رمزگذاری فایل htaccess در هاستینگهای مبتنی بر Apache یا LiteSpeed به معنای محافظت از یک پوشه با نام کاربری و رمز عبور، جلوگیری از خوانده شدن فایل htaccess از بیرون، اجباری کردن HTTPS و محدود کردن دسترسیهای مخرب است. رایجترین روش، استفاده از Basic Auth برای محافظت از پوشهها و ذخیره رمزها در فایل htpasswd است. اما نکته مهم اینجاست که Basic Auth به تنهایی دادهها را رمزنگاری نمیکند؛ برای استفاده امن باید حتماً همراه با گواهی SSL و پروتکل HTTPS اجرا شود. گواهینامه SSL هاستینگ وب امن
امنیت وبسایتها اغلب با فایروالهای بزرگ، نرمافزارهای پیچیده یا افزونههای گرانقیمت گره خورده است. در حالی که یک فایل htaccess درست پیکربندیشده، بهویژه در هاست اشتراکی، وردپرس، برنامههای PHP سفارشی و سایتهای کسبوکار کوچک، یکی از اولین لایههای دفاعی به شمار میرود. با این فایل میتوانید پوشههای حیاتی مانند پنل مدیریت را با رمز عبور محافظت کنید، ترافیک HTTP را به HTTPS هدایت کنید، لیست شدن پوشهها را ببندید، دسترسی به فایلهای خاص را مسدود کنید، مصرف پهنای باند را کاهش دهید و هدرهای امنیتی پایه را فعال کنید.
در این راهنما، رمزگذاری فایل htaccess را قدمبهقدم بررسی میکنیم، دستورات امنیتی پرکاربرد را توضیح میدهیم و مثالهای آمادهای برای کپی و استفاده ارائه میکنیم. دستورات این محتوا مخصوص محیطهای هاستینگی است که از Apache mod_rewrite، mod_auth_basic و mod_headers پشتیبانی میکنند. سرورهای LiteSpeed نیز به دلیل سازگاری بالا با Apache، بیشتر قوانین را به همان شکل اجرا میکنند. با این حال پیش از اعمال روی سایت زنده، حتماً از فایل پشتیبان بگیرید و ترجیحاً روی سابدامین آزمایشی تست کنید. مدیریت دامنه پشتیبانگیری وبسایت
فایل htaccess چیست و چرا برای امنیت مهم است؟
فایل htaccess یک فایل پیکربندی محلی است که به وبسرور میگوید با پوشهها و زیرپوشههای مربوطه چگونه رفتار کند. وقتی در ریشه سایت قرار بگیرد، معمولاً کل وبسایت را تحت تأثیر قرار میدهد؛ مثلاً فایل htaccess داخل پوشه public_html، قوانین مربوط به ریشه اصلی دامنه شما را مدیریت میکند. اگر در زیرپوشه قرار گیرد، فقط همان پوشه و مسیرهای زیر آن را پوشش میدهد.
با این فایل میتوان کنترل دسترسی را در سطح سرور انجام داد و پیش از رسیدن درخواست به کد برنامه، آن را متوقف کرد. مثلاً اگر پوشه ادمین را با رمز عبور محافظت کنید، مهاجم پیش از رسیدن به وردپرس، پنل سفارشی یا فایل PHP شما، توسط سرور متوقف و ملزم به احراز هویت میشود. این روش حملات brute force را کاهش میدهد و سوءاستفاده از آسیبپذیریهای لایه برنامه را سختتر میکند.
مزایای امنیتی فایل htaccess عبارتند از:
- تعریف قوانین دسترسی بدون تغییر کد برنامه
- محافظت از پوشههای خاص با نام کاربری و رمز عبور
- هدایت خودکار درخواستهای HTTP به HTTPS
- محدود کردن لیست شدن پوشهها، دسترسی به فایلهای حساس و hotlink
- فعالسازی هدرهای امنیتی برای رفتار امنتر مرورگر
- اعمال محدودیت بر اساس آدرس IP، پسوند فایل یا روش درخواست
با این حال htaccess به تنهایی تمام امنیت را تأمین نمیکند. زمانی بیشترین اثر را دارد که همراه با نرمافزار بهروز، سیاست رمز عبور قوی، پشتیبانگیری منظم، زیرساخت هاستینگ معتبر، WAF، اسکن بدافزار و گواهی SSL استفاده شود. امنیت هاستینگ امنیت وردپرس
منطق رمزگذاری فایل htaccess: Basic Auth و htpasswd
عبارت رمزگذاری فایل htaccess معمولاً دو مفهوم متفاوت دارد: اول درخواست نام کاربری و رمز عبور هنگام ورود به یک پوشه؛ دوم جلوگیری از نمایش خود فایل htaccess به کاربران خارجی. مورد اول با Basic Auth و مورد دوم با قوانین محدود کردن دسترسی فایل انجام میشود.
در ساختار Basic Auth، فایل htaccess قانون احراز هویت را نگه میدارد و فایل htpasswd نام کاربری و رمز عبور هششده را ذخیره میکند. رمز عبور نباید به صورت متن ساده ذخیره شود. سیستمهای مدرن از روشهای هش bcrypt، Apache MD5 یا SHA استفاده میکنند. امنترین راه، استفاده از ابزار «محافظت از پوشه با رمز عبور» در پنل کنترل هاستینگ است؛ زیرا این ابزارها معمولاً فایل htpasswd را در مکان درست قرار میدهند و هش کردن رمز را خودکار انجام میدهند.
نمونهای از قانون محافظت با رمز عبور به این شکل است:
AuthType Basic
AuthName Korunan Alan
AuthUserFile /home/kullanici/.htpasswd
Require valid-user
این چهار خط به سادگی یعنی: نوع احراز هویت Basic تنظیم شود، نام ناحیهای که در مرورگر نمایش داده میشود مشخص گردد، مسیر کامل سرور فایل htpasswd نوشته شود و فقط کاربران معتبر اجازه دسترسی داشته باشند. رایجترین اشتباه، نوشتن آدرس وب در خط AuthUserFile است. مقدار درست یک آدرس اینترنتی نیست، بلکه مسیر فیزیکی فایل روی سرور است. مثلاً https://siteadi.com/.htpasswd اشتباه و /home/kullanici/.htpasswd فرمت صحیحتری است.
فایل htpasswd را کجا نگه داریم؟
فایل htpasswd را تا حد ممکن بیرون از پوشه public_html قرار دهید. به این ترتیب حتی اگر پیکربندی سرور اشتباه باشد، فایل مستقیماً از وب قابل فراخوانی نخواهد بود. مثلاً اگر سایت شما در مسیر /home/hesapadi/public_html اجرا میشود، بهتر است فایل htpasswd را در /home/hesapadi/.htpasswd بگذارید.
از نظر سطح دسترسی، مقدار اولیه مناسب برای htpasswd عدد ۶۴۰ یا ۶۴۴ و برای htaccess عدد ۶۴۴ است. ممکن است بسته به پیکربندی سرور نیاز به سطوح دسترسی متفاوت باشد؛ اما سطوحی مانند ۷۷۷ که برای همه قابل نوشتن است، خطر امنیتی ایجاد میکند و نباید استفاده شود.
راهنمای قدمبهقدم محافظت از پوشه با htaccess
گامهای زیر مخصوص کسانی است که میخواهند پوشههای ادمین، پنل، تست، staging، گزارش یا فایلهای اختصاصی مشتری را محافظت کنند. پیش از شروع حتماً از فایل htaccess فعلی پشتیبان بگیرید. حتی یک کاراکتر اشتباه میتواند باعث خطای ۵۰۰ Internal Server Error شود.
۱. پوشه مورد نظر را مشخص کنید
ابتدا دقیقاً مشخص کنید کدام پوشه را میخواهید رمزگذاری کنید. مثلاً اگر فقط میخواهید siteadi.com/admin محافظت شود، فایل htaccess را داخل پوشه admin قرار دهید. اگر میخواهید کل سایت را موقتاً ببندید و فقط به افراد مجاز اجازه دهید، قانون را در فایل htaccess ریشه سایت اضافه کنید.
۲. کاربر htpasswd را بسازید
اگر ابزار «پوشه محافظتشده با رمز عبور» در پنل کنترل هاستینگ شما وجود دارد، سادهترین روش استفاده از همان ابزار است. در غیر این صورت، اگر دسترسی SSH دارید، با دستور htpasswd کاربر بسازید. مثلاً: htpasswd -c /home/kullanici/.htpasswd admin. این دستور رمز عبور کاربر admin را تولید و در فایل ذخیره میکند. برای اضافه کردن کاربر جدید به فایل موجود، از پارامتر -c استفاده نکنید؛ در غیر این صورت فایل دوباره ساخته میشود.
۳. قانون htaccess را اضافه کنید
در فایل htaccess پوشه مورد نظر این خطوط را اضافه کنید:
AuthType Basic
AuthName Yonetim Paneli
AuthUserFile /home/kullanici/.htpasswd
Require valid-user
پس از ذخیره، پوشه را در مرورگر باز کنید. اگر صفحه درخواست نام کاربری و رمز عبور ظاهر شد، عملیات موفق بوده است. اگر با وجود رمز صحیح ورود ممکن نبود، مسیر AuthUserFile اشتباه است یا سرور نمیتواند فایل htpasswd را بخواند.
۴. بدون HTTPS استفاده نکنید
Basic Auth اطلاعات احراز هویت را با Base64 منتقل میکند؛ این روش رمزنگاری قوی واقعی نیست. اگر ترافیک از HTTP عبور کند، کسی که شبکه را شنود میکند میتواند نام کاربری و رمز عبور را به دست آورد. بنابراین قانون رمزگذاری فایل htaccess را همیشه همراه با اجبار HTTPS اجرا کنید. با فعال کردن SSL روی Hostragons و سپس اضافه کردن قانون هدایت HTTPS میتوانید این ریسک را کاهش دهید. نصب SSL هدایت HTTPS
اجباری کردن HTTPS و هدایت www
یکی از پایهایترین اقدامات برای افزایش امنیت سایت، هدایت تمام ترافیک به HTTPS است. پس از فعال شدن گواهی SSL میتوانید قانون زیر را به فایل htaccess ریشه سایت اضافه کنید:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
این قانون درخواستهای HTTP را با همان نام دامنه و همان مسیر به HTTPS منتقل میکند. کد ۳۰۱ به معنای هدایت دائمی است و از نظر سئو نیز سیگنال درستی ارسال میکند. با این حال اگر سایت شما پشت reverse proxy، CDN یا load balancer قرار دارد، وضعیت HTTPS ممکن است از هدرهای دیگری خوانده شود. در چنین شرایطی بهتر است از قانون پیشنهادی ارائهدهنده هاستینگ استفاده کنید.
انتخاب بین نسخه www و بدون www نیز باید consistent باشد. مثلاً اگر میخواهید تمام ترافیک به نسخه بدون www منتقل شود، از این الگو استفاده کنید:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.ornekdomain\.com$ [NC]
RewriteRule ^(.*)$ https://ornekdomain.com/$1 [L,R=301]
در اینجا ornekdomain.com را با نام دامنه خودتان جایگزین کنید. اگر همزمان هم HTTPS و هم www را هدایت میکنید، مراقب ایجاد زنجیره هدایت باشید. ساختار ایدهآل این است که کاربر در یک مرحله به آدرس نهایی برسد. هدایت دامنه هدایت سازگار با SEO
دستورات پایهای htaccess برای افزایش امنیت سایت
جدول زیر خلاصهای از پرکاربردترین دستورات امنیتی htaccess و زمان مناسب استفاده از آنها را نشان میدهد. پیش از اضافه کردن هر دستور، پیکربندی فعلی خود را بررسی کنید؛ ممکن است با قوانین وردپرس، لاراول یا CMS سفارشی تداخل داشته باشد.
| هدف | نمونه دستور یا دستورالعمل | زمان استفاده | نکته مهم |
|---|---|---|---|
| رمزگذاری پوشه | AuthType Basic, Require valid-user | پوشههای ادمین، staging، گزارش | حتماً همراه با HTTPS استفاده شود |
| اجباری کردن HTTPS | RewriteCond %{HTTPS} off | برای امن کردن تمام ترافیک سایت | اگر CDN دارید ممکن است قانون خاصی لازم باشد |
| بستن لیست شدن پوشه | Options -Indexes | پوشههای بدون فایل index | از نمایش ساختار فایل جلوگیری میکند |
| محافظت از htaccess | Require all denied | برای جلوگیری از خوانده شدن فایلهای پیکربندی | بسته به نسخه Apache ممکن است سینتکس تغییر کند |
| جلوگیری از hotlink | RewriteCond %{HTTP_REFERER} | برای کاهش استفاده از تصاویر در سایتهای دیگر | پیشنمایش CDN و شبکههای اجتماعی را تست کنید |
| هدرهای امنیتی | Header set X-Frame-Options SAMEORIGIN | برای کاهش حملات مبتنی بر مرورگر | mod_headers باید فعال باشد |
بستن لیست شدن پوشهها
اگر پوشهای فاقد فایل index.html، index.php یا فایل ورودی پیشفرض باشد، سرور ممکن است لیست فایلها را نمایش دهد. این موضوع برای فایلهای پشتیبان، تصاویر، گزارشهای موقت یا کدهای قدیمی منبع خطرناک است. با یک دستور ساده میتوانید لیست شدن پوشه را غیرفعال کنید:
Options -Indexes
پس از این خط، کاربران نمیتوانند محتویات پوشه را ببینند. در پوشههایی که فایل index ندارند معمولاً پاسخ ۴۰۳ Forbidden نمایش داده میشود. این رفتار از نظر امنیتی مطلوب است.
جلوگیری از دسترسی به فایلهای حساس با htaccess
فایل htaccess شما نباید از وب قابل مشاهده باشد. Apache معمولاً این فایل را به صورت پیشفرض محافظت میکند؛ اما برای لایه امنیتی اضافی میتوانید از منطق زیر استفاده کنید:
<Files .htaccess>
Require all denied
</Files>
به همین ترتیب فایلهایی مانند .env، composer.json، composer.lock، config.php.bak، backup.sql و database.sql را هم باید از دسترسی خارجی ببندید. بهویژه در لاراول، Symfony یا برنامههای PHP سفارشی، فایل .env حاوی رمز پایگاه داده، کلید API و اطلاعات SMTP است. لو رفتن این فایل میتواند منجر به تصاحب کامل سیستم شود.
برای مسدود کردن چندین پسوند فایل حساس میتوانید از این منطق استفاده کنید:
<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>
Require all denied
</FilesMatch>
هنگام اضافه کردن چنین قوانینی مطمئن شوید که فایلهای استاتیک مورد نیاز برنامه را به اشتباه مسدود نکردهاید. برخی فایلهای تأیید یا یکپارچهسازی اگر ناخواسته داخل محدوده قرار گیرند، ممکن است سرویسهای شخص ثالث را مختل کنند.
جلوگیری از اجرای PHP در پوشههای خاص
پوشههای آپلود یکی از اهداف اصلی مهاجمان هستند. اگر سیستم کنترل آپلود ضعیفی داشته باشید و فایل PHP مخرب آپلود شود، اجرای آن فایل خطر بزرگی ایجاد میکند. بستن اجرای PHP در پوشههای آپلود تصاویر یا رسانه، لایه دفاعی اضافی فراهم میکند.
کافی است داخل پوشه آپلود مربوطه یک فایل htaccess قرار دهید و منطق زیر را اعمال کنید:
<FilesMatch \.php$>
Require all denied
</FilesMatch>
این قانون دسترسی به فایلهای PHP داخل پوشه مورد نظر را مسدود میکند. در وردپرس معمولاً برای پوشه wp-content/uploads از همین روش استفاده میشود؛ اما برخی افزونهها ممکن است نیاز به پردازش فایل خاصی داشته باشند، بنابراین حتماً تست کنید.
کاهش مصرف پهنای باند با جلوگیری از hotlink
hotlink به معنای استفاده مستقیم سایتهای دیگر از فایلهای تصویری شما در صفحات خودشان است. این کار مصرف پهنای باند را افزایش میدهد و ممکن است باعث مشکلات عملکردی شود. قانون ساده جلوگیری از hotlink به این شکل است:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?ornekdomain\.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]
این قانون درخواستهای تصویری را که از آدرس ارجاعدهنده غیرخالی و غیر از دامنه خودتان میآیند، مسدود میکند. با این حال اگر از Google Images، پیشنمایش شبکههای اجتماعی، CDN یا شرکای تجاری استفاده میکنید، باید آن دامنهها را به لیست سفید اضافه کنید. استفاده از CDN عملکرد وبسایت
اجازه یا مسدود کردن IPهای خاص
اگر میخواهید پنل مدیریت فقط از IP دفتر شما قابل دسترسی باشد، محدودیت IP لایه دفاعی مؤثری است. برای Apache ۲.۴ و بالاتر منطق پایه به این شکل است:
Require ip 203.0.113.10
این قانون به تنهایی فقط به IP مشخصشده اجازه دسترسی میدهد. اگر IP شما پویا است، مراقب باشید؛ با تغییر IP ممکن است خودتان هم نتوانید وارد پنل شوید. استفاده ترکیبی از محدودیت IP و محافظت با رمز عبور در چنین مواردی منطقیتر است.
برای مسدود کردن یک IP خاص مخرب نیز میتوانید از این منطق استفاده کنید:
<RequireAll>
Require all granted
Require not ip 198.51.100.25
</RequireAll>
مسدود کردن IP در حملات کوچکمقیاس مؤثر است؛ اما در برابر باتنتها یا مهاجمانی که از IP متغیر استفاده میکنند به تنهایی کافی نیست. در چنین شرایطی فایروال برنامه کاربردی، محدود کردن نرخ درخواست و راهحلهای امنیتی سمت سرور مؤثرتر عمل میکنند.
هدرهای امنیتی: محافظت اضافی در سطح مرورگر
htaccess نه تنها برای کنترل دسترسی، بلکه برای مدیریت هدرهای امنیتی مرورگر نیز کاربرد دارد. اگر mod_headers فعال باشد، هدرهای زیر سطح امنیت پایه بسیاری از سایتها را بالا میبرند:
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options SAMEORIGIN
Header always set Referrer-Policy strict-origin-when-cross-origin
Header always set Permissions-Policy geolocation=(), microphone=(), camera=()
X-Content-Type-Options nosniff احتمال اجرای فایلها بر اساس حدس نوع محتوا توسط مرورگر را کاهش میدهد. X-Frame-Options SAMEORIGIN از نمایش سایت شما در iframe دامنههای دیگر جلوگیری میکند و خطر clickjacking را کم میکند. Referrer-Policy کنترل میکند چه اطلاعاتی از ارجاعدهنده هنگام هدایت ارسال شود. Permissions-Policy نیز دسترسی به دوربین، میکروفون و موقعیت جغرافیایی را محدود میکند.
Content-Security-Policy یا CSP هدر امنیتی قویتری است؛ اما باید با احتیاط اعمال شود. CSP خیلی سختگیرانه ممکن است تبلیغات، تحلیل، پرداخت، چت آنلاین یا فونتها را مختل کند. بنابراین ابتدا در حالت گزارشگیری تست کنید و سپس به تدریج روی سایت زنده اعمال کنید.
چکلیست پیش از اعمال

تغییرات htaccess سریع اثر میکنند. بنابراین پیش از اضافه کردن دستورات امنیتی، با یک چکلیست کوتاه پیش بروید تا ریسک قطعی کاهش یابد.
- از فایل htaccess فعلی روی کامپیوتر خود پشتیبان بگیرید.
- مطمئن شوید گواهی SSL شما فعال و درست نصب شده است.
- قوانین هدایت را یکییکی اضافه کنید؛ همه قوانین را همزمان تغییر ندهید.
- خطاهای ۵۰۰، ۴۰۳ و ۴۰۴ را در مرورگر و لاگ سرور بررسی کنید.
- قوانین rewrite خود وردپرس، لاراول یا نرمافزار سفارشی را حذف نکنید.
- در بخشهایی که از محافظت رمز عبور استفاده میکنید، اجباری کردن HTTPS را تست کنید.
- اگر از CDN، افزونه کش یا افزونه امنیتی استفاده میکنید، احتمال تداخل را ارزیابی کنید.
- فرآیند ورود، فرم و پرداخت را در موبایل، دسکتاپ و مرورگرهای مختلف تست کنید.
اعمال قوانین به صورت تکهتکه در عمل بسیار مهم است. مثلاً ابتدا Options -Indexes را اضافه و تست کنید، سپس قانون هدایت HTTPS را اضافه کنید و بعد به سراغ محافظت با رمز عبور بروید. به این ترتیب اگر مشکلی پیش آمد سریع متوجه میشوید کدام خط باعث آن شده است.
رایجترین اشتباهات و راهحلها
خطای ۵۰۰ Internal Server Error
این خطا معمولاً ناشی از اشتباه سینتکس، دستورالعمل پشتیبانینشده یا استفاده نادرست از ماژول است. مثلاً اگر mod_headers فعال نباشد و دستور Header را استفاده کنید، خطا ایجاد میشود. برای حل، خطوط اضافهشده اخیر را موقتاً حذف کنید، لاگ خطای سرور را بررسی کنید و مطمئن شوید هاستینگ ماژول مربوطه را پشتیبانی میکند.
صفحه رمز عبور مرتباً برمیگردد
اگر با وجود نام کاربری و رمز صحیح، صفحه احراز هویت دوباره ظاهر میشود، مسیر htpasswd اشتباه است، فرمت هش رمز توسط سرور پشتیبانی نمیشود یا سطح دسترسی فایل نادرست است. مطمئن شوید در خط AuthUserFile از مسیر فیزیکی کامل استفاده کردهاید.
هدایت HTTPS باعث ایجاد حلقه بینهایت میشود
در سایتهایی که پشت CDN یا پراکسی قرار دارند، سرور ممکن است درخواست را داخل شبکه HTTP ببیند و مدام سعی در هدایت به HTTPS کند. در این حالت باید قانون خاصی که هدر X-Forwarded-Proto را در نظر بگیرد استفاده کنید. همچنین حالت SSL در پنل CDN باید روی Full یا Full Strict تنظیم شده باشد.
تصاویر یا فایلهای CSS باز نمیشوند
اگر قوانین hotlink، FilesMatch یا هدرهای امنیتی خیلی گسترده نوشته شده باشند، ممکن است فایلهای استاتیک مجاز هم مسدود شوند. با ابزار توسعهدهنده مرورگر و تب Network میتوانید ببینید کدام فایل با چه کد HTTP مسدود شده است.
امنیت htaccess در سایتهای وردپرس
فایل htaccess در وردپرس برای پیوندهای یکتا اهمیت حیاتی دارد. بنابراین نباید قوانین بین BEGIN WordPress و END WordPress را بیجهت تغییر داد. بهتر است قوانین امنیتی را معمولاً بالای این بلوک یا زیر آن اضافه کنید.
اقدامات عملی قابل اعمال برای وردپرس عبارتند از:
- اعمال محافظت Basic Auth اضافی روی پوشه wp-admin
- جلوگیری از اجرای PHP داخل wp-content/uploads
- محدود کردن دسترسی به xmlrpc.php در صورت عدم نیاز
- کاهش visibility فایلهای readme.html و لایسنس
- هماهنگ کردن هدایت HTTPS با آدرسهای سایت وردپرس
بهویژه برای wp-admin، استفاده همزمان از رمز عبور وردپرس و محافظت htaccess دو لایه دفاعی ایجاد میکند. با این حال برخی افزونهها به فایل wp-admin/admin-ajax.php نیاز دارند؛ بنابراین بستن کامل و کورکورانه wp-admin ممکن است برخی قابلیتها را مختل کند. تست روی سایت زنده الزامی است. هاستینگ وردپرس افزایش سرعت وردپرس
نکات حرفهای برای امنیت htaccess
مدیران سیستم باتجربه بیشتر به تعادل بین امنیت و پایداری توجه میکنند. قوانین خیلی سختگیرانه ممکن است در کوتاهمدت امن به نظر برسند، اما در بلندمدت هزینه نگهداری را افزایش دهند. بنابراین هدف، دامنه و نتیجه تست هر قانون را یادداشت کنید.
- پیش از تغییرات مهم، پشتیبان تاریخدار بگیرید: htaccess-2026-01-15.bak
- از افزودن صدها قانون غیرضروری به یک فایل htaccess خودداری کنید
- هدایتهای ۳۰۱ دائمی هستند؛ کش مرورگر و موتور جستجو را در نظر بگیرید
- پس از اضافه کردن هدرهای امنیتی، خطاهای کنسول مرورگر را بررسی کنید
- در پوشههای محافظتشده با رمز، به جای رمزهای مشترک ضعیف، کاربران جداگانه بسازید
- پوشههای تست، staging و پشتیبان را پیش از موتورهای جستجو در سطح سرور ببندید
نکته مهم دیگر، بازبینی منظم قوانین امنیتی است. یکپارچهسازیای که امروز استفاده میشود ممکن است فردا حذف شود؛ اما راهی که به خاطر آن باز گذاشته شده، ممکن است داخل htaccess فراموش شود. بررسی امنیتی کوتاه هر سه ماه یکبار، پاک کردن مجوزهای غیرضروری و مرتب کردن هدایتهای قدیمی عادت خوبی است.
نتیجهگیری: فایلی کوچک، لایه امنیتی بزرگ
رمزگذاری فایل htaccess و دستورات افزایش امنیت سایت، وقتی درست استفاده شوند، اولین خط دفاعی وبسایت شما را در برابر حملات تقویت میکنند. محافظت از پوشهها با رمز عبور، اجباری کردن HTTPS، بستن لیست شدن پوشهها، مسدود کردن دسترسی به فایلهای حساس و فعال کردن هدرهای امنیتی؛ اقداماتی کاربردی، قابل اندازهگیری و مؤثر برای اکثر وبسایتها هستند.
با این حال امنیت htaccess به تنهایی کافی نیست. باید همراه با زیرساخت هاستینگ معتبر، نرمافزار بهروز، گواهی SSL، پشتیبانگیری منظم و سیاست رمز عبور قوی در نظر گرفته شود. هنگام میزبانی وبسایت خود روی Hostragons میتوانید SSL، هاستینگ و مدیریت دامنه را از یک پنل واحد مدیریت کنید و در صورت نیاز برای ساختار امنتر قدمبهقدم پیش بروید. بستههای هاستینگ وب دامنه خریداری کن گواهینامههای SSL
سؤالات متداول
آیا رمزگذاری فایل htaccess واقعاً فایلها را رمزنگاری میکند؟
خیر. معمولاً این عبارت به معنای محافظت از پوشهها با نام کاربری و رمز عبور به کار میرود. Basic Auth دسترسی را محدود میکند؛ برای امن بودن انتقال داده باید از SSL و HTTPS استفاده شود.
آیا نگه داشتن فایل htpasswd داخل public_html امن است؟
توصیه نمیشود. امنترین روش، قرار دادن فایل htpasswd خارج از public_html و در پوشهای است که مستقیماً از وب قابل دسترسی نباشد. به این ترتیب حتی در صورت پیکربندی اشتباه، احتمال نمایش فایل کاهش مییابد.
اگر بعد از تغییر htaccess خطای ۵۰۰ گرفتم چه کار کنم؟
ابتدا آخرین خطوط اضافهشده را حذف کنید یا به فایل پشتیبان برگردید. سپس لاگ خطای سرور را بررسی کنید. خطا اغلب ناشی از اشتباه املایی، دستورالعمل پشتیبانینشده یا ماژول Apache غیرفعال است.
آیا رمزگذاری پوشه wp-admin وردپرس با htaccess درست است؟
بله، میتواند لایه امنیتی اضافی ایجاد کند. با این حال برخی افزونهها به فایلهایی مانند admin-ajax.php نیاز دارند؛ بنابراین پس از اعمال، فرآیند ورود، نظر، سبد خرید، پرداخت و فرمها را حتماً تست کنید.
آیا هدایت HTTPS از نظر سئو مضر است؟
هدایت HTTPS ۳۰۱ که درست اعمال شود مضر نیست؛ برعکس ساختار URL امن و consistent ایجاد میکند. مهم این است که زنجیره هدایت ایجاد نشود و تمام لینکهای داخلی با آدرس HTTPS نهایی هماهنگ باشند.