افزایش امنیت فایل wp-config.php
در این مقاله قصد داریم نحوه افزایش امنیت فایل wp-config.php که یکی از مهمترین فایلهای هر سایت وردپرسی است و اطلاعات دیتابیس در این فایل قرار داردرا بررسی کنیم . بنابراین در حفظ اطلاعات این فایل باید دقت کافی را داشته باشید و با استفاده از هر ترفندی که میدانید دسترسی به این فایل را محدود کنید تا کسی جز خود شما قادر به مشاهده این فایل نباشد.
1 – تغییر پیشوند جداول دیتابیس وردپرس
آیا تاکنون جدول های دیتابیس سایت وردپرس خود را دیده اید؟ به صورت پیش فرض، دیتابیس دارای 11 جدول است. هر یک از این جدول ها دارای عملکرد به خصوصی هستند، به عنوان مثال، جدول WP-Posts اطلاعات پست ها، صفحات و منوی ناوبری را ذخیره می کند. از آن جایی که عملکرد هر یک از این جداول از پیش تعیین شده است، پس هکر ها کاملا از محل ذخیره شده اطلاعات سایت آگاهی دارند. به عنوان مثال اگر هکرها بخواهند به داده های مرتبط با کاربران سایت شما دسترسی داشته باشند به سادگی این کار را با تمرکز بر روی جدول Wp-users می توانند انجام دهند.
به صورت پیش فرض وردپرس برای تمامی جداول از پیشوند WP- استفاده می کند. بنابراین تغییر آن به یک پیشوند منحصر به فرد می تواند در مخفی کردن داده های این جداول و در نتیجه افزایش ایمنی سایت وردپرسی کمک کند.
افزایش امنیت فایل wp-config.php
2 – غیرفعال کردن قابلیت ویرایش فایل های قالب و پلاگین ها در وردپرس
در داشبورد وردپرس، گزینه ای برای ویرایش فایل های قالب و پلاگین ها وجود دارد. این بدان معناست که با دسترسی به داشبورد وردپرس هر فردی می تواند قالب و پلاگین های شما را ویرایش کند.
اگرچه این گزینه مفید و کاربردی است ولی حتی یک ابزار کاربردی در دست هکرih می تواند خطرناک باشد. فرض کنید، هکری وارد سایت شما شده و به سادگی با ویرایش یکی از پلاگین های فعال و یا حتی قالب سایت، به آن بدافزاری اضافه کرده و از این طریق با ایجاد یک درب پشتی در هر زمانی به سایت مجددا دسترسی پیدا کند. برای جلوگیری از بروز چنین مشکلی می توانید به سادگی گزینه ویرایش این فایل ها را از طریق افزودن کد زیر به فایل کانفیگ وردپرس، غیرفعال کنید.
3 – جلوگیری از نصب و یا آپدیت پلاگین ها و قالب توسط کاربران
همانطور که در گزینه قبلی توضیح داده شد، غیرفعال کردن دسترسی کاربران جهت ویرایش این فایل ها تنها یک سطح امنیتی است ولی این اقدام نمی تواند از نصب پلاگین های ویروسی بر روی سایت توسط هکرها جلوگیری کند. هنگامی که هکر با دسترسی مناسب وارد داشبورد وردپرس شود به سادگی می تواند یک تم و یا پلاگینی ها نامناسب و حتی ویروسی بر روی سایت نصب کند. پس چنانچه اغلب افزونه ای بر روی سایت خود نصب نمی کنید می توانید با افزودن کد زیر به فایل کانفیگ وردپرس خود، این گزینه را غیرفعال کنید.
4 – الزام استفاده از اکانت FTP برای نصب قالب یا پلاگین
جلوگیری از نصب و به روز رسانی پلاگین ها و قالب برای سایت هایی که غالبا قالب و پلاگین های جدید بر روی سایت خود نصب می کنند، غیر عملی و محدود کننده است. از این رو چنانچه تمایل به استفاده از گزینه پیشین را نداشتید، می توانید با ایجاد یک مرحله جدید جهت اطمینان از نصب و به روزرسانی قالب و پلاگین توسط کاربران مجاز، اطلاعات اکانت FTP را درخواست کنید. در چنین شرایطی حتی اگر هکرها موفق به ورود به داشبورد سایت شوند باز هم بدون وارد کردن اطلاعات صحیح FTP قادر به نصب پلاگین و یا تم در سایت نخواهند بود. جهت انجام این کار تنها کافی است کد های زیر را فایل wp-config.php قرار دهید.
چنانچه هاست و یا سرورتان از FTPS پشتیبانی میکند، باید کد زیر را در فایل کانفیگ قرار دهید.
چنانچه سایت هاست و یا سرورتان از SFTP پشتیبانی میکند، باید کد زیر را در فایل کانفیگ قرار دهید.
5 – تغییر کلید امنیتی در وردپرس
پس از ورود به داشبورد وردپرس، اطلاعات ورود شما به صورتی رمزگذاری شده در کوکی مرورگرتان ذخیره می شود. کلیدهای امنیتی متغیرهای تصادفی هستند که به بهبود روند رمزگذاری کمک می کند. چنانچه سایت وردپرسی شما هک شده باشد، تغییر کلید امنیتی منجر به نامعتبر شناخته شدن کوکی شده و به واسطه آن تمامی کاربران فعال به صورت اتوماتیک از آن خارج شده و باید مجدد با وارد کردن اطلاعات ورود، وارد سایت شوند. لذا در چنین شرایطی هکرها دسترسی خود به سایت را از دست می دهند.
کلیدهای امنیتی کدهایی مانند نمونه زیر هستند که در فایل wp-config.php قرار دارند.
افزایش امنیت فایل wp-config.php
برای ایجاد کلیدهای امنیتی به صورت رندوم، کدهای ارائه شده زیر را با کدهایی که مشابه با کدهای بالا در فایل wp-config.php هستند جایگزین کنید.
6 – مخفی سازی فایل wp-config.php
در تمامی سایت های وردپرسی، فایل wp-config.php در یک مکان پیش فرض قرار دارد. بنابراین تغییر مکان این فایل میتواند تا حدودی دسترسی هکرها به آن را دشوار کند. خوشبختانه، در وردپرس امکان قراردهی فایل wp-config در مسیر مجزا و خارج از نصب وردپرس وجود دارد. به عنوان مثال، چنانچه سایت شما در مسیر public_html قرار گرفته باشد، فایل wp-config نیز به صورت پیش فرض در همان مسیر قرار دارد، با این حال شما می توانید این فایل را بدون ایجاد اختلال در عملکرد سایت خود به پوشه ای خارج از public_html منتقل کنید.
برای انجام این کار مراحل زیر را انجام دهید:
- به قسمت File manager در کنترل پنل هاست خود مراجعه کنید.
- در پوشه public_html ، بر روی فایل wp-config.php کلیک راست کرده و گزینه Move را انتخاب کنید.
- مسیر مورد نظر خود (مسیر مقصد) برای انتقال این فایل را انتخاب و فایل را انتقال دهید.
- در مسیر public_html بر روی گزینه New File کلیک کنید و فایل جدیدی با نام wp-config.php ایجاد و کدهای زیر را در آن قرار دهید :
در کد بالا به جای عبارت “../path/to/wp-config.php” ، آدرس مسیر جدیدی که فایل wp-config.php را به آنجا منتقل کرده اید وارد و در نهایت این فایل را ذخیره کنید.
7 – بالا بردن امنیت فایل wp-config.php
فایل کانفیگ وردپرس آسیب پذیر بوده و افزایش امنیت آن ضروری است. یکی از روش های انجام آن، تغییر مکان آن است تا از دسترسی هکرها خارج شود. البته ممکن است برخی از توسعه دهنده ها با این کار مخالف و برخی موافق باشند. لذا در صورتی که با این کار مخالف هستید میتوانید روش دیگری را برای افزایش امنیت انجام دهید. یکی دیگر از اقدامات امنیتی محدود کردن مجوز فایل کانفیگ است. مجوز فایل ها را بر روی 600 تنظیم کرده تا تنها ادمین های اصلی سایت امکان ویرایش فایل wp-config را داشته باشند. برای تغییر مجوز wp-config، فایل wp-config را انتخاب کرده و سپس گزینه permission را انتخاب کنید. سپس در پنجره باز شده تیک گزینههای Read و Write که در ستون user قرار دارد را انتخاب کنید تا سطح دسترسی این فایل بر روی 600 قرار گیرد.
افزایش امنیت فایل wp-config.php
سپس بر روی فایل htaccess. کلیک راست کرده و گزینه Edit را انتخاب کنید. پس از آن کد زیر را در این فایل قرار دهید تا از بارگذاری فایل wp-config به صورت مستقیم در مرورگر توسط هکرها جلوگیری کنید. فراموش نکنید که پس از اضافه کردن این کدها، فایل htaccess. را ذخیره کنید.
با انجام همه این کارها، ما نحوه محافظت از سایت وردپرسی خودمان را با فایل wp-config.php یاد گرفتیم اما این راهکارها تنها بخش کوچکی از کارهایی هستند که با استفاده از آنها میتوانید امنیت وردپرس رو ارتقا بدهید. چند اقدام دیگر امنیتی که میتوانید انجام دهید عبارتند از بکآپ گیری منظم وردپرس و به روز رسانی وردپرس که میتوانید آموزش این موارد را نیز با کلیک بر روی آنها در دسترس داشته باشید .
دیدگاهتان را بنویسید