطوط # BEGIN WordPress و # END WordPress اضافه یا ویرایش کنید. برای شبکه‌های چند سایتی، نیز معمولاً از همین اصل استفاده می‌شود و تفاوتی در این زمینه وجود ندارد.

اگر می‌خواهید تغییراتی ایجاد کنید، احتمالاً بازنویسی می‌شود، بنابراین بهتر است که تغییرات قبلی را در یک فایل متنی در سیستم خود ذخیره کنید تا در صورت بروز مشکل، حداقل بتوانید کدهای پیشین را بازگردانی کنید. به‌طورکلی، افزودن قوانین زیر خطوط پیش‌فرض وردپرس، همه چیز را سازماندهی تر نگه می‌دارد و در مورد اینکه ویرایش‌های شما برخلاف کد وردپرس چیست، وضوح بیشتری ایجاد می‌کند. همچنین ممکن است برای سازماندهی بیشتر فایل htaccess. خود نظرات خود را به هر افزودنی اضافه کنید.

بهترین ویرایشگر فایل htaccess

روش‌ها و راه‌های زیادی وجود دارد که می‌توانید برای ویرایش فایل htaccess خود انتخاب کنید و یکی از آنها این است که این کار را مستقیماً در cPanel انجام دهید. در حال حاضر این روش متداول‌ترین و معمول‌ترین چیزی است که در آموزش‌ها مورداستفاده قرار می‌گیرد.

مهم نیست که کدام روش را انتخاب می‌کنید، ممکن است توجه داشته باشید که به‌روزرسانی سایت خود پس از ذخیره ویرایش در فایل به شما امکان می‌دهد بررسی کنید که آیا ویرایش‌های شما باعث بروز مشکل و یا عدم لود سایت شما می‌شود یا خیر. اگر این کار را انجام دادید، می‌توانید بلافاصله فایل را بازیابی کرده و دوباره امتحان کنید. اگر همه چیز همان‌طور که باید کار می‌کند، پس لازم نیست هیچ تغییری ایجاد شود و می‌توانید به ادامه آموزش مراجعه نمایید.

پس از ورود به cPanel، به Files > File Manager بروید و انتخاب کنید تا فایل‌های مخفی را همان‌طور که قبلاً توضیح داده شد نشان دهید. به ریشه سایت خود بروید و یک‌بار روی فایل .htaccess خود که در لیست است کلیک کنید. در قسمت ناوبری بالای صفحه روی ویرایش کلیک کنید تا تغییرات خود را اعمال کنید.

نکات امنیتی مرتبط با فایل htaccess

اکنون که ساخت و استفاده معمول از این فایل را آموختید، لازم است که نکات امنیتی در مورد آن را بیاموزید.

محافظت از فایل‌های مهم

یکی از بهترین ویرایش‌هایی که می‌توانید انجام دهید این است که از فایل .htaccess خود به همراه گزارش‌های خطا، فایل‌های wp-config.php و php.ini محافظت کنید. پس از ایجاد تغییر زیر، تلاش برای دسترسی به این فایل‌ها رد می‌شود.

<FilesMatch “^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$”>

Order deny,allow

Deny from all

</FilesMatch>

حتماً فایل‌های خود را بررسی کنید و ببینید آیا یکی از آنها به نام php.ini دارید یا خیر، زیرا ممکن است نداشته باشید. در عوض، ممکن است یکی به نام php5.ini داشته باشید. اگر این‌طور است، در قانون بالا php.ini را با php5.ini جایگزین کنید.

نحوه محدود کردن دسترسی به admin سایت وردپرسی

در صورت استفاده از آدرس IP ثابت، می‌توانید با افزودن قوانین زیر دسترسی به داشبورد مدیریت و صفحه ورود را محدود کنید:

ErrorDocument 401 /path-to-your-site/index.PHP?error=404

ErrorDocument 403 /path-to-your-site/index.php?error=404

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$

RewriteCond %{REMOTE_ADDR} !^IP Address One$

RewriteCond %{REMOTE_ADDR} !^IP Address Two$

RewriteCond %{REMOTE_ADDR} !^IP Address Three$

RewriteRule ^(.*)$ – [R=403,L]

</IfModule>

دو خط اول آدرس‌های IP غیرمجاز را به صفحه خطای ۴۰۴ شما هدایت می‌کنند. این همچنین به شما کمک می‌کند تا حلقه‌های تغییر مسیر را حل کنید تا سایت شما خراب به نظر نرسد. فقط مطمئن شوید که هر دو نمونه /path-to-your-site/ را در مسیر واقعی سایت خود ویرایش کنید.

همچنین آدرس IP یک، آدرس IP دو و آدرس IP سه را با آدرس‌های IP واقعی که می‌خواهید به این صفحات دسترسی داشته باشید، جایگزین کنید. اگر می‌خواهید فقط یک آدرس اضافه کنید، خطوط ۹ و ۱۰ را حذف کنید. همچنین می‌توانید خط ۱۰ را هرچند بار که می‌خواهید تکرار کنید و هرکدام را جایگزین کنید. همچنین می‌توانید خط ۱۰ را هرچند بار که می‌خواهید تکرار کنید و هر آدرس IP سه را با آدرس IP واقعی که می‌خواهید در لیست سفید قرار دهید جایگزین کنید.

اگر شما یا هر یک از کاربران دیگرتان آدرس IP پویا، یک شبکه Multisite یا چندین کاربر در شبکه خود دارید که باید وارد سیستم شوید، می‌توانید به‌جای آن از قانون زیر استفاده کنید:

ErrorDocument 401 /path-to-your-site/index.php?error=404

ErrorDocument 403 /path-to-your-site/index.php?error=404

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{REQUEST_METHOD} POST

RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site.com [NC]

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$

RewriteRule ^(.*)$ – [F]

</IfModule>

فراموش نکنید که /path-to-your-site/ را در خطوط یک و دو در فایل htaccess به مسیر واقعی سایت خود تغییر دهید و همچنین your-site.com را با دامنه واقعی خود تغییر دهید.

بسیاری از هکرها از ربات‌ها برای تلاش و دسترسی به داشبورد مدیریت یا ورود به سیستم استفاده می‌کنند. با افزودن این مورد به فایل htaccess شما فقط به افرادی که به‌صورت دستی سایت شما را در نوار آدرس مرورگر خود وارد می‌کنند اجازه می‌دهید به این صفحات دسترسی داشته باشند. درحالی‌که هکرهایی را که سعی می‌کنند به‌صورت دستی جزئیات ورود کاربران را حدس بزنند مسدود نمی‌کند، اما در بیشتر موارد، هنوز تفاوت زیادی ایجاد می‌کند و میزان حملات brute force را که دریافت می‌کنید به میزان قابل‌توجهی کاهش می‌دهد.

جلوگیری از مرور دایرکتوری

اگر بازدیدکنندگان وارد دامنه شما شوند، این امکان برای بازدیدکنندگان وجود دارد که فهرستی از دایرکتوری‌های سایت شما را در قسمت جلویی مشاهده کنند و سپس فهرستی را در نوار آدرس مرورگر خود مشاهده کنند. ازآنجایی‌که وردپرس دارای ساختار فایل مجموعه‌ای است، در حال حاضر هیچ چیزی مانع از بازدید از your-site.com/wp-content-uploads/ و دیدن لیستی از پوشه‌ها و فایل‌های شما نمی‌شود. این قطعاً آن چیزی نیست که شما می‌خواهید؛ زیرا هک کردن یک فایل مهم در سایت شما برای یک هکر بسیار ساده‌تر است اگر بتواند فایل موردنظر را به معنای واقعی کلمه در دایرکتوری ببیند و مجبور نباشد حدس بزند که فایل در کجا قرار دارد.

این معادل مخفی کردن یک کلید یدکی برای مکان خود در یک مکان فوق‌العاده هوشمندانه و مخفی است، اما سپس یک یادداشت را درست روی درب خود پست کنید و به هرکسی که از آن بازدید می‌کند، اطلاع دهد که کلید یدکی شما در کجا پنهان شده است.

Options All -Indexes

افزودن این خط به فایل htaccess. از مرور دایرکتوری جلوگیری می‌کند، بنابراین هکرها برای شناسایی شما مشکل‌تر خواهند بود.

دسترسی به فایل‌های PHP را محدود کنید

به طور مشابه، ارائه دسترسی مستقیم به فایل‌های PHP شما یک مشکل بزرگ است. هرچه یافتن فایل‌های مهم خود را برای هکرها سخت‌تر کنید، بهتر است و ازآنجایی‌که فایل‌های PHP می‌توانند برای تزریق کدهای مخرب برای آلوده کردن بیشتر سایت شما استفاده شوند، محافظت از فایل‌های PHP خود بسیار مهم است.

می‌توانید خطوط زیر را از یک ساختار استاندارد اضافه کنید تا دسترسی مستقیم کاربران غیرمجاز به فایل‌های PHP افزونه و موضوع خود را مسدود کنید:

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php

RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/

RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]

RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php

RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/

RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]

محدودکردن اجرای فایل PHP

یک روش دیگر ایمن کردن سایت را برمی‌شماریم، همچنین در این فایل می‌توانید از اجرای غیرمجاز فایل‌های PHP جلوگیری کنید تا در صورت نفوذ به سایت شما، هکرها نتوانند فایل PHP خود را با کد مخرب آپلود کنند و آن را داشته باشند. در واقع کار می‌کند

این بدان معنی است که شما می‌توانید از عملکرد اکسپلویت‌های بک دور جلوگیری کنید. درحالی‌که هنوز باید فایل را پیدا کرده و حذف کنید، اما هرچه موانع بیشتری برای یک هکر ایجاد کنید، احتمال اینکه سایت شما غیرقابل‌تعمیر شود کمتر می‌شود.

ازآنجایی‌که اکثر هکرها بک دور را در پوشه /wp-content/uploads/ شما آپلود می‌کنند، مسدودکردن اجرای هر فایل PHP در آنجا می‌تواند کمک بزرگی باشد.

کد زیر را برای محدودکردن اجرای فایل‌های PHP اضافه شده به پوشه آپلود اضافه کنید:

<Directory “/var/www/wp-content/uploads/”>

<Files “*.php”>

Order Deny,Allow

Deny from All

</Files>

</Directory>

از سایت خود در برابر اجرای اسکریپت‌ها محافظت کنید

شما در حال حاضر در حال کار جدی هستید، پس چرا از تزریق کدهای مخرب به فایل‌های PHP خود نیز جلوگیری نکنید؟ WP Recipes راهی برای جلوگیری از تزریق اسکریپت منتشر کرد.

بسیاری از هکرها سعی می‌کنند متغیرهای وردپرس GLOBALS و _REQUEST را در تلاش برای تزریق کد مخرب تغییر دهند. برای جلوگیری از پذیرش این تغییر، می‌توانید موارد زیر را به فایل htaccess. خود اضافه کنید:

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

جلوگیری از Image Hot Linking در وردپرس

وقتی یک بازدیدکننده URL یکی از تصاویر شما را می‌گیرد و به‌جای آپلود تصویر در سرور خود، آن را در سایت خود بارگذاری می‌کند، پهنای باند شما را می‌دزدد. به آن ایمیج هات‌لینک نیز می‌گویند.

برای جلوگیری از این اتفاق، این را به فایل htaccess. خود اضافه کنید:

RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER}

!^http://(www\.)?your-site.com/.*$ [NC] RewriteRule \.(gif|jpg)$

http://www.your-site.com/hotlink.gif [R,L]

فراموش نکنید که your-site.com را با دامنه اصلی خود در خط دو جایگزین کنید و http://www.your-site.com/hotlink.gif را در خط سه با URL اصلی تصویری که می‌خواهید محافظت کنید جایگزین نمایید.

ایمن‌سازی دایرکتوری wp-includes

دایرکتوری wp-includes شما خانه بسیاری از فایل‌های مهم شما است. با مسدودکردن تمام دسترسی‌های غیرمجاز به آن، می‌توانید از تمام فایل‌های مهم در برابر دست‌کاری هکرها محافظت کنید.

WP Explorer یک افزونه عالی برای جلوگیری از دسترسی هکرها به پوشه wp-includes شما دارد:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteBase /

RewriteRule ^wp-admin/includes/ – [F,L]

RewriteRule !^wp-includes/ – [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]

RewriteRule ^wp-includes/theme-compat/ – [F,L]

</IfModule>

جلوگیری از هش نام کاربری

هنگامی که یک بازدیدکننده your-site.com/?author=1 را در نوار آدرس خود وارد می‌کند، به صفحه نویسنده هدایت می‌شود که شناسه کاربری یک دارد. صفحه نویسنده شامل نام کاربری واقعی مرتبط با شناسه کاربر است.

بازدید کننده به راحتی می‌تواند نام کاربری همه کاربران سایت شما را در صورت داشتن پست های مرتبط با حساب خود دریافت کند. به این فرآیند هش و بررسی نام کاربری می گویند. اگر یک هکر بتواند به راحتی نام کاربری شما را به دست بیاورد، چیزی کمتر است که باید حدس بزند. در واقع، تنها جزئیات دیگری که آنها باید حدس بزنند رمز عبور شما است.

درحالی‌که دانستن نام کاربری مرتبط با یک حساب، درصورتی‌که کاربر از رمز عبور قوی استفاده کند، ارزش زیادی برای هکر نمی‌افزاید، اما همچنان می‌تواند برای جلوگیری از شمارش نام کاربری مفید باشد، زیرا هر چه موانع بیشتری برای هکر ایجاد کنید، احتمال کمتری وجود دارد. این است که آنها در واقع می‌توانند به سایت شما نفوذ کنند.

در اینجا نحوه جلوگیری از شمارش نام کاربری با افزودن موارد زیر به فایل  htaccess را می‌آموزیم.

RewriteCond %{QUERY_STRING} author=d

RewriteRule ^ /? [L,R=301]

بررسی SSL در فایل htaccess

دقت کنید که پروتکل‌های SSL این روزها بخش جدانشدنی از وب‌سایت‌ها هستند و باید حتماً وجود داشته باشند.

از کد زیر برای اجبار استفاده از گواهینامه SSL استفاده کنید، مگر اینکه نام دامنه کاملاً واجد شرایط (FQDN) فهرست شده در خط سه وارد شود:

SSLOptions +StrictRequire

SSLRequireSSL

SSLRequire %{HTTP_HOST} eq “www.you-site.com”

ErrorDocument 403 https://www.your-site.com

فقط فراموش نکنید که www.your-site.com را در خطوط سه و چهار با نام دامنه واقعی خود جایگزین کنید.

جمع‌بندی نهایی

فایل htaccess به‌جرئت یکی از مهم‌ترین و کلیدی‌ترین فایل‌ها در توسعه ایمنی و همین‌طور بهینه‌سازی وب‌سایت‌ها است. با استفاده از روش‌های مختلف می‌توانید فایل htaccess را به‌راحتی ایجاد، بررسی، مدیریت و یا ویرایش کنید. به همین منوال ایمنی وب‌سایت خود را نیز در مراحلی که در این مقاله در مرور شد بهبود بخشید. فایل htaccess می‌تواند سایت شما را از خطرات بزرگ نجات دهد و سبب شود که هیچ چیز اضافه‌ای در دسترس کاربران و همین‌طور هکرها قرار نگیرد. پس از این نظر، ایمنی آن اهمیت ویژه‌ای دارد و باید به طور مکرر آن را در صورت نیاز بروزرسانی و ایمن‌سازی کنید.