صفحه اصلی / امنیت سایت / آموزش افزایش امنیت سایت وردپرسی با فایل WP-config.php

آموزش افزایش امنیت سایت وردپرسی با فایل WP-config.php

آموزش افزایش امنیت سایت وردپرسی با فایل WP-config.php

تمامی سایت های وردپرسی حاوی فایلی با نام WP-config.php هستند. این فایل پیکربندی، یکی از مهم ترین فایل های وردپرس محسوب می شود.  فایل WP-config.php حاوی پارامترهای پیکربندی متعددی است که می توان آن را با هدف افزایش امنیت وردپرس ویرایش و شخصی سازی کرد. در این مقاله به نحوه آموزش افزایش امنیت وردپرس از طریق فایل کانفیگ می پردازیم.

 

چگونه با استفاده از فایل WP-config سایت وردپرسی را ایمن کنیم؟

۱ – تغییر پیشوند جداول دیتابیس وردپرس

آیا تاکنون جدول های دیتابیس سایت وردپرس خود را دیده اید؟ به صورت پیش فرض، دیتابیس دارای ۱۱ جدول است. هر یک از این جدول ها دارای عملکرد به خصوصی هستند، به عنوان مثال، جدول WP-Posts اطلاعات پست ها، صفحات و منوی ناوبری را ذخیره می کند. از آن جایی که عملکرد هر یک از این جداول از پیش تعیین شده است، پس هکر ها کاملا از محل ذخیره شده اطلاعات سایت آگاهی دارند. به عنوان مثال اگر هکرها بخواهند به داده های مرتبط با کاربران سایت شما دسترسی داشته باشند به سادگی این کار را با تمرکز بر روی جدول Wp-users می توانند انجام دهند.

به صورت پیش فرض وردپرس برای تمامی جداول از پیشوند WP- استفاده می کند. بنابراین تغییر آن به یک پیشوند منحصر به فرد می تواند در مخفی کردن داده های این جداول و در نتیجه افزایش ایمنی سایت وردپرسی کمک کند.

برای انجام این کار می توانید مطلب آموزش تغییر پیشوند دیتابیس وردپرس را مطالعه کنید.

 

۲ – غیرفعال کردن قابلیت ویرایش فایل های قالب و پلاگین ها در وردپرس

در داشبورد وردپرس، گزینه ای برای ویرایش فایل های قالب و پلاگین ها وجود دارد. این بدان معناست که با دسترسی به داشبورد وردپرس هر فردی می تواند قالب و پلاگین های شما را ویرایش کند.

آموزش افزایش امنیت سایت وردپرسی با فایل WP-config.php

اگرچه این گزینه مفید و کاربردی است ولی حتی یک ابزار کاربردی در دست هکرih می تواند خطرناک باشد. فرض کنید، هکری وارد سایت شما شده و به سادگی با ویرایش یکی از پلاگین های فعال و یا حتی قالب سایت، به آن بدافزاری اضافه کرده و از این طریق با ایجاد یک درب پشتی در هر زمانی به سایت مجددا دسترسی پیدا کند. برای جلوگیری از بروز چنین مشکلی می توانید به سادگی گزینه ویرایش این فایل ها را از طریق افزودن کد زیر به فایل کانفیگ وردپرس، غیرفعال کنید.

 

۳ – جلوگیری از نصب و یا آپدیت پلاگین ها و قالب توسط کاربران

همانطور که در گزینه قبلی توضیح داده شد، غیرفعال کردن دسترسی کاربران جهت ویرایش این فایل ها تنها یک سطح امنیتی است ولی این اقدام نمی تواند از نصب پلاگین های ویروسی بر روی سایت توسط هکرها جلوگیری کند. هنگامی که هکر با دسترسی مناسب وارد داشبورد وردپرس شود به سادگی می تواند یک تم و یا پلاگینی ها نامناسب و حتی ویروسی بر روی سایت نصب کند. پس چنانچه اغلب افزونه ای بر روی سایت خود نصب نمی کنید می توانید با افزودن کد زیر به فایل کانفیگ وردپرس خود، این گزینه را غیرفعال کنید.

 

۴ – الزام استفاده از اکانت FTP برای نصب قالب یا پلاگین

جلوگیری از نصب و به روز رسانی پلاگین ها و قالب برای سایت هایی که غالبا قالب و پلاگین های جدید بر روی سایت خود نصب می کنند، غیر عملی و محدود کننده است. از این رو چنانچه تمایل به استفاده از گزینه پیشین را نداشتید، می توانید با ایجاد یک مرحله جدید جهت اطمینان از نصب و به روزرسانی قالب و پلاگین توسط کاربران مجاز، اطلاعات اکانت FTP را درخواست کنید. در چنین شرایطی حتی اگر هکرها موفق به ورود به داشبورد سایت شوند باز هم بدون وارد کردن اطلاعات صحیح FTP قادر به نصب پلاگین و یا تم در سایت نخواهند بود. جهت انجام این کار تنها کافی است کد های زیر را فایل wp-config.php قرار دهید.

چنانچه هاست و یا سرورتان از FTPS پشتیبانی میکند، باید کد زیر را در فایل کانفیگ قرار دهید.

چنانچه سایت هاست و یا سرورتان از SFTP پشتیبانی میکند، باید کد زیر را در فایل کانفیگ قرار دهید.

 

۵ – تغییر کلید امنیتی در وردپرس

پس از ورود به داشبورد وردپرس، اطلاعات ورود شما به صورتی رمزگذاری شده در کوکی مرورگرتان ذخیره می شود. کلیدهای امنیتی متغیرهای تصادفی هستند که به بهبود روند رمزگذاری کمک می کند. چنانچه سایت وردپرسی شما هک شده باشد، تغییر کلید امنیتی منجر به نامعتبر شناخته شدن کوکی شده و به واسطه آن تمامی کاربران فعال به صورت اتوماتیک از آن خارج شده و باید مجدد با وارد کردن اطلاعات ورود، وارد سایت شوند. لذا در چنین شرایطی هکرها دسترسی خود به سایت را از دست می دهند.

کلیدهای امنیتی کدهایی مانند نمونه زیر هستند که در فایل wp-config.php قرار دارند.

برای ایجاد کلیدهای امنیتی به صورت رندوم، به این لینک مراجعه کرده و کدهای ارائه شده در آن را با کدهایی که مشابه با کدهای بالا در فایل wp-config.php هستند جایگزین کنید.

 

۶ – مخفی سازی فایل wp-config.php

در تمامی سایت های وردپرسی، فایل wp-config.php در یک مکان پیش فرض قرار دارد. بنابراین تغییر مکان این فایل میتواند تا حدودی دسترسی هکرها به آن را دشوار کند. خوشبختانه، در وردپرس امکان قراردهی فایل wp-config در مسیر مجزا و خارج از نصب وردپرس وجود دارد. به عنوان مثال، چنانچه سایت شما در مسیر public_html قرار گرفته باشد، فایل wp-config نیز به صورت پیش فرض در همان مسیر قرار دارد، با این حال شما می توانید این فایل را بدون ایجاد اختلال در عملکرد سایت خود به پوشه ای خارج از public_html منتقل کنید. 

برای انجام این کار مراحل زیر را انجام دهید:

  • به قسمت File manager در کنترل پنل هاست خود مراجعه کنید.
  • در پوشه public_html ، بر روی فایل wp-config.php کلیک راست کرده و گزینه Move را انتخاب کنید.
  • مسیر مورد نظر خود (مسیر مقصد) برای انتقال این فایل را انتخاب و فایل را انتقال دهید.
  • در مسیر public_html بر روی گزینه New File کلیک کنید و فایل جدیدی با نام wp-config.php ایجاد و کدهای زیر را در آن قرار دهید :

در کد بالا به جای عبارت “../path/to/wp-config.php” ، آدرس مسیر جدیدی که فایل wp-config.php را به آنجا منتقل کرده اید وارد و در نهایت این فایل را ذخیره کنید.

 

۷ – بالا بردن امنیت فایل wp-config.php

فایل کانفیگ وردپرس آسیب پذیر بوده و افزایش امنیت آن ضروری است. یکی از روش های انجام آن، تغییر مکان آن است تا از دسترسی هکرها خارج شود. البته ممکن است برخی از توسعه دهنده ها با این کار مخالف و برخی موافق باشند. لذا در صورتی که با این کار مخالف هستید میتوانید روش دیگری را برای افزایش امنیت انجام دهید. یکی دیگر از اقدامات امنیتی محدود کردن مجوز فایل کانفیگ است. مجوز فایل ها را بر روی ۶۰۰ تنظیم کرده تا تنها ادمین های اصلی سایت امکان ویرایش فایل wp-config را داشته باشند. برای تغییر مجوز wp-config، فایل wp-config را انتخاب کرده و سپس گزینه permission را انتخاب کنید. سپس در پنجره باز شده تیک گزینه‌های Read و Write که در ستون user قرار دارد را انتخاب کنید تا سطح دسترسی این فایل بر روی ۶۰۰ قرار گیرد.

آموزش افزایش امنیت سایت وردپرسی با فایل WP-config.php

سپس بر روی فایل htaccess. کلیک راست کرده و گزینه Edit را انتخاب کنید. پس از آن کد زیر را در این فایل قرار دهید تا از بارگذاری فایل wp-config به صورت مستقیم در مرورگر توسط هکرها جلوگیری کنید. فراموش نکنید که پس از اضافه کردن این کدها، فایل htaccess. را ذخیره کنید.

 

سخن نهایی

با روش های ارائه شده در این مقاله، موضوع ایمن سازی سایت وردپرس از طریق فایل wp-config را پوشش دادیم، ولی در نظر داشته باشید موارد مذکور تنها بخشی از اقداماتی است که جهت ارتقا امنیت سایتهای وردپرسی می توان انجام داد. از جمله اقدامات امنیتی دیگر می توان استفاده از پلاگین امنیتی وردپرس مانند پلاگین Wordfence و پلاگین All In One WP Security and Firewalنصب گواهی SSL در وردپرس، احراز هویت دو مرحله ای، استفاده از نام کاربری و رمز عبور قوی را نام برد.

آموزش افزایش امنیت سایت وردپرسی با فایل WP-config.php

این مطلب چقدر برای شما مفید بود؟

امتیاز / ۵٫ تعداد نظرات :

اولین نظر را شما ثبت کنید!

The following two tabs change content below.

منبع مطلب

این مطالب را نیز ببینید!

چرا باید از وردپرس استفاده کنیم ؟

چرا باید از وردپرس استفاده کنیم ؟

برخی از تازه کارها سوالهایی از این قبیل دارند: چرا ما باید از وردپرس استفاده …

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *