• تصاحب صفحه اول گوگل با استفاده از پکیچ نبرد برای صفحه اول گوگل >>> Telegram: @mahdi_imanpour
  • مهمان عزیز، به دلیل تغییر سرورهای توکاوب ممکن است در دانلود برخی منابع به مشکل برخورد نمائید. در صورتی که نیاز به پشتیبانی داشتید با 09211953056 تماس بگیرید.

tabassom

تبسم
کاربر تایید شده
عضویت
Dec 30, 2015
ارسال ها
60
لایک ها
93
سن
19
#1
htaccess یکی از مهمترین فایل های هر وبسایت می باشد. htaccess معمولا در ریشه هاست ( محل نصب اسکریپت ) هست و کمک زیادی به امنیت وبسایت می کند. با ویرایش فایل htaccess می توانید بخش هایی از سرور را هک کنید و امنیت سایتتون رو بالا ببرید. از htaccess برای امنیت وبسایت و همچنین اضافه کردن امکانات به وبسایت استفاده می شود. در ادامه مجموعه هک هایی را آماده کرده ایم که می توانید امنیت سایت وردپرسی خود را تا حدی بهبود ببخشید


افزایش امنیت سایت وردپرسی با htaccess

تمامی هک هایی که قرار داده شده است توسط گروه توانمند اسکریپت بای و توکاوب تست شده اند.

  • حفاظت از فایل های مهم
یکی از بهترین تغییراتی که می توانید در این فایل اعمال کنید ، تغییراتی است که به واسطه آن ها دسترسی به فایل های مهم و حیاتی وردپرس ممنوع می شود . با استفاده از کد زیر دسترسی خارجی و غیرمجاز به فایل های خطا ، فایل wp-config.php و فایل php.ini ممنوع خواهد شد .
PHP
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>
  • ایجاد محدودیت در دسترسی به بخش مدیریت وردپرس
این کد مخصوص کسانی است که از آی پی ثابت استفاده می کنند . با استفاده از این کد دسترسی به بخش مدیریت وردپرس تنها برای کاربرانی امکان پذیر است که آی پی آن ها در لیست آی پی های مجاز قرار گرفته باشد .
PHP
ErrorDocument 401 /path-to-your-site/index.php?error=404
ErrorDocument 403 /path-to-your-site/index.php?error=404

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^IP Address One$
RewriteCond %{REMOTE_ADDR} !^IP Address Two$
RewriteCond %{REMOTE_ADDR} !^IP Address Three$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>
دو خط اول باعث می شود که آی پی های غیر مجاز به برگه خطای ۴۰۴ منتقل شوند . مطمئن شوید که قسمت path-to-your-site را با آدرس سایت خود جایگزین کنید .

همچنین مقادیر IP Address One ، IP Address Two و IP Address Three را با آی پی هایی که مجاز به دسترسی به بخش مدیریت هستند ، جایگزین کنید . اگر می خواهید فقط یک آی پی مجاز باشد ، خط های ۹ و ۱۰ را حذف کنید . همچنین می توانید خط ۱۰ را به تعداد دلخواه تکرار کرده و آی پی های بیشتری را در لیست آی پی های مجاز قرار دهید

  • جلوگیری از نمایش پوشه ها (Directory Browsing)

برای کلیه بازدیدکنندگان سایت شما این امکان وجود دارد که پوشه های سایت شما را بررسی کرده و فایل های شما را مشاهده کند . به عنوان مثال هر بازدید کننده با وارد شدن به آدرس your-site.com/wp-content/uploads می تواند لیست کاملی از فایل ها و پوشه های شما را ببیند .
PHP
Options All -Indexes
  • جلوگیری از دسترسی مستقیم به فایل هایPHP

همانند مورد قبل ، دسترسی مستقیم به فایل های PHP قالب و افزونه ها باید کاملا ممنوع باشد . از فایل های PHP می توان برای تزریق کدهای آلوده به وب سایت و بارگذاری فایل های مخرب استفاده نمود . پس باید دسترسی به فایل های PHP به صورت مستقیم محدود شود. با اضافه کردن کدهای زیر به فایل .htaccess دسترسی مستقیم به فایل های PHP قالب ها و افزونه ها ممنوع می شود .
PHP
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]
  • جلوگیری از اجرای فایل های PHP

هکرها با استفاده از فایل های PHP می توانند کدهای مخرب و الوده را در سایت شما قرار دهند . برای جلوگیری از این مورد باید جلوی اجرای فایل PHP را گرفت . در این حالت حتی اگر هکر بتواند فایل PHP خود را در پوشه آپلودهای وردپرس قرار دهد قادر به اجرای آن نخواهد بود. برای جلوگیری از این مورد یک فایل .htaccess جدید در پوشه آپلودهای وردپرس (wp-content/uploads) ایجاد کرده و کد های زیر را در آن قرار دهید .
PHP
<Files *.php>
deny from all
</Files>
  • محافظت از سایت در برابر تزریق کدهای مخرب

حال که جلوی چند تهدید احتمالی از طرف هکرها را گرفته اید بهتر است یک مرحله دیگر کار را برای هکرها سخت تر کنیم. بیشتر هکرها برای تزریق کدهای آلوده متغیرهای GLOBALS و _REQUEST وردپرس را تغییر می دهند . برای جلوگیری از این حالت کد زیر را در فایل .htaccess قرار دهید .
PHP
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
  • افزایش امنیت پوشه wp-includes
پوشه wp-includes مکان قرارگیری فایل های مهم وردپرس شما است . با جلوگیری از دسترسی های غیرمجاز به این پوشه ، می توانید جلوی سو استفاده های احتمالی از محتویات آن را بگیرید. برای افزایش امنیت پوشه wp-includes کد زیر را در فایل .htaccess قرار دهید .
PHP
<IfModule mod_rewrite.c>[/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE]
[SIZE=4][SIZE=3][SIZE=4][SIZE=3][SIZE=4][SIZE=3]
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
  • جلوگیری از مشاهده اطلاعات کاربران با آی دی
اگر یک هکر قادر باشد به راحتی نام کاربری کاربران سایت را پیدا کند و نیازی نباشد ان ها را حدس بزند ، یک قدم به هدف خود نزدیک شده است . در واقع تنها مورد دیگری که نیاز است پیدا شود ، رمز عبور شماست .با قرار دادن کد زیر در فایل .htaccess ، می توانید جلوی مشاهده اطلاعات کاربران با آی دی آن ها را بگیرید :
PHP
RewriteCond %{QUERY_STRING} author=d[/SIZE][/SIZE][/SIZE][/SIZE][/SIZE][/SIZE]
[SIZE=4][SIZE=3][SIZE=4][SIZE=3][SIZE=4][SIZE=3]
RewriteRule ^ /? [L,R=301]
  • جلوگیری از قرار دادن تصاویر سایت شما در سایت های دیگر (Image Hot Linking)
وقتی یک بازدیدکننده آدرس تصویر شما را کپی کرده و به جای آپلود آن در سایت خود ، از آن استفاده می کند در واقع از پهنای باند شما سواستفاده می نماید . به این حالت hot linking می گویند .
PHP
RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER}
!^http://(www\.)?your-site.com/.*$ [NC] RewriteRule \.(gif|jpg)$
http://www.your-site.com/hotlink.gif [R,L]
  • جلوگیری از دزدیده شدن فایل های زبان قالب ها و افزونه ها
با این کار کلیه دسترسی های خارجی و غیر مجاز به فایل های زبان پوسته ها و افزونه ها ممنوع می شود
PHP
<Files *.po>
deny from all
</Files>
<Files *.mo>
deny from all
</Files>
  • الزامی کردن SSL
با استفاده از کد زیر در صورتی که کاربر آدرس موجود در خط ۳ را وارد کند به صورت خودکار به برگه دارای گواهی SSL وارد شده در خط ۴ منتقل می شود :
PHP
SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq "www.you-site.com"
ErrorDocument 403 https://www.your-site.com