آموزش کامل htaccess وردپرس
در این مطلب سعی داریم جواب سوال ” htaccess چیست؟ ” را با هم بررسی کنیم. آموزش ساخت فایل htaccess در ورپرس و نحوه پیدا کردن محل فایل htaccess در وردپرس را باهم مرور میکنیم و در نهایت نحوه اضافه کردن دستورات جدید در htaccess را آموزش می دهیم.
اگرچه ایمنی صددرصد نیست، اما در وردپرس با مدیریت و استفاده از کدهای فایل htaccess میتوانید نواقص ایمنی را تا حد زیادی حلوفصل کنید. بخصوص اگر در این زمینه مبتدی هستید و پلاگینهای امنیتی زیادی روی سایت خود نصب کردید، فایل htaccess میتواند حلال مشکلات باشد.
فایل htaccess در وردپرس شما یک فایل پیکربندی قدرتمند است که میتوانید از آن برای تنظیمات روی سرور وب خود برای بهبود امنیت و عملکرد سایت خود استفاده کنید. در واقع این عبارت مخفف «Hypertext Access» میباشد که دارای دستورات ویژهای خواهد داشت، دستورات آن مشابه بسیاری از زبانهای برنامهنویسی نوشته نمیشود و فرم و ساختار خاص خود را دارد، بهراحتی میتوانید فایل را ویرایش کنید و با دستورات مناسب، میتوانید عملکردها و ویژگیهای اضافی را فعال یا غیرفعال کنید تا از سایت خود در برابر اسپم، هکرها و سایر تهدیدها محافظت کنید.
فایل htaccess میتواند ارکان وبسایت شما را کنترل کند. اگر از هک شدن میترسید، اگر میخواهید سایت وردپرسی شما ایمنترین باشد. در حال حاضر با ویرایش این فایل میتوان نواقص را تا 99 درصد برطرف کرد.
برخی از این ویژگیها عبارتاند از تغییر مسیرهای اولیه، قفلکردن دسترسی خارجی به فایلهای خاص، یا عملکردهای پیشرفتهتر مانند محافظت از رمز عبور محتوا یا جلوگیری از اتصال سریع تصویر؛ بنابراین بیایید نگاهی عمیق به نحوه دستکاری فایل htaccess خود برای افزایش امنیت خود بیندازیم. دقت کنید که ویرایش این فایل بدون تخصص در این حوزه هیچ کمکی به شما نمیکند، چهبسا میتواند موجب ازکارافتادن سایت شما شود. پس از اجرای هر کد روی این قسمت، لازم است که حتماً سایت خود را کنترل کنید. فایل htaccess باید مطابق استانداردهای سئو، ایمنی و… مورداستفاده قرار گیرد.
مطالعه بیشتر: متا کلود چیست؟ چه کاربردی دارد؟
فایل htaccess چیست و چرا ایجاد میشود؟
فایل htaccess در ریشه سایت شما قرار دارد. یک فایل پیکربندی برای مدیریت دادهها و انتقال فایلها و یا دریافت است. نقطه جلوی نام فایل به این معنی است که یک فایل مخفی است و شما نمیتوانید آن را هنگام مرور فایلهای خود ببینید مگر اینکه همه فایلهای مخفی را در رایانه خود روی حالت نمایش عمومی قرار دهید. این موضوع در مورد وب سرورها، دایرکت ادمین، سی پنل و پلسک نیز صدق میکند. پس اگر سایت شما روی یک هاست اشتراکی است، فایل htaccess در حالت مخفی قرار دارد.
در وردپرس، فایل برای تسهیل پیوندهای دائمی استفاده میشود و با فعالشدن این گزینه به طور خودکار شما میتوانید آن را داشته باشید. بااینحال، کارهای بیشتری میتوانید با htaccess انجام دهید، مانند اضافهکردن 301 تغییر مسیر یا گنجاندن قوانینی برای مسدودکردن بازدیدکنندگان غیرمجاز که قصد خرابکاری روی سایت شما را دارند.
پله اول: برای شروع به کار با فایل htaccess بکآپ بگیرید!
فایل htaccess میتواند کل وبسایت شما را نابود کند. البته این در صورتی است که کار با آن را بهخوبی نیاموخته باشید. همانطور که گفته شد، اگر دستورات را بادقت وارد کنید. هیچ مشکلی پیش نمیآید. در بدترین حالت میتوانید این فایل را حذف و مجدداً ایجاد کنید.
تهیه نسخه پشتیبان از سایت خود قبل از ایجاد هرگونه تغییری میتواند بهعنوان یک روش ایمن برای رفع مشکلات عمل کند تا بتوانید بهسرعت فایلهای خود را بازیابی کنید و بهگونهای کار کنید که انگار این کد روی هاست و سرور سایت شما اجرا نشده است. خوب، اجازه دهید که در ادامه نحوه نمایش آن را در کنترل پنل سی پنل بیاموزیم.
حداقل کاری که باید انجام دهید این است که یک کپی از فایل .htaccess خود را در رایانه خود دانلود کنید تا در صورت بروز اشتباه بتوانید آن را جایگزین کنید. میتوانید پس از ورود به سیستم، با رفتن به Files > File Manager یک کپی از فایل htaccess. خود را در cPanel بارگیری کنید. اگر از شما خواسته شد، کادر انتخاب Show Hidden Files را انتخاب کنید، سپس روی Go کلیک کنید.
همچنین، میتوانید روی تنظیمات در سمت راستبالای مدیریت فایل کلیک کنید و روی کادر نمایش فایلهای مخفی کلیک کنید، سپس روی دکمه ذخیره کلیک کنید. اکنون باید بتوانید به روت یا همان ریشه در سایت خود بروید و فایل htaccess را پیدا کنید. یکبار در لیست روی آن کلیک کنید، سپس روی دکمه دانلود در ناوبری کلیک کنید. آن را در رایانه خود ذخیره کنید. اگر نیاز به بازیابی آن دارید، میتوانید روی دکمه آپلود در بالای صفحه کلیک کنید.
کادر Overwrite existing files را انتخاب کنید، سپس روی دکمه Select File کلیک کنید تا نسخه پشتیبان فایل htaccess. خود را جستجو کرده و روی صفحه اجرا گردد.
هنگامی که فایل را باز کردید، باید آپلود شود و میتوانید روی پیوند Go Back در پایین صفحه کلیک کنید تا به File Manager خود بازگردید. پس از انجام این کار، به این معنی است که فایل htaccess. شما بازیابی شده است.
ایجاد فایل htaccess روی هاست سی پنل
بسته به نوع نصب خود، ممکن است فایل htaccess. نداشته باشید، بنابراین قبل از اینکه بتوانید به ویرایش آن فکر کنید، ممکن است نیاز به ایجاد آن داشته باشید. میتوانید از ویرایشگر متن موردعلاقه خود برای ایجاد یکی استفاده کنید یا آن را مستقیماً در cPanel انجام دهید.
یک فایل جدید ایجاد و آپلود کنید و نام آن را htaccess . قرار دهید.
اگر سرور شما به شما اجازه انجام این کار را نمیدهد، بهجای آن فایلی به نام htaccess.txt ایجاد کنید، سپس نام فایل را به htaccess. تغییر دهید.
ازآنجاییکه همه نصبهای وردپرس دارای پیوندهای دائمی زیبایی هستند که از نسخه 4.2 به طور پیشفرض تنظیم شدهاند، بهتر است بهجای ایجاد یک فایل خالی، از خطای احتیاط استفاده کنید و کدی را که برای فایلهای htaccess. پیشفرض است در نسخههای جدیدتر وردپرس وارد کنید.
کد پیش فرضی که باید برای نصب تکی وردپرس وارد کنید در اینجا آمده است:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
برای شبکههای چند سایتی که با sub-directorie با نسخه 3.5 یا بالاتر نصب شدهاند، بهجای آن از کد زیر استفاده کنید:
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
# add a trailing slash to /wp-admin
RewriteRule ^wp-admin$ wp-admin/ [R=301,L]
RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ – [L]
RewriteRule ^(wp-(content|admin|includes).*) $1 [L]
RewriteRule ^(.*\.php)$ $1 [L]
RewriteRule . index.php [L]
هنگامی که یک فایل htaccess جدید ایجاد میکنید، ضروری است که مجوز فایل 644 را برای محافظت از آن در برابر حملات احتمالی تنظیم کنید. در این صورت فایل htaccess ایجاد شده در معرض نمایش تمام کاربران قرار نمیگیرد و صرفاً کسانی که اکانت ادمین دارند میتوانند آن را بررسی کنند. دقت کنید که بخش مهمی از ایمنی سایت شما به این فایل مرتبط است و باید بهخوبی از آن در مقابل حمله هکرها محافظت کنید.
اضافهکردن کد جدید در فایل htaccess
یکی از نکاتی که در مورداستفاده و ساخت فایل htaccess باید بدانید این است که همه چیز بستگی به ساختار کد و نوع کدهایی که استفاده میکنید دارد.
هنگامی که در حال ویرایش فایل خود هستید، توجه داشته باشید که خطوطی که با هشتگ شروع میشوند، نظرات یا همان کامنت هستند و در فرم دستورات کلی htaccess. گنجانده نمیشوند. هنگامی که قوانینی را اضافه میکنید، بسیار مهم است که آنها را در بالا یا پایین قانون پیشفرض وردپرس که در بالا توضیح داده شد، وارد کنید. شما نباید چیزی بین خطوط # BEGIN WordPress و # END WordPress اضافه یا ویرایش کنید. برای شبکههای چند سایتی، نیز معمولاً از همین اصل استفاده میشود و تفاوتی در این زمینه وجود ندارد.
اگر میخواهید تغییراتی ایجاد کنید، احتمالاً بازنویسی میشود، بنابراین بهتر است که تغییرات قبلی را در یک فایل متنی در سیستم خود ذخیره کنید تا در صورت بروز مشکل، حداقل بتوانید کدهای پیشین را بازگردانی کنید. بهطورکلی، افزودن قوانین زیر خطوط پیشفرض وردپرس، همه چیز را سازماندهی تر نگه میدارد و در مورد اینکه ویرایشهای شما برخلاف کد وردپرس چیست، وضوح بیشتری ایجاد میکند. همچنین ممکن است برای سازماندهی بیشتر فایل htaccess. خود نظرات خود را به هر افزودنی اضافه کنید.
بهترین ویرایشگر فایل htaccess
روشها و راههای زیادی وجود دارد که میتوانید برای ویرایش فایل htaccess خود انتخاب کنید و یکی از آنها این است که این کار را مستقیماً در cPanel انجام دهید. در حال حاضر این روش متداولترین و معمولترین چیزی است که در آموزشها مورداستفاده قرار میگیرد.
مهم نیست که کدام روش را انتخاب میکنید، ممکن است توجه داشته باشید که بهروزرسانی سایت خود پس از ذخیره ویرایش در فایل به شما امکان میدهد بررسی کنید که آیا ویرایشهای شما باعث بروز مشکل و یا عدم لود سایت شما میشود یا خیر. اگر این کار را انجام دادید، میتوانید بلافاصله فایل را بازیابی کرده و دوباره امتحان کنید. اگر همه چیز همانطور که باید کار میکند، پس لازم نیست هیچ تغییری ایجاد شود و میتوانید به ادامه آموزش مراجعه نمایید.
پس از ورود به cPanel، به Files > File Manager بروید و انتخاب کنید تا فایلهای مخفی را همانطور که قبلاً توضیح داده شد نشان دهید. به ریشه سایت خود بروید و یکبار روی فایل .htaccess خود که در لیست است کلیک کنید. در قسمت ناوبری بالای صفحه روی ویرایش کلیک کنید تا تغییرات خود را اعمال کنید.
نکات امنیتی مرتبط با فایل htaccess
اکنون که ساخت و استفاده معمول از این فایل را آموختید، لازم است که نکات امنیتی در مورد آن را بیاموزید.
محافظت از فایلهای مهم
یکی از بهترین ویرایشهایی که میتوانید انجام دهید این است که از فایل .htaccess خود به همراه گزارشهای خطا، فایلهای wp-config.php و php.ini محافظت کنید. پس از ایجاد تغییر زیر، تلاش برای دسترسی به این فایلها رد میشود.
<FilesMatch “^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$”>
Order deny,allow
Deny from all
</FilesMatch>
حتماً فایلهای خود را بررسی کنید و ببینید آیا یکی از آنها به نام php.ini دارید یا خیر، زیرا ممکن است نداشته باشید. در عوض، ممکن است یکی به نام php5.ini داشته باشید. اگر اینطور است، در قانون بالا php.ini را با php5.ini جایگزین کنید.
نحوه محدود کردن دسترسی به admin سایت وردپرسی
در صورت استفاده از آدرس IP ثابت، میتوانید با افزودن قوانین زیر دسترسی به داشبورد مدیریت و صفحه ورود را محدود کنید:
ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP Address One$
RewriteCond %{REMOTE_ADDR} !^IP Address Two$
RewriteCond %{REMOTE_ADDR} !^IP Address Three$
RewriteRule ^(.*)$ – [R=403,L]
</IfModule>
دو خط اول آدرسهای IP غیرمجاز را به صفحه خطای 404 شما هدایت میکنند. این همچنین به شما کمک میکند تا حلقههای تغییر مسیر را حل کنید تا سایت شما خراب به نظر نرسد. فقط مطمئن شوید که هر دو نمونه /path-to-your-site/ را در مسیر واقعی سایت خود ویرایش کنید.
همچنین آدرس IP یک، آدرس IP دو و آدرس IP سه را با آدرسهای IP واقعی که میخواهید به این صفحات دسترسی داشته باشید، جایگزین کنید. اگر میخواهید فقط یک آدرس اضافه کنید، خطوط 9 و 10 را حذف کنید. همچنین میتوانید خط 10 را هرچند بار که میخواهید تکرار کنید و هرکدام را جایگزین کنید. همچنین میتوانید خط 10 را هرچند بار که میخواهید تکرار کنید و هر آدرس IP سه را با آدرس IP واقعی که میخواهید در لیست سفید قرار دهید جایگزین کنید.
اگر شما یا هر یک از کاربران دیگرتان آدرس IP پویا، یک شبکه Multisite یا چندین کاربر در شبکه خود دارید که باید وارد سیستم شوید، میتوانید بهجای آن از قانون زیر استفاده کنید:
ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{HTTP_REFERER} !^http://(.*)?your-site.com [NC]
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteRule ^(.*)$ – [F]
</IfModule>
فراموش نکنید که /path-to-your-site/ را در خطوط یک و دو در فایل htaccess به مسیر واقعی سایت خود تغییر دهید و همچنین your-site.com را با دامنه واقعی خود تغییر دهید.
بسیاری از هکرها از رباتها برای تلاش و دسترسی به داشبورد مدیریت یا ورود به سیستم استفاده میکنند. با افزودن این مورد به فایل htaccess شما فقط به افرادی که بهصورت دستی سایت شما را در نوار آدرس مرورگر خود وارد میکنند اجازه میدهید به این صفحات دسترسی داشته باشند. درحالیکه هکرهایی را که سعی میکنند بهصورت دستی جزئیات ورود کاربران را حدس بزنند مسدود نمیکند، اما در بیشتر موارد، هنوز تفاوت زیادی ایجاد میکند و میزان حملات brute force را که دریافت میکنید به میزان قابلتوجهی کاهش میدهد.
جلوگیری از مرور دایرکتوری
اگر بازدیدکنندگان وارد دامنه شما شوند، این امکان برای بازدیدکنندگان وجود دارد که فهرستی از دایرکتوریهای سایت شما را در قسمت جلویی مشاهده کنند و سپس فهرستی را در نوار آدرس مرورگر خود مشاهده کنند. ازآنجاییکه وردپرس دارای ساختار فایل مجموعهای است، در حال حاضر هیچ چیزی مانع از بازدید از your-site.com/wp-content-uploads/ و دیدن لیستی از پوشهها و فایلهای شما نمیشود. این قطعاً آن چیزی نیست که شما میخواهید؛ زیرا هک کردن یک فایل مهم در سایت شما برای یک هکر بسیار سادهتر است اگر بتواند فایل موردنظر را به معنای واقعی کلمه در دایرکتوری ببیند و مجبور نباشد حدس بزند که فایل در کجا قرار دارد.
این معادل مخفی کردن یک کلید یدکی برای مکان خود در یک مکان فوقالعاده هوشمندانه و مخفی است، اما سپس یک یادداشت را درست روی درب خود پست کنید و به هرکسی که از آن بازدید میکند، اطلاع دهد که کلید یدکی شما در کجا پنهان شده است.
Options All -Indexes
افزودن این خط به فایل htaccess. از مرور دایرکتوری جلوگیری میکند، بنابراین هکرها برای شناسایی شما مشکلتر خواهند بود.
دسترسی به فایلهای PHP را محدود کنید
به طور مشابه، ارائه دسترسی مستقیم به فایلهای PHP شما یک مشکل بزرگ است. هرچه یافتن فایلهای مهم خود را برای هکرها سختتر کنید، بهتر است و ازآنجاییکه فایلهای PHP میتوانند برای تزریق کدهای مخرب برای آلوده کردن بیشتر سایت شما استفاده شوند، محافظت از فایلهای PHP خود بسیار مهم است.
میتوانید خطوط زیر را از یک ساختار استاندارد اضافه کنید تا دسترسی مستقیم کاربران غیرمجاز به فایلهای PHP افزونه و موضوع خود را مسدود کنید:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ – [R=404,L]
محدودکردن اجرای فایل PHP
یک روش دیگر ایمن کردن سایت را برمیشماریم، همچنین در این فایل میتوانید از اجرای غیرمجاز فایلهای PHP جلوگیری کنید تا در صورت نفوذ به سایت شما، هکرها نتوانند فایل PHP خود را با کد مخرب آپلود کنند و آن را داشته باشند. در واقع کار میکند
این بدان معنی است که شما میتوانید از عملکرد اکسپلویتهای بک دور جلوگیری کنید. درحالیکه هنوز باید فایل را پیدا کرده و حذف کنید، اما هرچه موانع بیشتری برای یک هکر ایجاد کنید، احتمال اینکه سایت شما غیرقابلتعمیر شود کمتر میشود.
ازآنجاییکه اکثر هکرها بک دور را در پوشه /wp-content/uploads/ شما آپلود میکنند، مسدودکردن اجرای هر فایل PHP در آنجا میتواند کمک بزرگی باشد.
کد زیر را برای محدودکردن اجرای فایلهای PHP اضافه شده به پوشه آپلود اضافه کنید:
<Directory “/var/www/wp-content/uploads/”>
<Files “*.php”>
Order Deny,Allow
Deny from All
</Files>
</Directory>
از سایت خود در برابر اجرای اسکریپتها محافظت کنید
شما در حال حاضر در حال کار جدی هستید، پس چرا از تزریق کدهای مخرب به فایلهای PHP خود نیز جلوگیری نکنید؟ WP Recipes راهی برای جلوگیری از تزریق اسکریپت منتشر کرد.
بسیاری از هکرها سعی میکنند متغیرهای وردپرس GLOBALS و _REQUEST را در تلاش برای تزریق کد مخرب تغییر دهند. برای جلوگیری از پذیرش این تغییر، میتوانید موارد زیر را به فایل htaccess. خود اضافه کنید:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
جلوگیری از Image Hot Linking در وردپرس
وقتی یک بازدیدکننده URL یکی از تصاویر شما را میگیرد و بهجای آپلود تصویر در سرور خود، آن را در سایت خود بارگذاری میکند، پهنای باند شما را میدزدد. به آن ایمیج هاتلینک نیز میگویند.
برای جلوگیری از این اتفاق، این را به فایل htaccess. خود اضافه کنید:
RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER}
!^http://(www\.)?your-site.com/.*$ [NC] RewriteRule \.(gif|jpg)$
http://www.your-site.com/hotlink.gif [R,L]
فراموش نکنید که your-site.com را با دامنه اصلی خود در خط دو جایگزین کنید و http://www.your-site.com/hotlink.gif را در خط سه با URL اصلی تصویری که میخواهید محافظت کنید جایگزین نمایید.
ایمنسازی دایرکتوری wp-includes
دایرکتوری wp-includes شما خانه بسیاری از فایلهای مهم شما است. با مسدودکردن تمام دسترسیهای غیرمجاز به آن، میتوانید از تمام فایلهای مهم در برابر دستکاری هکرها محافظت کنید.
WP Explorer یک افزونه عالی برای جلوگیری از دسترسی هکرها به پوشه wp-includes شما دارد:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>
جلوگیری از هش نام کاربری
هنگامی که یک بازدیدکننده your-site.com/?author=1 را در نوار آدرس خود وارد میکند، به صفحه نویسنده هدایت میشود که شناسه کاربری یک دارد. صفحه نویسنده شامل نام کاربری واقعی مرتبط با شناسه کاربر است.
بازدید کننده به راحتی میتواند نام کاربری همه کاربران سایت شما را در صورت داشتن پست های مرتبط با حساب خود دریافت کند. به این فرآیند هش و بررسی نام کاربری می گویند. اگر یک هکر بتواند به راحتی نام کاربری شما را به دست بیاورد، چیزی کمتر است که باید حدس بزند. در واقع، تنها جزئیات دیگری که آنها باید حدس بزنند رمز عبور شما است.
درحالیکه دانستن نام کاربری مرتبط با یک حساب، درصورتیکه کاربر از رمز عبور قوی استفاده کند، ارزش زیادی برای هکر نمیافزاید، اما همچنان میتواند برای جلوگیری از شمارش نام کاربری مفید باشد، زیرا هر چه موانع بیشتری برای هکر ایجاد کنید، احتمال کمتری وجود دارد. این است که آنها در واقع میتوانند به سایت شما نفوذ کنند.
در اینجا نحوه جلوگیری از شمارش نام کاربری با افزودن موارد زیر به فایل htaccess را میآموزیم.
RewriteCond %{QUERY_STRING} author=d
RewriteRule ^ /? [L,R=301]
بررسی SSL در فایل htaccess
دقت کنید که پروتکلهای SSL این روزها بخش جدانشدنی از وبسایتها هستند و باید حتماً وجود داشته باشند.
از کد زیر برای اجبار استفاده از گواهینامه SSL استفاده کنید، مگر اینکه نام دامنه کاملاً واجد شرایط (FQDN) فهرست شده در خط سه وارد شود:
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq “www.you-site.com”
ErrorDocument 403 https://www.your-site.com
فقط فراموش نکنید که www.your-site.com را در خطوط سه و چهار با نام دامنه واقعی خود جایگزین کنید.
جمعبندی نهایی
فایل htaccess بهجرئت یکی از مهمترین و کلیدیترین فایلها در توسعه ایمنی و همینطور بهینهسازی وبسایتها است. با استفاده از روشهای مختلف میتوانید فایل htaccess را بهراحتی ایجاد، بررسی، مدیریت و یا ویرایش کنید. به همین منوال ایمنی وبسایت خود را نیز در مراحلی که در این مقاله در وب هاستینگ دوریس مرور شد بهبود بخشید. فایل htaccess میتواند سایت شما را از خطرات بزرگ نجات دهد و سبب شود که هیچ چیز اضافهای در دسترس کاربران و همینطور هکرها قرار نگیرد. پس از این نظر، ایمنی آن اهمیت ویژهای دارد و باید به طور مکرر آن را در صورت نیاز بروزرسانی و ایمنسازی کنید.