روش های بهبود امنیت فایل wp-config
شما برای ایجاد وب سایت خود سخت تلاش کرده اید و احتمالاً برای حفظ آن زمان زیادی را صرف کرده اید. سایت شما ممکن است برای معیشت شما حیاتی باشد – وردپرس یک بستر عالی و ایمن است، اما کارهای بیشتری می توانید انجام دهید تا سایت خود را امن تر کنید.
اگر می خواهید یک سایت ایمن ایجاد کنید، انتخاب وردپرس به عنوان پلت فرم برای شروع عالی است. وردپرس نه تنها یک پلت فرم انعطاف پذیر و قدرتمند برای ساخت وب سایت ها است بلکه از لحاظ امنیتی نیز به طرز قابل توجهی ایمن است.
این بدان دلیل است که توسعه دهندگان وردپرس به امنیت اهمیت می دهند. به علاوه ، آنها مرتباً بروزرسانی های متعددی منتشر می کنند این بدان معنی است که سایت شما برای مقابله با هر گونه تهدید جدیدی که ظاهر می شود ، از تجهیزات خوبی برخوردار خواهد بود.البته هیچ پلتفرمی نمی تواند 100٪ ایمن باشد. هکرها سخت در تلاشند تا حتی به سایت های کاملاً محافظت شده نیز راه پیدا کنند.
برای حفاظت از وبسایت وردپرسی خود در برابر هکرها سعی کنید از دید یک هکر نگاه کنید. با استفاده از ابزارهایی مانند WP-Scanner، حتی یک آماتور هم می تواند به وب سایت حرفه ای وردپرس شما نفوذ کرده و یک تجربه تلخ را برای شما رقم بزند. مراحل ایمن سازی فایل پیکربندی wp-config.php را در این مقاله می اموزید.
فایل wp-config.php چیست؟
هر سایت وردپرسی حاوی فایلی به نام wp-config.php است. این فایل، یکی از مهم ترین پرونده های وردپرس است. این پرونده حاوی اطلاعات مهمی همچون نام پایگاه داده و رمز پایگاه داده است و این مسئولیت را بر عهده دارد که به پایگاه داده متصل شود. همچنین به وسیله این فایل شما قادر هستید که تنظیمات سایت وردپرسی خود را کنترل کنید.
این فایل در هاست شما قرار دارد و شما از طریق Public-html میتوانید به راحتی به آن دسترسی داشته باشید. از آنجا که افزایش امنیت سایت شما از اهمیت بالایی برخوردار است، شما می توانید با تغییر مسیر این فایل امنیت سایت خود را افزایش دهید.
wp-config به دلیل اطلاعات مهمی که درون آن قرار دارد، می تواند مورد نفوذ هکرها قرار گیرد و هکرها میتوانند از اطلاعات مهم درون آن برای پیشبرد اهداف خود استفاده کنند و همچنین میتوانند به طور کلی سایت شما را مختل کرده و حتی ممکن است سایتتان را کلاً از دسترس خارج کنند.
چگونه می توان با استفاده از فایل wp-config سایت وردپرس خود را ایمن کرد؟
در این مقاله قصد داریم یکی از راه های بهبود امنیت ورپرس را به شما به صورت تخصصی اموزش دهیم همانطور که در بالا اشاره کردیم یکی از مهم ترین پرونده های وردپرس فایل wp-confiig است. شما با امن کردن این پرونده می توانید از بسیاری از حملات جلوگیری کنید.
اکنون اجازه دهید تمام مراحلی که منجر به افزایش امنیت پرونده wp-config.php می شود را مورد بحث قرار دهیم:
تذکر: قبل از شروع کار حتما از اطلاعات هاست و سایت خود نسخه پشتیبان تهیه کنید.
پیشوند پایگاه داده را تغییر دهید.
آیا تاکنون جداول پایگاه داده وردپرس خود را دیده اید؟ (می توانید از طریق حساب میزبان وب خود به آن دسترسی پیدا کنید) به طور پیش فرض، پایگاه داده دارای یازده جدول است. هر جدول عملکرد خاصی دارد. به عنوان مثال، wp_posts اطلاعات پست ها، صفحات و منوی پیمایش را ذخیره می کند. از آنجا که عملکردهای هر جدول از قبل تعیین شده است، هکر می داند جزئیات سایت شما در کجا ذخیره می شود. به عنوان مثال، اگر آن ها بخواهند از کاربران سایت شما سو استفاده کنند، می توانند جدول “wp_users” را هدف قرار دهند.
مقالات مرتبط
به صورت پیش فرض وردپرس برای تمامی جداول از پیشوند WP- استفاده می کند. بنابراین تغییر آن به یک پیشوند منحصر به فرد می تواند در مخفی کردن داده های این جداول و در نتیجه افزایش ایمنی سایت وردپرسی کمک کند.
ویرایش قالب/پرونده های پلاگین را غیرفعال کنید.
در داشبورد وردپرس، گزینه ای برای ویرایش پرونده پلاگین/قالب وجود دارد. این بدان معنی است که با دسترسی به داشبورد و مجوز کافی، هر کس می تواند قالب ها یا افزونه های شما را ویرایش کند.
اگر بخواهید هر پلاگینی را دوباره پیکربندی کنید یک ابزار مفید است، اما در دست یک هکر خطرناک می شود. به عنوان مثال، فرض کنید یک هکر موفق به نفوذ به سایت شما شود. برای آن ها آسان است که یک بدافزار را به یک پلاگین یا قالب موجود اضافه کنند. آن ها می توانند درب پشتی (backdoor) خود را پنهان کنند که بعداً برای دستیابی به سایت شما هر زمان که بخواهند از آن استفاده می کنند.
برای امنیت فایل wp-config با غیر فعال کردن گزینه ویرایش این فایل ها می توانید از این اتفاق جلوگیری کرده و سایت وردپرس خود را ایمن کنید. به سادگی کد زیر را در پرونده پیکربندی وردپرس خود قرار دهید:
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
از نصب یا به روزرسانی افزونه و قالب ها توسط کاربران جلوگیری کنید.
محدود کردن دسترسی کاربران در ویرایش پرونده ها، این کار مانع از نصب یک افزونه مخرب توسط هکرها می شود که می توانند برای سو استفاده از سایت شما استفاده کنند. هنگامی که آن ها به پنل کاربر با سطح دسترسی بالا ورود پیدا کنند، می توانند یک تم یا پلاگین مخرب را نصب کنند. اگر به صورت مرتب پلاگین نصب نمی کنید، می توانید با افزودن کد زیر در فایل پیکربندی وردپرس، این گزینه را غیرفعال کنید:
define(‘DISALLOW_FILE_MODS’,true);
لزوم وارد کردن اطلاعات در FTP
جلوگیری از نصب و بروزرسانی افزونه ها و تم ها توسط کاربران می تواند برای سایت هایی که به طور مداوم پلاگین نصب می کنند، محدود کننده و حتی غیر عملی باشد. علاوه بر این، به روزرسانی قالب ها و پلاگین ها برای امنیت یک سایت بسیار مهم است. یک روش جایگزین برای اطمینان از نصب پلاگین ها توسط کاربر معتبر، مجبور کردن کاربران به ارائه جزئیات “FTP” است. حتی وقتی Admin Panel شما به خطر بیفتد، هکرها نمی توانند یک پلاگین مخرب نصب کنند، مگر اینکه از اعتبار FTP شما برخوردار باشند.
فقط کافی است خطوط زیر را به wp-config.php خود اضافه کنید:
define(‘FS_METHOD’, ‘ftpext’);
اگر میزبان وب یا سرور شما از “FTPS” پشتیبانی می کند، خطوط زیر را در پرونده پیکربندی اضافه کنید:
define(‘FTP_SSL’, true);
اگر میزبان وب یا سرور شما از “SFTP” پشتیبانی می کند، خطوط زیر را اضافه کنید:
define(‘FS_METHOD’, ‘ssh2’);
کلیدهای امنیتی را تغییر دهید.
لازم نیست هربار که بخواهید وارد سایت خود شوید، رمز ورود خود را وارد کنید. تا به حال فکر کرده اید که مرورگر شما چگونه این مدارک را ذخیره می کند؟ پس از ورود به حساب خود، اطلاعات ورود به سیستم شما به صورت رمزگذاری شده در کوکی مرورگر ذخیره می شود. کلیدهای امنیتی متغیرهای تصادفی هستند که به بهبود این رمزگذاری کمک می کنند. اگر سایت شما هک شود، تغییر کلیدهای مخفی کوکی را بی اعتبار می کند و هر کاربر فعال را مجبور می کند به طور خودکار از سیستم خارج شود. پس از آن، هکر دسترسی به مدیر وردپرس شما را از دست می دهد.
می توانید مجموعه جدیدی از کلیدهای امنیتی ایجاد کرده و آن ها را در پرونده wp-config قرار دهید. این امر به ایمن سازی سایت وردپرس شما کمک می کند.
کلیدهای امنیتی کدهایی مانند نمونه زیر هستند که در فایل wp-config.php قرار دارند.
مخفی کردن “wp-config.php”
در هر سایت وردپرسی، فایل wp-config یک مکان پیش فرض دارد. از این رو تغییر مکان پرونده می تواند از افتادن آن به دست هکرها جلوگیری کند. خوشبختانه، وردپرس اجازه می دهد تا پوشه wp-config خارج از نصب وردپرس شما قرار بگیرد. به عنوان مثال، اگر وردپرس شما در پوشه public_html نصب شده باشد، به طور پیش فرض فایل پیکربندی در پوشه public_html وجود دارد. اما می توانید wp-config را به خارج از پوشه public_html منتقل کنید و همچنان کار خواهد کرد.
برای انجام این کار مراحل زیر را انجام دهید:
- به قسمت File manager در کنترل پنل هاست خود مراجعه کنید.
- در پوشه public_html ، بر روی فایل wp-config.php کلیک راست کرده و گزینه Move را انتخاب کنید.
- مسیر مورد نظر خود (مسیر مقصد) برای انتقال این فایل را انتخاب و فایل را انتقال دهید.
- در مسیر public_html بر روی گزینه New File کلیک کنید و فایل جدیدی با نام wp-config.php ایجاد و کدهای زیر را در آن قرار دهید :
define(‘ABSPATH’, dirname(__FILE__) . ‘/’);
require_once(ABSPATH . ‘../path/to/wp-config.php’);
پرونده wp-config.php را ایمن کنید.
wp-config در برابر حملات آسیب پذیر است و ایجاد امنیت را ضروری می کند. یکی از روش های انجام این کار تغییر مکان آن است تا هکرها نتوانند آن را در مکان پیش فرض خود پیدا کنند. اگرچه ممکن است برخی از توسعه دهندگان با این مخالفت کنند، اما افراد زیادی فکر می کنند که این ایده خوبی است.
اقدام امنیتی دیگری که می توانید انجام دهید محدود کردن مجوز پرونده است. مجوزهای پرونده را روی 600 تنظیم کنید تا فقط صاحبان واقعی بتوانند فایل wp-config را ویرایش کنند. برای تغییر مجوز پرونده wp-config، پرونده را انتخاب کنید و سپس گزینه “Permission” را انتخاب کنید.
برای جلوگیری از بارگیری مستقیم پرونده wp-config از طریق مرورگر، باید خطوط زیر را در پرونده .htaccess قرار دهید.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
سخن پایانی درباره بهبود امنیت فایل wp-config
در این مقاله، ما نحوه ایمن سازی سایت وردپرس خود را با فایل wp-config شرح داده ایم، اما این تنها یکی از راه های بهبود امنیت سایت شما است. چند اقدام امنیتی دیگر که می توانید انجام دهید شامل استفاده از پلاگین های امنیتی، استفاده از گواهی SSL، استفاده از نام کاربری و رمز عبور منحصر به فرد و قوی، پیاده سازی احراز هویت HTTP و احراز هویت دو عاملی از جمله موارد دیگر است. اما قبل از اجرای هر یک از این روش ها، باید از سایت خود بکاپ تهیه کنید. اگر مشکلی پیش آمد، به راحتی می توانید از نسخه بک آپ استفاده کرده و سایت را در کمترین زمان فعال کنید.