/ امنیت وردپرس با htaccess
وندا هاست
طراحی و راه اندازی وبسایت و انجمن توسط ویکی وی بی ویکی وی بی در قبال معاملات صورت گرفته با هر یک از اعضا و سفارشات طراحی خارج از این اطلاعیه هیچگونه مسئولیتی نمی پذیرد
بک لینک ها
فروش قالب وردپرس فروش فایل مشابه ژاکت وندا هاست
نمایش نتایج: از 1 به 4 از 4

موضوع: امنیت وردپرس با htaccess

  1. #1
    ѕιηα_ℓιzαяđ آنلاین نیست.
    ѕιηα_ℓιzαяđ
    کاربر سايت
    273نوشته291مورد پسند

    تاریخ عضویت
    Apr 2014
    شماره عضویت
    5129
    پسندیده است
    201 پست
    بلاگ
    پست
    میزان امتیاز
    301
    wolf-sec.ir

    امنیت وردپرس با htaccess

    درود




    این روز ها سایت های ورد پرس به اسانی هک میشوند . 70 درصد الی 80 درصد این مشکلات مربوط میشه به عدم کنترل امنیت سایت .




    ابتدا باید کارهایی برای ارتقا امنیت انجام بدید . (مدیران اگر در قسمت نامناسب تاپیک زدم انتقال بدید ) .




    1-انتخاب میزبان قوی


    2-دسترسی کله پوشه ها (پرمیژن) :0555


    3-دسترسی کله فایل های php :444


    4-دسترسی فایل کانفیگ :444


    5-دسترسی فایل htaccess. : 444


    خب در این تاپیک میخوام روش جلوگیری از نفوذ با htaccess بهتون یاد بدم .




    1- سعی کنید نامه پوشه کانفیگ رو تغییر بدید و داخل پوشه کانفیگ رمز و پسورد های دروغین بگذارید ...




    حفاظت از پوشه کانفیگ با استفاده از :
    کد PHP:
    <files wp-config.php>
    order allow,deny
    deny from all
    </files
    به جای
    کد PHP:
    wp-config.php 
    نام فایل کانفیگ خود را قرار بدین
    پوشه wp-includes دارای تعداد زیادی فایل های مهم وردپرس هست که برای اجرای وردپرس استفاده میشن.این پوشه نیاز به دیده شدن ندارد. برای حفاظت از آن دستور زیر رو داخل htaccess. قرار بدید
    کد PHP:
    # Block the include-only files
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase 
    /
    RewriteRule ^wp-admin/includes/ - [F,L]
    RewriteRule !^wp-includes/ - [S=3]
    RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
    RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
    RewriteRule ^wp-includes/theme-compat/ - [F,L]
    </
    IfModule
    جلوگیری از نمایش محتویات فایل ها با استفاده از دستور :
    دستور کوتاهیست ولی مهم هست به نظر بنده .
    کد PHP:
    Options All -Indexes 
    حفاظت از htaccess :
    کد PHP:
    <Files .htaccess>
    order allow,deny
    deny from all
    </Files
    - - - Updated - - -

    جلوگیری از استفاده پهنای باند شما :
    کد PHP:
    # Prevent image hotlinking script. Replace last URL with any image link you want.
    RewriteEngine on
    RewriteCond 
    %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC]
    RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourotherwebsite.com [NC]
    RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/MlQAH71.jpg [NC,R,L] 
    با دستور Htaccess. زیر میتونید از حملات SQL injection , XSS , RFI جلوگیری کنید البته تا حدی :
    کد PHP:
    ServerSignature Off
     Options 
    -Indexes
     

     
    # Enable rewrite engine
     
    RewriteEngine On
     
     
    # Block suspicious request methods
     
    RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK|DEBUG) [NC]
     
    RewriteRule ^(.*)$ - [F,L]
     

     
    # Block WP timthumb hack
     
    RewriteCond %{REQUEST_URI} (timthumb\.php|phpthumb\.php|thumb\.php|thumbs\.php) [NC]
     
    RewriteRule . - [S=1]
     
     
    # Block suspicious user agents and requests
     
    RewriteCond %{HTTP_USER_AGENT} (libwww-perl|wget|python|nikto|curl|scan|java|winhttp|clshttp|loader) [NC,OR]
     
    RewriteCond %{HTTP_USER_AGENT} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
     RewriteCond  %{HTTP_USER_AGENT}  (;|<|>|'
    |"|\)|\(|%0A|%0D|%22|%27|%28|%3C|%3E|%00).*(libwww-perl|wget|python|nikto|curl|scan|java|winhttp|HTTrack|clshttp|archiver|loader|em​ail|harvest|extract|grab|miner)  [NC,OR]
     RewriteCond %{THE_REQUEST} \?\ HTTP/ [NC,OR]
     RewriteCond %{THE_REQUEST} \/\*\ HTTP/ [NC,OR]
     RewriteCond %{THE_REQUEST} etc/passwd [NC,OR]
     RewriteCond %{THE_REQUEST} cgi-bin [NC,OR]
     RewriteCond %{THE_REQUEST} (%0A|%0D) [NC,OR]
     
     # Block MySQL injections, RFI, base64, etc.
     RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
     RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
     RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC,OR]
     RewriteCond %{QUERY_STRING} \=PHP[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12} [NC,OR]
     RewriteCond %{QUERY_STRING} (\.\./|\.\.) [OR]
     RewriteCond %{QUERY_STRING} ftp\: [NC,OR]
     RewriteCond %{QUERY_STRING} http\: [NC,OR]
     RewriteCond %{QUERY_STRING} https\: [NC,OR]
     RewriteCond %{QUERY_STRING} \=\|w\| [NC,OR]
     RewriteCond %{QUERY_STRING} ^(.*)/self/(.*)$ [NC,OR]
     RewriteCond %{QUERY_STRING} ^(.*)cPath=http://(.*)$ [NC,OR]
     RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
     RewriteCond %{QUERY_STRING} (<|%3C)([^s]*s)+cript.*(>|%3E) [NC,OR]
     RewriteCond %{QUERY_STRING} (\<|%3C).*iframe.*(\>|%3E) [NC,OR]
     RewriteCond %{QUERY_STRING} (<|%3C)([^i]*i)+frame.*(>|%3E) [NC,OR]
     RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
     RewriteCond %{QUERY_STRING} base64_(en|de)code[^(]*\([^)]*\) [NC,OR]
     RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
     RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) [OR]
     RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)|<|>).* [NC,OR]
     RewriteCond %{QUERY_STRING} (NULL|OUTFILE|LOAD_FILE) [OR]
     RewriteCond %{QUERY_STRING} (\./|\../|\.../)+(motd|etc|bin) [NC,OR]
     RewriteCond %{QUERY_STRING} (localhost|loopback|127\.0\.0\.1) [NC,OR]
     RewriteCond %{QUERY_STRING} (<|>|'|%0A|%0D|%27|%3C|%3E|%00) [NC,OR]
     RewriteCond %{QUERY_STRING} concat[^\(]*\( [NC,OR]
     RewriteCond %{QUERY_STRING} union([^s]*s)+elect [NC,OR]
     RewriteCond %{QUERY_STRING} union([^a]*a)+ll([^s]*s)+elect [NC,OR]
     RewriteCond  %{QUERY_STRING}  (;|<|>|'|"
    |\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode)  [NC,OR]
     
    RewriteCond %{QUERY_STRING} (sp_executesql) [NC]
     
    RewriteRule ^(.*)$ - [F,L

    6 نفر از اعضا پست ѕιηα_ℓιzαяđ را پسندیده اند


    مرجع تخصصی و رایگان ویبولتین در ایران | ویکی وی بی
    سرلوحه وصیتم این است..
    بعدازمرگم جنازه ام را بسوزانید میخواهم...

  2. نوين وردپرس تبلیغات شما

  3. #2
    Mr.MAMAD آنلاین نیست.
    Mr.MAMAD
    کاربر اخراجي
    453نوشته219مورد پسند

    تاریخ عضویت
    Feb 2014
    شماره عضویت
    4307
    پسندیده است
    253 پست
    بلاگ
    پست
    میزان امتیاز
    229
    iPlayers.ir
    سلام ممنون از آموزشتون فقط میشه در مورد این بیشتر توضیح بدید:
    1- سعی کنید نامه پوشه کانفیگ رو تغییر بدید و داخل پوشه کانفیگ رمز و پسورد های دروغین بگذارید ...

    کاربر زیر پست Mr.MAMAD را پسندیده است:



  4. #3
    ѕιηα_ℓιzαяđ آنلاین نیست.
    ѕιηα_ℓιzαяđ
    کاربر سايت
    273نوشته291مورد پسند

    تاریخ عضویت
    Apr 2014
    شماره عضویت
    5129
    پسندیده است
    201 پست
    بلاگ
    پست
    میزان امتیاز
    301
    wolf-sec.ir
    درود
    خب این کار سختی نیست فایل wp-config.php رو به مسیر و پوشه ای که میخوایید move کنید بعد داخل public_html یک فایل به نام wp-config.php ساخته و کد زیر رو داخلش قرار بدین
    کد PHP:
    <?php include(/home/usersite/yourfilename.php’); ?>
    رو بزارید
    به جای /home/usersite/yourfilename.php مسیر فایل کانفیگ خود را بزارید
    حالا شاید بگین خب هکر اگه بتونه به wp-config.php که میسازیم و کد رو قرار میدیم توش دسترسی پیدا کنه ادرس کانفیگی که داخلش گذاشتیم رو برمیداره و میره سراغ کانفیگ
    خب برای این کار هم باید کد بالایی که گفتم در wp-config.php بزارید رو encode کنید
    موفق باشیدمرجع تخصصی و رایگان ویبولتین در ایران | ویکی وی بی

    3 نفر از اعضا پست ѕιηα_ℓιzαяđ را پسندیده اند


    مرجع تخصصی و رایگان ویبولتین در ایران | ویکی وی بی
    سرلوحه وصیتم این است..
    بعدازمرگم جنازه ام را بسوزانید میخواهم...

  5. #4
    ѕιηα_ℓιzαяđ آنلاین نیست.
    ѕιηα_ℓιzαяđ
    کاربر سايت
    273نوشته291مورد پسند

    تاریخ عضویت
    Apr 2014
    شماره عضویت
    5129
    پسندیده است
    201 پست
    بلاگ
    پست
    میزان امتیاز
    301
    wolf-sec.ir
    جلوگیری از حملات xss با دو دستور زیر :
    این دو دوستور مقابل حملاتی نظیر Cross Site Scripting و data injection سایت شمارا ایمن میکند
    کد PHP:
    # Turn on IE8-IE9 XSS prevention tools
    Header set X-XSS-Protection "1; mode=block" 
    کد PHP:
    # Only allow JavaScript from the same domain to be run.
    # Don't allow inline JavaScript to run.
    Header set X-Content-Security-Policy "allow 'self';" 
    کد زیر جلوی کاراکترهای غیر استاندارد را خواهد گرفت و این عمل میتواند شما در مقابل حملاتی که با درخواست HTTP نفوذ پذیری را ممکن میکند ایمن کند.
    کد PHP:
    # Prevent use of specified methods in HTTP Request 
    RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR] 
    # Block out use of illegal or unsafe characters in the HTTP Request 
    RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR] 
    # Block out use of illegal or unsafe characters in the Referer Variable of the HTTP Request 
    RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR] 
    # Block out use of illegal or unsafe characters in any cookie associated with the HTTP Request 
    RewriteCond %{HTTP_COOKIE} ^.*(<|>|'
    |%0A|%0D|%27|%3C|%3E|%00).* [NC,OR] 
    # Block out use of illegal characters in URI or use of malformed URI 
    RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR] 
    # Block out  use of empty User Agent Strings
    # NOTE - disable this rule if your site is integrated with Payment Gateways such as PayPal 
    RewriteCond %{HTTP_USER_AGENT} ^$ [OR] 
    # Block out  use of illegal or unsafe characters in the User Agent variable 
    RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR] 
    # Measures to block out  SQL injection attacks 
    RewriteCond %{QUERY_STRING} ^.*(;|<|>|'
    |"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR] # Block out  reference to localhost/loopback/127.0.0.1 in the Query String 
    RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR] 
    # Block out  use of illegal or unsafe characters in the Query String variable 
    RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC] 
    - - - Updated - - -

    بستن دسترسی به php.ini
    کد PHP:
    <FilesMatch "^php5?\.(ini|cgi)$">
    Order Deny,Allow 
    Deny from All 
    Allow from env
    =REDIRECT_STATUS 
    </FilesMatch
    میتونید با غیر مجاز کاراکتر های غیر معتبر بلوکه امنیت سایت خود را افزایش دهید. برای اینکار کدهای زیر را در فایل htaccess وارد نمایید:
    کد PHP:
    RewriteEngine On 
    RewriteBase 

    RewriteCond %{THE_REQUEST} !^[A-Z]{3,9}\ [a-zA-Z0-9\.\+_/\-\?\=\&]+\ HTTP/ [NCRewriteRule .* - [F,NS,L

    2 نفر از اعضا پست ѕιηα_ℓιzαяđ را پسندیده اند


    مرجع تخصصی و رایگان ویبولتین در ایران | ویکی وی بی
    سرلوحه وصیتم این است..
    بعدازمرگم جنازه ام را بسوزانید میخواهم...

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. ارور بعد از آپلود .htaccess وی بی سئو
    توسط B.A.B.A.K در انجمن رسیدگی به مشکلات انجمن شما ( پرسش و پاسخ )
    پاسخ: 2
    آخرين نوشته: 01-30-2015, 05:49 PM
  2. آموزش اضافه کردن سئو با htaccess. برای آپلود سنتر کلیجا
    توسط B.A.B.A.K در انجمن آموزش های کلیجا
    پاسخ: 0
    آخرين نوشته: 12-11-2014, 02:15 PM
  3. کد htaccess برای انتقال صفحات 404 ها به صفحه مورد نظر
    توسط B.A.B.A.K در انجمن آموزش های ویبولتین
    پاسخ: 0
    آخرين نوشته: 12-11-2014, 12:30 PM
  4. مشکل ورود کاربر استفاده از کد .htaccess
    توسط pixell در انجمن رسیدگی به مشکلات انجمن شما ( پرسش و پاسخ )
    پاسخ: 4
    آخرين نوشته: 11-27-2014, 06:41 PM
  5. مشکل htaccess برای ساب دامین ها
    توسط sajad در انجمن رسیدگی به مشکلات انجمن شما ( پرسش و پاسخ )
    پاسخ: 7
    آخرين نوشته: 12-22-2012, 01:26 PM

کلمات کلیدی این موضوع

مرجع تخصصی و رایگان ویبولتین در ایران | ویکی وی بی مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  
خرید بک لینک
مرجع تخصصی و رایگان ویبولتین در ایران | ویکی وی بی