.htaccess هو ملف نصي إختصار الكلمتين باللغة الانجليزية hypertext access يعتبر هذا الملف ملف إعدادات مدعوم من سيرفرات الويب Apache ويستخدم في التحكم في إعدادات الخوادم وبشكل لا مركزي. يوضع الملف ضمن مجلد الملفات الرئيسية لموقعك . في هذا المقال سوف اشرح اهم استخدامات ملف .htaccess لحماية وزيادة سرعة مواقع الووردبريس .
اين اجد ملف .htaccess
قبل البدء في اي تعديل يجب عليك العثور على ملف .htaccess.
تظهر لقطة الشاشة التالية مكان الملف . الملف يتواجد في مجلدات موقعك الرئيسية حيث توجد ايضا مجلدات wp-content و wp-admin وما إلى ذلك.
ملاحظة: قبل القيام بأي تعديل على ملف .htaccess يجب نسخة وحفظة لكي تتمكن من الرجوع الى النسخة في حال حدوث اي مشاكل او اخطاء .
عدم السماح بالوصول من الخارج إلى ملف htaccess
من خلال الكود المرفق ادناه نمنع الوصول الى هذا الملف المهم خارج نطاق FTP
# منع الوصول الى ملف هاتكسس
<FilesMatch "(\.htaccess)">
Order deny,allow
Deny from all
منع ارتباطات الصور المضمنة hotlinking
يقوم بعض الاشخاص باستخدام او سرقة رابط الصور الموجودة في موقعك ويتم اضافتها في مواقع اخرى وهذا يتسبب في بطئ الموقع وزيادة استنزاف موارده
يمكن منع ذلك من خلال الكود التالي (يجب استبدال yourdomain.com بعنوان موقعك ورابط الصورة http://your pic.com في السطر الاخير )
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://your pic.com/ [NC,R,L]
يرجى ملاحظة: إذا كنت تستخدم مزود تغذية خارجي مثل Feedburner ، فقد لا تظهر الصور في الخلاصة.
تمكين التخزين المؤقت للمتصفح
لا يكاد أي إجراء ضبط آخر يجلب الكثير من النتائج مع القليل من الجهد. لا يتغير الكثير من أكبر الملفات على موقع الويب الخاص بك. لذلك من الجيد وضعها في ذاكرة التخزين المؤقت للمتصفح لفترة طويلة الملفات ، مثل CSS أو JavaScript لموقع ويب ، يتم تحميلها فقط عن طريق المتصفح في أول زيارة. في كل مرة تزورها (أو عندما تزور صفحات أخرى في الزيارة الأولى) ، لم يعد على المتصفح تحميل هذه الملفات. وفقا لذلك ، يتم عرض الموقع بشكل أسرع بكثير.
## EXPIRES CACHING ##
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg “access 1 year”
ExpiresByType image/jpeg “access 1 year”
ExpiresByType image/gif “access 1 year”
ExpiresByType image/png “access 1 year”
ExpiresByType text/css “access 1 month”
ExpiresByType text/html “access 1 month”
ExpiresByType application/pdf “access 1 month”
ExpiresByType text/x-javascript “access 1 month”
ExpiresByType application/x-shockwave-flash “access 1 month”
ExpiresByType image/x-icon “access 1 year”
ExpiresByType image/x-icon “access 1 year”
ExpiresDefault “access 1 month”
</IfModule>
## EXPIRES CACHING ##
حظر عناوين IP بشكل دائم
قد يحدث أنك تريد حظر عناوين IP محددة. سواء كان ذلك بسبب محاولة شخص ما اختراق منطقة الإدارة في موقعك ، أو لأنه قد يترك تعليقات ضارة . إذا كنت قد اكتشفت عنوان IP الخاص به ، فاستخدم الكود التالي يمنعه من دخول موقعك بواسطة هذا IP .
<Limit GET POST>
order allow,deny
deny from 173.754.58.9
deny from 787.651.38.1
allow from all
</Limit>
ملاحظة: يجب ضبط عناوين IP في الكود أعلاه
حماية ملف WP-Include
هناك طريقة أخرى لزيادة أمان ووردبريس بشكل ملحوظ وهي حظر ملف wp-include. الكود التالي صغير و يمكن تضمينه بسرعة في ملف .htaccess الخاص بك هذه الكود يوصى به رسميًا ولكن يتم تجاهله أو يتم الاستهانة به من قبل المستخدمين.
# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^static/lib/ – [S=3]
RewriteRule ^static/lib/[^/]+\.php$ – [F,L]
RewriteRule ^static/lib/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^static/lib/theme-compat/ – [F,L]
</IfModule>
يرجى ملاحظة: الكود لا يعمل مع WordPress-Multisite متعدد المواقع .
حماية ملف wp-content
يعد مجلد wp-content في WordPress هو أهم مجلد لأنه يحتوي على السمات والإضافات والصور والملفات المخزنة . بالنسبة للمتسللين ، يعد هذا المجلد هو الهدف الرئيسي ، لذلك يجب حمايته جيدًا.
قم بإنشاء ملف .htaccess منفصل ، والصق الكود التالي في داخلة ثم قم برفعه الى wp (www.yourhomepage.com/wp-content).
Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>
اغلاق واجهة XML-RPC
يتم استخدام واجهة XML-RPC في WordPress لإدارة WordPress مع البرامج الخارجية ؛ على سبيل المثال ، لنشر المقالات أو تحرير التعليقات. تشتمل البرامج على تطبيقات الأجهزة المحمولة لنظام التشغيل iOS و Android و Co ، وكذلك تطبيق سطح المكتب WordPress.
يمكن أيضًا استخدام الواجهة لهجمات DDoS التي تتسبب في إصابة موقع الويب الخاص بك بالشلل. مع اضافة الكود التالي في ملف .htaccess ، يمكنك إيقاف تشغيل الواجهة بالكامل
يرجى التعامل بحذر مع اضافة الكود لان ملف XML-RPC قد يعطل بعض الاضافات في موقعك .
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
ينصح باستخدام الكود التالي فقط إذا كان موقع الويب الخاص بك لا يحتوي على وظائف مدونة ، حيث لا يُسمح Trackbacks بقراءة ملفات معينة . إذا كنت تريد مدونة WordPress الخاص بك تعمل مع تطبيقات الهاتف المحمول ، فاستخدم الرمز التالي لتأمين الواجهة:
<IfModule mod_setenvif.c>
<Files xmlrpc.php>
BrowserMatch “Poster” allowed
BrowserMatch “WordPress” allowed
BrowserMatch “wp-iphone” allowed
BrowserMatch “wp-android” allowed
Order Deny,Allow
Deny from All
Allow from env=allowed
</Files>
</IfModule>
منع رسائل الخطأ في PHP
بشكل أساسي ، قد يكون عرض رسائل خطأ PHP على الموقع مخاطرة أمنية ، حيث إن الاستنتاجات حول التعليمات البرمجية أو بنية الدليل أو بنية قاعدة البيانات يمكن أن تستغل هذا الخطأ من قبل الهاكر.
يمكن استخدام الإدخالات التالية في .htaccess لمنع رسائل خطأ PHP.
php_flag display_errors Off
حظر الوصول إلى ملفات معينة عبر ملف. htaccess
حظر الوصول الخارجي إلى الملفات المهمة ، لأنه يجب أن يكون لديك حق الوصول إلى هذه الملفات فقط. تحمي الاكواد التالية موقع الويب الخاص بك من عمليات استغلال عناوين URL ، أي ضد محاولات القرصنة عبر عنوان URL. هذه الاكواد في ملف htaccess موجودة في جميع مواقع الويب الخاصة بي.
# ————————–
# إعدادات الأمان الهامة
# ————————–
#منع الملفات الهامة ضد الوصول الخارجي
<files install.php>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
# PROTECT readme.html
<files readme.html>
Order Allow,Deny
Deny from all
Satisfy all
</Files>
<files error_log>
Order allow,deny
Deny from all
</files>
# URL-based Exploits
RedirectMatch 403 \[
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
# منع السلاش المكرر في الروابط
RewriteCond %{THE_REQUEST} ^[A-Z]+\ /(([^/\ ]+/)*)/+([^\ ]*)
RewriteRule ^ /%1%3 [L,R=301]
</IfModule>
الخاتمة
خلال دقائق معدودة فقط ، ستجعل الاكواد الموجود في هذه المقالة موقع الويب الخاص بك WordPress أكثر أمانًا وأسرع. أصبح لدى المتسللين الآن فرصة أقل بكثير في اختراق موقع الويب الخاص بك وسيستمتع قرائك بحقيقة أن الموقع أصبح أسرع من خلال تمكين التخزين المؤقت للمتصفح.
