آموزش نحوه غیرفعالسازی directory browsing وردپرس
تامین امنیت وب سایت یکی از اصلی ترین کارهایی است که وبمستران باید در برنامه کاری خود قرار دهند. در واقع خرید هاست با قیمت مناسب و کارایی و پایداری بالا مثل هاست مخصوص وردپرس یا هاست ابری جزء پیش نیازهای راه اندازی سایت است. بعد از آن حفظ وب سایت و تامین امنیت آن در برابر خطرات و حمله و بدافزارها و مدیریت صحیح آن اولویت اصلی محسوب می شود. یکی از حفره های امنیتی وب سایت های وردپرسی که باید به آن توجه لازم را داشته باشید دایرکتوری بروزینگ می باشد. در صورت فعال بودن directory browsing هکرها می توانند به تمامی اطلاعات وب سایت وردپرسی شما دسترسی پیدا کنند. در این مقاله از پایگاه دانش میزبان فا تصمیم داریم به بررسی نحوه غیرفعالسازی directory browsing وردپرس بپردازیم. با غیرفعال نمودن این قابلیت امکان هک شدن وب سایت خود را کاهش داده و امنیت آن را افزایش می دهید. پس تا انتهای این مقاله با ما همراه باشید.
موضوعاتی که در این مقاله به آنها پرداخته خواهد شد، به شرح ذیل است:
ضرورت غیرفعالسازی directory browsing وردپرس
در وردپرس محتوایی که توسط کاربر ایجاد می شود به صورت پیش فرض در پوشه ای به نام wp-content/ قرار می گیرد. این فایل با هر تغییری که شما در وب سایت وردپرسی خود اعمال می کنید بروز می شود و تغییر می کند. این در حالی است که سایر پوشه های مربوط به وردپرس که از طریق پنل مدیریتی هاست شما قابل مشاهده خواهند بود مثل پوشه wp-admin/ یا wp-includes/ جزء پوشه هایی به شما می روند که اطلاعات مربوط به هسته اصلی وردپرس شما را در برمی گیرند و در نتیجه آن تغییرات چندانی را مشاهده نکرده و معمولاً ثابت هستند. در نقطه مقابل این پوشه ها پوشه wp-content/ تمامی اطلاعات مربوط به پرونده های آپلود شده چند رسانه (uploads/)، قالب ها (theme/) و مهم تر از آنها افزونه ها (plugins/) را شامل می شود.
اگر هکرها بتوانند به اطلاعات هاست دسترسی پیدا کنند به شکل بسیار راحتی می توانند به وب سایت شما حمله کرده و امنیت وب سایتتان را به خطر بیندازند.
در واقع دانستن اطلاعاتی مثل نسخه قالب یا پلاگین هایی که مورد استفاده قرار داده اید و خیلی اطلاعات مشابه دیگر که تماماً در پوشه wp-content/ قابل مشاهده است می تواند به هکرها کمک کند تا به وب سایت شما دسترسی پیدا کنند. به همین دلیل است که توصیه می شود اقدام به غیرفعالسازی directory browsing وردپرس نمایید. چرا که وجود این حفره امنیتی می تواند به هکرها این امکان را بدهد که فایل های مربوط به وردپرس نصب شده روی وب سایت شما را مشاهده کنند.
بررسی وضعیت فعال یا غیر فعال بودن directory browsing
شما می توانید به راحتی و با یک سرچ ساده بررسی کنید که تنظیمات پیش فرض directory browsing برای شما فعال می باشد یا نه. تنها کاری که باید انجام دهید این است که لینک www.yourdomain.com/wp-content/uploads را در مرورگر وارد کرده و جستجو نمایید. در این لینک به جای yourdomain.com باید آدرس وب سایت خود را قرار دهید. اگر شما با یک لیست از اطلاعات مواجه شدید، می توانید متوجه شوید که directory browsing برای شما فعال می باشد و این اصلاً اتفاق خوبی به شمار نمی رود. چرا که هکرها می توانند به راحتی به تمامی فایل های آپلود شده در وب سایت شما یا اطلاعات قالب و دامنه شما دست پیدا کنند و در صورتی که هر یک از آن منسوخ شده باشند به راحتی می توانند آنها را دستکاری و شما را دچار مشکل کنند.
در صورت غیرفعال بودن directory browsing وردپرس نیز شما با یک پیغام تحت عنوان You don’t have permission to access this resource مواجه می شوید که نشان دهنده این موضوع است که امنیت وب سایت شما در این زمینه تامین شده است.
پس با ما همراه باشید تا با ارائه آموزش های لازم در زمینه غیرفعالسازی directory browsing وردپرس در زمینه افزایش امنیت وب سایت وردپرسی خود گام بردارید.
نحوه غیرفعال کردن directory browsing وب سایت وردپرسی
حال که شما تا حد زیادی از نتایج منفی فعال بودن directory browsing وردپرس آگاه شدید، مطمئناً نیاز دارید که بدانید به چه شکلی اقدام به غیرفعالسازی directory browsing وردپرس نمایید. برای این کار باید مسیر زیر را دنبال کنید:
- در اولین گام شما باید برای ورود به پنل مدیریتی هاست خود نام کاربری و رمز عبورتان را وارد نمایید. ما به صورت پیش فرض از پنل سی پنل استفاده می کنیم اما مراحل برای دایرکت ادمین نیز به همین شکل خواهد بود.
آموزش نحوه ورود به کنترل پنل هاست سی پنل - سپس از طریق منو «Files» زیر منو «File Manager» را انتخاب نمایید.
- در صفحه ای که به شما نمایش داده می شود پوشه «public_html» را انتخاب نمایید تا تمامی پوشه های مربوط به وردپرس به شما نمایش داده شود.
- حال به کمک آموزش نحوه مشاهده فایل های مخفی در سی پنل می توانید فایل htaccess را به لیست خود اضافه کنید.
- در این مرحله باید همانند تصویر زیر فایل htaccess. را پیدا کرده و سپس گزینه Edit را انتخاب نمایید.
🔵🟢 نکته: بهتر است یک نسخه از فایل htaccess. خود را دانلود و ذخیره کنید تا در صور بروز هرگونه مشکلی بتوانید آن را جایگزین نمایید. - سپس صفحه ای همانند تصویر زیر به شما نمایش داده می شود.
شما باید کدی زیر را به به انتهای آن یعنی قبل از بخش END# اضافه نمایید:
Options - Indexes
در صورتی که تمایل داشتید لیستی از فایل های خود را به نمایش بگذارید تنها کافیست قطعه کد Options – Indexes را از فایل htaccess. حذف نمایید. برخی افراد برای نمایش فایل ها و ارائه قابلیت دانلود به کاربر آن را فعال می کنند.
- در این حالت شما باید با ساختار کدی همانند نمونه زیر رو به رو شوید:
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> Options All -Indexes # END WordPress - سپس روی دکمه «افزودن» کلیک کنید تا تغییرات ذخیره شود. برای اینکه اطمینان حاصل کنید که غیرفعالسازی directory browsing وردپرس به درستی صورت گرفته است دوباره www.yourdomain.com/wp-content/uploads را جستجو نمایید. در صورتی که پیغام You don’t have permission to access this resource یا ارور 403 را مشاهده کردید، می توانید اطمینان پیدا کنید که مشکل رفع شده است.
در این مقاله از پایگاه دانش میزبان فا تلاش ما بر این بوده است تا آموزش های لازم درباره directory browsing را به شما ارائه داده و در زمینه غیرفعالسازی آن در کنار شما همراهان عزیز باشیم. بدین ترتیب شما می توانید امنیت وب سایت خود را افزایش داده و احتمال هک شدن را کاهش دهید. غیرفعالسازی directory browsing وردپرس از اهمیت بالایی برخوردار است اما گاهاً توسط افراد سهل انگاری شده و همین امر باعث هک شدن سایتشان توسط هکرها می شود. به همین دلیل توصیه ما به شما این است که در این زمینه دقت لازم را داشته باشید. در صورت داشتن هرگونه سوال یا ابهامی در خصوص آموزش های بیان شده در این مقاله می توانید از طریق بخش دیدگاه های این مقاله با ما همراه باشید. 🙂
امنیت مقوله بسیار مهمی در حوزه راه اندازی کسب و کارهای اینترنتی مسحوب می شود. از طریق روش های متعددی می توان لایه های امنیتی به سایت اضافه کرد و از دسترسی مهاجمین و نفوذ افراد غیر مجاز جلوگیری به عمل آورد. در این راستا میزبان فا تلاش نمود از سرویس جدیدی رونمایی نماید که یکی از دغدغه های اساسی آن ممانعت از تهدیدات سایبری و جلوگیری از نفوذ هکرها است.
سلام. من این روش قبلا اجرا کردم ولی نمی دونم آیا بستن دایرکتوری برای فروشگاههایی که محصول دانلودی دارن مشکل ایجاد میکنه؟
یعنی میخوام بدونم آیا با بستن دایرکتوری کاربران میتونن فایل ها رو دانلود کنن؟
ممنون
سلام و احترم؛
این لیست صرفا نمایشی هستش و میاد محتویات آپلود شده رو در معرض دید کاربران قرار میده.
برخی کاربران با این قطعه کد صرفا یک لیست نمایشی در بخش دلخواه خودشون ایجاد میکنن اما فعال یا غیرفعال بودنش روی محصولات دانلودی شما تاثیری نداره.
:O:O:O:O:O:O:O:O:O
5 ساله wp-content ریو دامنه من بازه! همش میدیدم یه عالمه ip مختلف از جاهای مختلف میان رو سایت! دیتابیس من و دستکاری کردن و همه چی رو خراب کردن! همین الانم که دارم این نظر و مینویسم، روی هاستم اسکریپتی اجرا کردن که احتمالاً داره یه غلطی میکنه!
چرا؟ چون هر وقت وارد هاست میشم، میبینم ترافیکم کم شده! چه طوری؟ معلوم نیست
یعنی میتونه از wp-content باشه؟ واقعا دمتون گرمممممممممم
میشه یه نمونه فایل atacsess استاندارد به من معرفی کنید؟
و سوال مهمی که دارم اینه که با بستن wp-content مشکلی در ایندکس مطالب سایت ایجاد نمیشه؟
سلام روزبخیر؛
قبل از هر تغییری توصیه می کنیم سطح دسترسی فایل و فولدرهای هاستتون رو به کمک آموزش های زیر بررسی کنید:
الزام تعیین سطح دسترسی فولدر و فایل ها در هاست
نحوه تغییر سطح دسترسی فایل ها در سی پنل cpanel
ممنون از مقاله خوب و کاربردی تون
من ظبق آموزش شما جلو رفتم
اما هنوز ارور زیر رو دریافت میکنم :
دایرکتوری بارگذاری فروشگاه شما قابل مشاهده در وب است. ما به شدت پیکربندی سرور وب خود را برای جلوگیری از فهرست بندی فهرست توصیه می کنیم .
ممنون میشم راهنماییم کنین
سلام و احترام؛
این اعلان رو در چه بخشی دریافت میکنید؟
آیا ساب دامین یا ساب فولدری برای فروشگاه تعریف کردید؟
ممنون از پاسختون
در تمامی صفحات ادمینم ، چه پست ها ، افزونه ها ، سفارش ها و …
بله، هم در روت هاستم فولدر هایی غیر فولدار های اصلی وردپرسم دارم
و هم یک سایت دیگه بر روی ساب دامین دارم
اون هم وردپرسیه
اما بر روی اون ، این ارور رو دریافت نمیکنم
فقط این نکته رو عرض کنم، من در پوشه uploads سایتیم که این ارور رو میده ، یک فایل index.php دارم که داخلش نوشتم دسترسی شما به این قسمت ممنوع است.
با سلام دوست عزیز
به طور معمول ایحاد یک فایل index.php خالی در دایرکتوری مورد نظر می تواند دایرکتوری بارگذاری فروشگاه شما را غیرقابل مشاهده کند. اما به طور معمول توصیه می شود که این مورد را در سطح وب سرور غیرفعال کنید که نحوه غیرفعال سازی آن روی وب سرورهای مختلف مثل لاین اسپید، انجین ایکس و… متفاوت است و نیازمند دسترسی سرور است. پیشنهاد می شود با پشتیبانی هاستینگ خود در این خصوص مکاتبه داشته باشید و اطمینان حاصل کنید که این مورد از سمت سرور غیرفعال است. اگر در صورت غیرفعال بودن این مورد روی وب سرور و همچنین وجود فایل index.php در این دایرکتوری همچنان خطا عنوان شده را دریافت کردید، می توان گفت که خطا از سمت افزونه فروشگاهی مورد استفاده است و این احتمال وجود دارد که دلیل آن وجود باگ در افزونه یا عدم استفاده از آخرین نسخه افزونه باشد.
موفق و پیروز باشید
خیلی متشکرم از وقتی که گذاشتید و توضیحات و راهنمایی های جامع و کامل شما
سلام.آیا استفاده از کد Options -Indexes
برای غیر فعال کردن دایرکتوری میتواند به سئو و ایندکس سایت ما توسط موتورهای جستوجو آسیب بزند؟تشکر
این مورد سوال منم هست. ایا این کار روی سئو و ایندکس و رفتار ربات ها تاثیر میذاره؟
شما باید کدی زیر را به به انتهای آن یعنی قبل از بخش END# اضافه نمایید:
Options – Indexes
یک دونه اسپیس اضافه داره 🙂
سلام وقت بخیر
این کد رو جایی که گفتید قرار دادم کار نکرد، ار خود Indexes سی پنل انجام دادم کد Options -Indexes رو با یه اسپیس زیر # END WordPress گذاشت و کار کرد.
سلام، بنده بصورت دستی ساب فولدر در سایت خود ایجاد کردهام و با غیر فعال کردن Directory Listing نمیتوانم به سایت داخل ساب فولدر دسترسی داشته باشم، چطور میتونم یک مسیر خاص و Directory Listing فعال کنم و برای دیگر مسیر ها غیر فعال؟
سلام خیلی عالی بود و کامل ممنون کارم راه افتاد