مسدود کردن دسترسی php برای هکرها
هکر ها معمولا به روش های مختلف تلاش می کنند فایل های مخربی به سرور میزبانی وب سایت شما آپلود کنند و با استفاده از آنها اعمال خرابکارانه بعدی را انجام دهند. این فایل ها معمولا از نوع php می باشند که قابلیت اجرای فرامین مختلف توسط هکر را دارند. اولین قسمت از سایت که مورد حمله قرار میگیرد پوشه Uploads می باشد چون دسترسی ارسال فایل به آن آزادتر است. همچنین هکر ها فایل های مخرب خود را داخل پلاگین ها و قالب هایی که بطور رایگان در اینترنت پخش کرده اند قرار می دهند و افرادی که از آن موارد استفاده کنند شکار خواهند شد! پس بطور کلی پوشه wp-content در خطر می باشد! برای امنیت بیشتر میتوان حتی پوشه wp-includes را نیز به روشی که در زیر بیان شده ایمن تر کرد. در مورد پوشه wp-admin توصیه ما این است که بطور کلی آن را از طریق پسورد گذاشتن برای عموم مسدود نمایید.
محافظت از پوشه آپلود ها
پوشه Uploads که داخل پوشه wp-content قرار دارد از هدف های اصلی هکر ها می باشد که از طریق آپلود فایل های php مخرب به آن می توانند به هاست شما نفوذ کنند! به همین جهت بسیار مناسب است که جلوی اجرای فایل های اجرایی php داخل این پوشه و زیرمجموعه های آن را بگیرید. برای اینکار باید یک فایل htaccess داخل پوشه uploads ایجاد کنید و کد زیر را داخل آن قرار دهید:
|
1 2 3 4 5 6 7 8 9 |
<FilesMatch "\.(?i:php)$"> <IfModule !mod_authz_core.c> Order allow,deny Deny from all </IfModule> <IfModule mod_authz_core.c> Require all denied </IfModule> </FilesMatch> |
محدود نمودن wp-content
شما باید دسترسی بازدیدکننده ها و هکر ها به فایل های php داخل پوشه wp-content را نیز محدود کنید. برای اینکار نیز همان فایل htaccess که در مرحله قبل ایجاد کردید در این پوشه کپی نمایید. پس از افزودن این فایل سایت خود و کارآیی همه بخش های آن را کنترل نمایید که مشکل خاصی ایجاد نشده باشد. اگر مشکلی در سایت شما بوجود آمده باشد نمی توانید از این روش استفاده نمایید، البته می توانید برخی فایل های خاص را دسترسی بدهید مانند کدی که در مرحله بعد به شما نمایش می دهیم.
محدود نمودن wp-includes
این گزینه دسترسی به فایل های php داخل پوشه wp-includes را مسدود می کند. برای اینکار فایل htaccess حاوی کد زیر را داخل این پوشه ایجاد کنید:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
<FilesMatch "\.(?i:php)$"> <IfModule !mod_authz_core.c> Order allow,deny Deny from all </IfModule> <IfModule mod_authz_core.c> Require all denied </IfModule> </FilesMatch> <Files wp-tinymce.php> Allow from all </Files> <Files ms-files.php> Allow from all </Files> |
همانطور که مشاهده می کنید در این کد به دو عدد فایل بطور خاص اجازه دسترسی داده شده است.
مطلب خیلی مفیدی بود و به آن نیاز داشتم.