ev borcu WordPress sitesi
.htaccess Kullanarak WordPress Dosyalarınızı ve Dizinlerinizi Nasıl Korursunuz?
.htaccess dosyası, en popüler Apache web sunucusu yazılımı da dahil olmak üzere birçok web sunucusu tarafından desteklenen bir sunucu yapılandırma dosyasıdır. Bu görünüşte alçakgönüllü dosya, doğru kullanıldığında web sunucunuzun istekleri işleme şeklini çok etkili bir şekilde tanımlayabilen her türlü işlevsellik ve özellikle dolu bir güçtür. .htaccess dosyasını kullanarak WordPress dosya ve dizinlerine erişimi nasıl kısıtlayacağınızı öğrenin.
Web sunucusunun istekleri işleme şeklini tanımlamanın yanı sıra, WordPress dosyalarınızı bilgisayar korsanlarının yetkisiz erişimine karşı korumak da çok yararlıdır. Bu makalede, .htaccess kullanarak WordPress dosyalarınızı ve dizinlerinizi korumanın birçok yolunu keşfedeceğiz.
İçindekiler gizle
1. .htaccess kullanarak WordPress dosyalarınızı ve dizinlerinizi nasıl korursunuz?
ben. .htaccess dosyasını koruma
ii. .htaccess kullanarak wp-admin klasörüne erişimi kısıtlayın
iii. wp-config.php dosyasına yetkisiz erişimi engelle
iv. Wp içeriğine/yüklemelere erişim nasıl engellenir ve pHp yürütmesi nasıl devre dışı bırakılır?
v. htaccess kullanarak WordPress'te dizin taramasını devre dışı bırakın
vi. Belirli IP adreslerinin siteye erişmesini engelleme
vii. Belirli alan adlarının sitenize erişmesini engelleme
2. Alternatif bir çözüm
1. .htaccess kullanarak WordPress dosyalarınızı ve dizinlerinizi nasıl korursunuz?
WordPress dosyalarınızı meraklı gözlerden korumak için kullanabileceğiniz bazı basit teknikleri keşfedelim. Tweetlemek için tıklayın
Diğer dosyaları korumaya geçmeden önce, önce .htaccess'i korumakla başlayalım. Ancak, her zaman söylediğimiz gibi, herhangi bir değişiklik yapmadan önce ( ne kadar büyük veya küçük olursa olsun ) mutlaka sitenizi yedekleyin ve bu durumda .htaccess dosyanızın birkaç kopyasını yerel sisteminize kaydedin. Bu, dosyaya yanlışlıkla müdahale edilmesinden kaynaklanabilecek herhangi bir hasarı içermek içindir.
ben. .htaccess dosyasını koruma
.htaccess dosyası, public_html web kök klasöründe kolayca bulunabilir Bu dosyaya erişmenin iki yolu vardır – FileZilla gibi bir FTP kullanarak veya WordPress barındırma hesabınızın Bu makalede, dosyaya erişmek için Dosya Yöneticisini kullanıyoruz ve size onu nasıl güvenceye alabileceğinizi gösteriyoruz.
Adım 1: Kullanıcı adınızı ve şifrenizi kullanarak web barındırma hesabınıza giriş yapın. Web barındırma hesabı kimlik bilgilerinizden emin değilseniz, kılavuzumuza bakın.
Bluehost hesabınıza giriş yapın
Adım 2: 'Dosya Yöneticisi'ni seçin
Adım 3: Ardından, public_html klasörüne tıklayın.
'public_html'yi seçin
Adım 4: İçeride .htaccess dosyasını göreceksiniz. Üzerine sağ tıklayın. Ve düzenleme seçeneğini seçin.
Dosyaya eriştiğinizde, aşağıdaki kod parçasını içine yerleştirin.
# Deny access to .htaccess
<Files .htaccess>
Order allow,deny
Deny from all
</Files>
Bu, kullanıcıların .htaccess dosyanıza erişmesini kısıtlayacaktır. Basit, değil mi?
Artık .htaccess dosyasını güvenli hale getirdiğimize göre, diğerlerine geçmenin zamanı geldi. O halde wp-admin klasörünün güvenliğini sağlamaya başlayalım.
ii. .htaccess kullanarak wp-admin klasörüne erişimi kısıtlayın
wp-admin klasörü, birlikte yönetici araçlarına güç sağlayan dosyaları içerir. Bu klasörün altındaki admin.php dosyası aşağıdaki işlevleri yerine getirir:
- Veritabanına bağlantı sağlar
- WordPress panosunu görüntüler
- Sitenizin giriş sayfasını kontrol edin
Gördüğünüz gibi wp-admin dizini çok önemli bir dizindir ve yetkisiz erişime karşı korunmasına özen gösterilmelidir. Bunun nedeni, yönetici paneline erişmenin, bilgisayar korsanının web sitenizde hasara yol açmasına izin vermesidir. Bunu yapmak için, .htaccess dosyasını kullanarak WordPress yönetici klasörüne kullanıcı erişimini kısıtlayın. Seçtiğiniz belirli IP adreslerine erişime izin verin. Bunu yapmak için, belirli bir kodla ( aşağıdaki mavi kutudaki ) ayrı bir .htaccess dosyası oluşturmanız ve onu wp-admin klasörünüze yüklemeniz gerekir.
Yeni bir .htaccess dosyası oluşturmak için, varsayılan metin düzenleyicinizde yeni bir dosya açın ve .htaccess olarak adlandırın . .htaccess.txt veya .htaccess.doc veya diğer ek dosya uzantıları değil. Sadece düz .htaccess . Bunu yaptıktan sonra, içine aşağıdaki kodu yapıştırın.
# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 12.34.56.78
</Limit>
Yeni oluşturulan .htaccess dosyasını wp-admin klasörüne yüklemek için web barındırma hesabınızda oturum açın ve aşağıda gösterildiği gibi dosya yöneticisini açın.
'Dosya Yöneticisi'ni seçin
Dosya Yöneticisine tıkladığınızda, sitenizdeki tüm dosya ve klasörleri aşağıda gösterildiği gibi görebilirsiniz. Ardından public_html klasörüne tıklayın.
'public_html'yi seçin
wp-admin klasörüne tıklayın.
'wp-admin'i seçin
Ardından, daha önce gösterildiği gibi yükle düğmesine tıklayın.
'Yükle'yi seçin
Yerel sisteminizde az önce oluşturduğunuz .htaccess'i seçin ve açılan pencereye yükleyin.
Dosyayı yükleyin
Yeni .htaccess dosyasını yükledikten sonra işiniz bitti! Bu yeni güvenlik önlemi, açıkça izin verdiğiniz kullanıcılar dışındaki kullanıcıların yönetici panelinize erişmesini kısıtlayacaktır.
Bunun yalnızca wp-admin erişimini kısıtlayacağını ve WordPress site erişimini tamamen kısıtlamayacağını unutmayın. wp-admin'e kayıtlı kullanıcılar tarafından erişilebilir ancak bu, kullanıcı rolleriyle de sınırlandırılabilir. Her kayıtlı kullanıcının klasöre erişememesi için kullanıcılara izinler kısıtlanabilir.
iii. wp-config.php dosyasına yetkisiz erişimi engelle
wp-config dosyası, WordPress'in temel yapılandırmalarını işler ve MySQL ayarları, gizli anahtarlar, WordPress veritabanı bağlantı ayrıntıları vb. gibi WordPress kurulumunuzla ilgili hassas bilgileri içerir. İçerdiği verilerin kritik doğası göz önüne alındığında, korumak için azami özen gösterilmelidir. o meraklı gözlerden.
.htaccess dosyası, bir web kullanıcısı tarafından erişilen bu çok önemli dosyayı korumak için kullanışlı olabilir. Bunun için aşağıdaki kodu .htaccess dosyanıza kopyalamanız yeterlidir.
' .htaccess dosyasını koruma ' altında açıklandığı gibi Yukarıda verilen kodu ekledikten sonra wp-config.php dosyasına yetkisiz erişimi engellemiş olacaksınız.
iv. Wp içeriğine/yüklemelere erişim nasıl engellenir ve pHp yürütmesi nasıl devre dışı bırakılır?
Çoğu zaman bilgisayar korsanları sitenizdeki dosyalara erişmek için arka kapıyı terk eder, böylece saldırı keşfedilip ele alınsa bile gelecekte siteye kolay erişim elde edebilirler. Bu arka kapı dosyaları genellikle wp-include veya wp-content/uploads/dizinlerinde WordPress dosyaları olarak gizlenir. Ve bunlar genellikle .php dosyalarıdır. WordPress dosya ve klasörlerinizi daha iyi güvenceye almak için bu tür dosyaların yürütülmesini devre dışı bırakmanız gerekir. Bu, WordPress erişiminizi kısıtlamanıza yardımcı olabilir ve bu, bu dizinlerde PHP yürütmesini devre dışı bırakarak yapılabilir.
.htaccess kullanarak PHP yürütmesini devre dışı bırakmak, T için basit talimatlarımızı izlerseniz çok kolay bir işlemdir.
Öncelikle metin düzenleyicinizde yeni bir .htaccess dosyası oluşturun ve aşağıdaki kodu buna ekleyin.
<Files *.php>
deny from all
</Files>
Bir sonraki adım olarak, web barındırma hesabınıza giriş yapın ve Dosya Yöneticinizi açın. Burada içeriğe ve yükleme klasörüne erişebilirsiniz. wp-content/upload/ klasörünü arayın.
'wp-content' içinden 'yüklemeler'i seçin
Yükle düğmesine tıklayın ve yeni oluşturulan .htaccess dosyasını yükleyin.
'Yükle'yi seçin
Karşıya Yükle düğmesine tıkladığınızda, yerel sisteminizden .htaccess dosyasını seçmenize izin verecek yeni bir pencere açılacaktır.
Dosyayı yükleyin
.htaccess dosyasını wp-content/upload/ klasörüne wp-content/upload/ klasörüne eklemeye benzer şekilde, sitenizin Ana dizininden 'wp-include' seçeneğini seçin
wp-includes klasörüne tıklayın ve ardından yükle düğmesine tıklayın.
'Yükle'yi seçin
Yükleme düğmesine tıkladığınızda, yerel sisteminizden bir dosya seçebileceksiniz. Yeni oluşturduğunuz .htaccess dosyasını seçin ve yükleyin.
Dosyayı yükleyin
.htaccess'i bu çok önemli klasörlerin her ikisine de ekledikten sonra, bu klasörlerdeki herhangi bir PHP uygulamasını başarıyla devre dışı bıraktınız.
v. htaccess kullanarak WordPress'te dizin taramasını devre dışı bırakın
Dizin tarama, bir web sitesine erişmeye çalıştığınızda web sayfası yerine dosya ve klasörlerin bir listesini gördüğünüz bir özelliktir. Örneğin, web sitenizde özel (örnek olarak) adlı bir dizininiz var, Bu belirli dizinde dizin taraması devre dışı bırakılmamışsa, biri www.example.com/private/ yazsaydı , özel dizindeki tüm dosya ve klasörleri görürdü Bu, siteniz için felaket olabilir, çünkü bu, entrikacı bilgisayar korsanına zengin bir bilgi sunabilir. O zaman kim site dosya hiyerarşiniz hakkında bilgi sahibi olarak sitenize bir saldırı planlamaya devam edebilir? Htaccess kullanarak WordPress'te dizine göz atmayı devre dışı bırakarak, web sitenize erişim düzeyini sınırlamış olursunuz.
Belirli bir dizine yönelik dizin taramasını devre dışı bırakmak için, metin düzenleyicinizde bir .htaccess dosyası oluşturun ve bunu .htaccess olarak kaydedin (ek dosya uzantıları olmadan). Ardından aşağıdaki kodu ekleyin ve WordPress dosyalarınıza erişimi kısıtlayın.
# disable directory browsing
Options All -Indexes
Kodu ekledikten sonra, yeni oluşturulan bu .htaccess dosyasını bu özelliği devre dışı bırakmak istediğiniz dizine yükleyin. Örnek olarak, wp-includes klasörü için dizin taramayı devre dışı bırakmak istiyorsanız, bu .htaccess dosyasını daha önce Dosya Yöneticisi aracılığıyla yapıldığı gibi wp-includes klasörüne yükleyin.
vi. Belirli IP adreslerinin siteye erişmesini engelleme
Belirli IP adreslerinden belirli kullanıcıların art arda spam gönderdiğini, hack girişimleri başlattığını veya yalnızca WordPress sitenize yetkisiz kullanıcı erişimi sağlamaya çalıştığını fark etmişsinizdir. .htaccess dosyasını kullanarak IP adresinin sitenize erişmesini engelleyerek yetkisiz WordPress kullanıcı erişimini tamamen engelleyebilirsiniz. Bunu yapmak için aşağıda verilen kodu .htaccess dosyanıza kopyalayın.
<Limit GET POST>
order allow,deny
deny from 123.456.78.9
allow from all
</Limit>
Yukarıdaki kodda yer alan IP adresi sadece bir kukladır. Bu değerleri engellemek istediğiniz IP adresi ile değiştirebilirsiniz. Bir yerine birden çok öğeniz varsa, aşağıdaki gibi görünen bir satıra her birini ayrı ayrı eklemeniz yeterlidir:
deny from 213.546.87.9
Tam bir IP adresi yerine, bir IP adresi bloğuna erişimi reddetmek istiyorsanız, aşağıda gösterildiği gibi sekizlinin sonunu çıkarmanız yeterlidir.
deny from 213.546.87.9
Bu, 213.546.87.0 ile 213.546.87.255 arasındaki tüm IP adreslerini engeller.
Web sitesi yöneticisinin veya ekip üyelerinin ip adresini yanlışlıkla engellediyseniz, bir ip adresinin nasıl beyaz listeye alınacağına ilişkin kılavuzumuza göz atın.
vii. Belirli alan adlarının sitenize erişmesini engelleme
Size spam gönderen belirli IP adreslerini her zaman bilemeyebilirsiniz. Ancak, bu saldırıların belirli kötü amaçlı etki alanlarında yayınlanan bağlantılardan geldiğini biliyor olabilirsiniz. .htaccess, sitenize bu tür zararlı sitelerden gelen bir bağlantıdan erişen herhangi bir ziyaretçiyi engellemenize olanak tanır.
Bir alan adını engellemek için aşağıdaki kodu .htaccess dosyanıza ekleyin.
SetEnvIfNoCase Referer "badsite.com" bad_referer
Order Allow,Deny
Allow from ALL
Deny from env=bad_referer
Yukarıdaki kodda, engellemek istediğiniz alan adını 'badsite' ile değiştirin. Bunu yaparken, bir kullanıcı engellediğiniz alan adından sitenize erişmeye çalıştığında, bir hata mesajı alır ve sitenize erişemez.
2. Alternatif bir çözüm
Yukarıdaki tüm çözümler WordPress'teki dosya ve dizinlere erişimi kısıtlamak için etkili olsa da, web siteniz için büyük bir risk oluşturduğu inkar edilemez. Niye ya? Çünkü çok önemli bir yapılandırma dosyasıyla uğraşıyorsunuz. Yanlış yerleştirilmiş bir nokta bile sitenizin işlevselliğini bozabilir! Korkunç, değil mi?
Bu nedenle, uzman değilseniz, web sitenizi sağlamlaştırmaya yardımcı olacağı için WordPress web sitesi için bir güvenlik eklentisi kullanmak en iyisidir. MalCare adlı bir WordPress eklentisi sitenizin güvenlik yönleriyle ilgilenebilir. Belirli IP adreslerini kara listeye almak, web sitesi sağlamlaştırma önlemleri uygulamak, giriş sayfanızı korumak, kötü amaçlı yazılım taraması yapmak veya benzeri birçok önemli güvenlik önlemi olsun, MalCare hepsini yapar!
Eksiksiz web sitesi güvenlik çözümleri için,
MalCare'i ücretsiz deneyin !