چگونه با فایل wp-config.php وردپرس را ایمن کنیم؟
فایل wp-config.php یکی از مهم ترین و حساس ترین فایل های وردپرس است.
هنگام ساخت سایت وردپرسی، یک فایل بنام فایل wp-config.php نیز ساخته می شود. این فایل، پیکر بندی سایت را بر عهده دارد و حاوی پارامترهای زیادی است.
این فایل در ایمن سازی سایت وردپرسی شما نقش اساسی ایفا می کند. در واقع شما می توانید با استفاده از این فایل، امنیت سایت وردپرسی خود را افزایش دهید.
وستا سرور نیز در این مقاله قصد دارد به شما راهکار هایی ارائه دهد تا با انجام آن ها، امنیت فایل wp-config.php را افزایش دهید تا سایت وردپرس ایمن تری داشته باشید.
چگونه با فایل wp-config.php وردپرس را ایمن کنیم؟
1-امنیت فایل wp-config.php را افزایش دهید.
فایل wp-config.php، فایل آسیب پذیر و حساسی در مقابل حملات است. بنابراین افزایش امنیت این فایل از اهمیت بالایی برخوردار است.
حال دو روش برای افزایش امنیت فایل wp-config.php وجود دارد:
روش اول : فایل wp-config.php وردپرس را جابجا کنید.
فایل wp-config برای همه سایت های وردپرسی، در یک جا یعنی در مسیر public_html در هاست قرار دارد. حال اگر شما محل فایل را تغییر دهید توانسته اید تا حدودی مانع دسترسی هکر ها به این فایل شوید.
با جابجایی این فایل، نگران عدم عملکرد درست آن نباشید زیرا وردپرس به این فایل اجازه می دهد که با قرار گرفتن در مسیر دیگری هم بتواند کارکرد خود را حفظ کند.
برای جابجایی این فایل مراحل زیر را طی کنید:
1- وارد پنل هاست خود شوید و سپس از قسمت files به File manager وارد شوید.
2- حال وارد دایرکتوری public_html شوید فایل wp-config.php را پیدا کنید.
3- روی فایل راست کلیک کنید و گزینه Move را انتخاب کنید.
4- سپس مسیر جدید خود را برای جابجا کردن فایل مشخص کنید و فایل را انتقال دهید.
5- حال باید یک فایل جدید ایجاد کنید، بدین منظور روی دکمه New File در هاست خود کلیک کنید و نام فایل جدید را wp-config.php قرار دهید و در دایرکتوری public_html آن را ایجاد کنید.
6- اکنون در همین فایل جدیدی که ایجاد کردید، کدهای زیر را قرار دهید.
نکته: در کد بالا به جای مسیر داده شده در کد بالا، مسیری که فایل اصلی wp-config.php را به آنجا انتقال دادید بنویسید و فایل را ذخیره کنید.
روش دوم : امنیت فایل wp-config.php را از طریق تغییر سطح دسترسی فایل ها در htaccess. افزایش دهید.
برای انجام این روش جهت افزایش ایمنی فایل wp-config.php، باید مجوز فایل را روی 600 تنظیم کنید تا قابلیت فایل تنها در اختیار صاحبان واقعی wp-config.php قرار گیرد.
برای این کار روی باید روی فایل wp-config.php راست کلیک کنید و بعد گزینه Set Permissions را انتخاب نمایید. سپس در صفحه ای که باز می گردد، اگر تیک گزینه های ستون Read و Write را بزنید مشاهده می کنید که Chmod روی 600 تنظیم می شود.
حال باید قطعه کدی را در فایل htaccess. وارد کنید.
برای انجام این روش مراحل زیر را طی کنید:
1- وارد پنل هاست خود شوید. (در این آموزش کنترل پنل هاست از نوع دایرکت ادمین است اما ممکن است پنل هاست شما سی پنل باشد، ولی چندان در روش کار تفاوتی ندارد)
2- سپس از قسمت منو روی Files کلیک کرده و سپس از زیر منوی باز شده، File Manager را پیدا کرده و روی آن کلیک کنید.
3- در صفحه باز شده شما می توانید تمامی فایل ها و پوشه های مربوط به سایت خود را مشاهده نمایید. در این صفحه باید روی دایرکتوری public_html کلیک کنید.
4- در این دایرکتوری بدنبال فایل htaccess. بگردید و سپس جهت ویرایش آن باید از گزینه Edit استفاده نمایید.
حال کد زیر را در فایل مذکور وارد نمایید:
# protect wpconfig.php <files wp-config.php> order allow,deny deny from all </files>
2- امکان ویرایش فایل های قالب و افزونه ها در وردپرس را غیرفعال کنید.
در وردپرس، گزینهای وجود دارد که امکان ویرایش فایلهای افزونه و قالب را فراهم می کند.
حال اگر کسی امکان دسترسی به پیشخوان وردپرس را به عنوان یک نقش کاربری در وردپرس داشته باشد براحتی می تواند به کدهای داخل فایل های قالب و افزونه های وردپرس، دسترسی پیدا کند و بتواند کدها را تغییر دهد یا کدهای مخرب خود را وارد آنها کند.
با اینکه این امکان یعنی قابلیت ویرایش فایل های قالب ها و افزونه ها جهت اعمال تغییرات دلخواهتان در آنها، برای شما مفید است اما باید توجه به این موضوع هم داشته باشید که همین قابلیت ویرایش اگر در اختیار افراد نفوذگر و هکرها قرار گیرد، می تواند براحتی تبدیل به یک ابزار کارآمد برای هکر ها جهت تحقق اهدافشان شود.
برای غیرفعال کردن قابلیت ویرایش فایل های قالب ها و افزونه ها مراحل زیر را طی کنید:
1- وارد پنل هاست خود شوید. (در این آموزش کنترل پنل هاست از نوع دایرکت ادمین است اما ممکن است پنل هاست شما سی پنل باشد، ولی چندان در روش کار تفاوتی ندارد)
2- سپس از قسمت منو روی Files کلیک کرده و سپس از زیر منوی باز شده، File Manager را پیدا کرده و روی آن کلیک کنید.
3- در صفحه باز شده شما می توانید تمامی فایل ها و پوشه های مربوط به سایت خود را مشاهده نمایید. در این صفحه باید روی دایرکتوری public_html کلیک کنید.
4- در این دایرکتوری، دنبال فایل wp-config.php بگردید. سپس لازم است به صفحه ویرایش آن وارد شوید. جهت ویرایش فایل باید از گزینه Edit استفاده نمایید.
5- حالا قطعه کد زیر را در بخش define این فایل قرار دهید و ذخیره کنید.
// Disallow file edit
define( ‘DISALLOW_FILE_EDIT’, true );
با انجام مراحل بالا، امکان ویرایش فایلهای قالب و افزونه ها در وردپرس را غیرفعال خواهید کرد.
3- امکان نصب و بروزرسانی افزونه یا قالب توسط کاربران را غیرفعال کنید.
ممکن است هکر ها، کدهای هدفمند و ویروسی خود را در یک افزونه یا قالب وردپرس قرار داده باشند. سپس به طریقی وارد سایت شما شده و با نصب افزونه یا قالب در وردپرس شما، کدهای مخرب را فعال کنند.
به همین دلیل، بهتر است امکان نصب و بروز رسانی قالب و افزونه ها را در وردپرستان، غیرفعال کنید.
برای جلوگیری از نصب چنین افزونه و قالب هایی، می توانید قطعه کد زیر را در فایل wp-config.php وردپرس وارد کنید:
define(‘DISALLOW_FILE_MODS’,true);
4- برای نصب قالب یا پلاگین از اکانت FTP استفاده کنید.
ممکن است جلوگیری از نصب و بروز رسانی افزونه ها و قالب برای سایت هایی که غالبا قالب و پلاگین های جدید بر روی سایت خود نصب می کنند، غیر عملی و محدود کننده است.
از این رو اگر در سایت خود، مرتباً نیاز به نصب و بروزرسانی قالب و افزونه ها دارید، شاید انجام مرحله قبل برای شما سخت و حتی غیر ممکن باشد.
برای اطمینان از نصب و بروزرسانی قالب و افزونه ها توسط کاربران مجاز سایت، می توانید اطلاعات اکانت FTP را درخواست کنید. در این صورت، اگر حتی هکرها موفق به ورود به سایت شما شوند در مرحله ی وارد کردن اطلاعات صحیح FTP برای نصب قالب یا افزونه ها در وردپرس، با مشکل روبرو می شوند.
برای این کار، باید کد های زیر را در فایل wp-config.php وارد کنید:
define(‘FS_METHOD’, ‘ftpext’);
در صورتیکه سرور یا هاستتان از FTPS پشتیبانی می کند، باید کد زیر را در فایل wp-config.php وارد کنید:
define(‘FTP_SSL’, true);
و در صورتیکه هاست و یا سرورتان از SFTP پشتیبانی می کند، کد زیر را در فایل wp-config.php وارد کنید.
define(‘FS_METHOD’, ‘ssh2’);
5- کلید امنیتی در وردپرس را تغییر دهید.
وقتی که شما وارد وردپرس می شوید، اطلاعات ورود شما رمزگذاری می شوند و سپس در کوکی مرورگرتان ذخیره می شوند.
کلیدهای امنیتی در واقع یک سری متغیرهای تصادفی هستند که روند رمزگذاری را بهبود می دهند. حال وقتی که شما کلید امنیتی را تغییر می دهید، کوکی نامعتبر شناخته می شود.
به همین دلیل همه کاربران فعال اجباراً از آن خارج شده و کوکی حذف میگردد و هم کاربران غیرمجاز و هم هکرها نمی توانند به وردپرس دسترسی پیدا کنند.
که در زیر نمونه کد کلیدهای امنیتی در فایل wp-config.php را می توانید مشاهده کنید.
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);
اگر می خواهید کلیدهای امنیتی به صورت رندوم ایجاد شوند، روی لینک کلیک کنید و کدهای موجود در آن را با کدهای مشابه در فایل wp-config-php که مشابهش را در کد بالا مشاهده کردید، جایگزین کنید.
6- پیشوند جداول دیتابیس وردپرس را تغییر دهید.
دیتابیس حدوداً ۱۱ جدول دیتابیس دارد. که هر کدام از این ۱۱ جدول، داده های خاص خود را دارند.
حالا دقت کنید که عملکرد و داده های هر جدول، از قبل مشخص است بنابراین هکرها بخوبی می دانند که کدام اطلاعات و داده ها، در کدام جدول قرار دارند.
مثلاً اگر هکری بخواهد به داده ها و اطلاعات مربوط به کاربران دست پیدا کند، کاملاً می داند که با کدام جدول کار دارد. بنابراین سراغ جدول Wp-users می رود.
وردپرس به صورت پیش فرض، پیشوند WP- را برای تمامی جداول خود بکار می برد.
بنابراین شما باید یک پیشوند منحصر به فرد برای مخفی نگه داشتن داده های این جداول در نظر گیرید تا بتوانید سایت وردپرستان را ایمن تر کنید.
حرف آخر
با استفاده از روشهایی که در این آموزش ذکر شد، شما براحتی می توانید با فایل wp-config.php وردپرس را ایمن تر کنید.
امیدواریم مطالب این مقاله برای شما مفید واقع شده باشد.