ينطبق هذا الجزء فقط على الحالات التي ترغب فيها في إعداد كافة الإعدادات والقواعد الضرورية يدويًا. يمكن إعداد كل هذه الإعدادات تلقائيًا باستخدام المكونات الإضافية الآمنة (خاصة BulletProof Security ).
نوصي باستخدام المكونات الإضافية الآمنة أولاً، وفقط في حالة فشلها في توفير التحكم اللازم، قم بإجراء التكوين اليدوي.
إذا كنت بحاجة إلى إجراء تغييرات محددة على ملف .htaccess يدويًا، فيرجى استخدام الدليل الموضح أدناه:
.htaccess (الوصول إلى النص التشعبي) هو الاسم الافتراضي لملف التكوين على مستوى الدليل المخصص لخوادم الويب التي تقوم بتشغيل Apache.
هذا هو الملف الذي يتم تعديله في أغلب الأحيان عند التعامل مع عمليات إعادة التوجيه وغالبًا ما يستخدم أيضًا لتغيير أنواع الملفات لجعلها قابلة للتنفيذ، وهو أيضًا الذي ستستخدمه لتقوية بيئتك.
لحمايته، قم بتطبيق بعض القواعد البسيطة – قم بتعيين أذونات منخفضة ورفض الوصول.
تطبيق أذونات منخفضة
التوجيه الأساسي للأذونات بسيط: كلما انخفض العدد، أصبح الوصول أكثر صعوبة.
القاعدة الأساسية الجيدة هي إبقاء الرقم عند أدنى مستوى ممكن حيث لا يتأثر الأداء أو الوظيفة. بالنسبة لمعظم المستخدمين، فإن تعيينه على 640 سيمنحك مستوى الوصول الذي تحتاجه.
إضافة توجيهات .HTACCESS
المهم أن نلاحظ هنا أن هذا لا يعمل إلا إذا كان الهجوم خارجيًا، لن يحميك هذا من الهجمات الداخلية (إذا تم اختراق حساب cPanel بالكامل، على سبيل المثال).
هذا هو توجيه htaccess الذي يمكنك استخدامه:
#PROTECT HTACCESS
<Files .htaccess>
أمر السماح، رفض
الرفض من الكل
</Files><files .htaccess="">
</files>
ملاحظة: هذا يحمي الملف فقط من الوصول الخارجي.
- تعطيل تصفح الدليل
إذا كنت لا تريد السماح للزائرين بتصفح الدليل بأكمله، فما عليك سوى إضافة سطرين في ملف .htaccess الخاص بك في الدليل الجذر لمدونة WordPress الخاصة بك:
# تعطيل
خيارات تصفح الدليل الكل - الفهارس
- حماية ملف wp-config
يعد Wp-config.php مهمًا لأنه يحتوي على كافة البيانات الحساسة وتكوينات مدونتك، وبالتالي يجب قفله من خلال .htaccess. أضف الكود أدناه إلى ملف .htaccess في الدليل الجذر:
<files wp-config.php=""># حماية wpconfig.php
<files wp-config.php>
أمر السماح، رفض
الرفض من الكل
</files>
</files>
يمنع الرمز الوصول إلى ملف wp-config.php للجميع.
- الوصول إلى دليل محتوى wp
يحتوي محتوى Wp على كل المحتوى الخاص بتثبيت WordPress الخاص بك.
هذا مجلد مهم جدًا ويجب تأمينه، يجب أن يكون المستخدمون قادرين فقط على عرض أنواع معينة من الملفات والوصول إليها مثل الصور (jpg وgif وpng) وJavascript وcss وXML.
ضع الكود أدناه في ملف .htaccess داخل مجلد محتوى wp (وليس الجذر):
رفض الطلب، السماح
بالرفض من الكل
<Files ~ ".(xml|css|jpeg|png|gif|js)$">
السماح من الكل
</Files>
- ملفات wp-admin
يجب أن يتم الوصول إلى Wp-admin فقط بواسطتك أنت وزملائك المدونين (إن وجدوا).
يمكنك استخدام .htaccess لتقييد الوصول والسماح فقط بعناوين IP محددة لهذا الدليل.
إذا كان لديك عنوان IP ثابت وتقوم دائمًا بالتدوين من جهاز الكمبيوتر الخاص بك، فقد يكون هذا خيارًا جيدًا لك.
ومع ذلك، إذا كنت تدير مدونة لعدة مستخدمين، فيمكنك إما إلغاء الاشتراك فيها أو السماح بالوصول من مجموعة من عناوين IP.
انسخ الكود أدناه والصقه في ملف .htaccess في المجلد wp-admin (وليس المجلد الجذر):
# رفض الوصول إلى أمر المشرف wp ، السماح
بالسماح من xx.xx.xx.xx # هذا هو
رفض عنوان IP الثابت الخاص بك من الكل
سيمنع الكود أعلاه المتصفح من الوصول إلى أي ملف في هذه الأدلة بخلاف "xx.xx.xx.xx" والذي يجب أن يكون عنوان IP الثابت الخاص بك.
- منع حقن البرنامج النصي
لحماية مدونة WordPress الخاصة بك من حقن البرنامج النصي والتعديل غير المرغوب فيه لـ _REQUEST و/أو GLOBALS، انسخ الكود أدناه والصقه في ملف htaccess الخاص بك في الجذر:
# الحماية من حقن SQL
الخيارات +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[ |\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(. *)$index.php [F,L]