افزایش امنیت ورد پرس WP-config
غیرفعال کردن قابلیت ویرایش فایل های قالب و پلاگین ها در وردپرس
در داشبورد وردپرس، گزینه ای برای ویرایش فایل های قالب و پلاگین ها وجود دارد. این بدان معناست که با دسترسی به داشبورد وردپرس هر فردی می تواند قالب و پلاگین های شما را ویرایش کند.
اگرچه این گزینه مفید و کاربردی است ولی حتی یک ابزار کاربردی در دست هکرih می تواند خطرناک باشد. فرض کنید، هکری وارد سایت شما شده و به سادگی با ویرایش یکی از پلاگین های فعال و یا حتی قالب سایت، به آن بدافزاری اضافه کرده و از این طریق با ایجاد یک درب پشتی در هر زمانی به سایت مجددا دسترسی پیدا کند. برای جلوگیری از بروز چنین مشکلی می توانید به سادگی گزینه ویرایش این فایل ها را از طریق افزودن کد زیر به فایل کانفیگ وردپرس، غیرفعال کنید.
// Disallow file edit define( ‘DISALLOW_FILE_EDIT’, true ); |
جلوگیری از نصب و یا آپدیت پلاگین ها و قالب توسط کاربران
همانطور که در گزینه قبلی توضیح داده شد، غیرفعال کردن دسترسی کاربران جهت ویرایش این فایل ها تنها یک سطح امنیتی است ولی این اقدام نمی تواند از نصب پلاگین های ویروسی بر روی سایت توسط هکرها جلوگیری کند. هنگامی که هکر با دسترسی مناسب وارد داشبورد وردپرس شود به سادگی می تواند یک تم و یا پلاگینی ها نامناسب و حتی ویروسی بر روی سایت نصب کند. پس چنانچه اغلب افزونه ای بر روی سایت خود نصب نمی کنید می توانید با افزودن کد زیر به فایل کانفیگ وردپرس خود، این گزینه را غیرفعال کنید.
define(‘DISALLOW_FILE_MODS’,true); |
ستفاده از اکانت FTP برای نصب قالب یا پلاگین
جلوگیری از نصب و به روز رسانی پلاگین ها و قالب برای سایت هایی که غالبا قالب و پلاگین های جدید بر روی سایت خود نصب می کنند، غیر عملی و محدود کننده است. از این رو چنانچه تمایل به استفاده از گزینه پیشین را نداشتید، می توانید با ایجاد یک مرحله جدید جهت اطمینان از نصب و به روزرسانی قالب و پلاگین توسط کاربران مجاز، اطلاعات اکانت FTP را درخواست کنید. در چنین شرایطی حتی اگر هکرها موفق به ورود به داشبورد سایت شوند باز هم بدون وارد کردن اطلاعات صحیح FTP قادر به نصب پلاگین و یا تم در سایت نخواهند بود. جهت انجام این کار تنها کافی است کد های زیر را فایل wp-config.php قرار دهید.
define(‘FS_METHOD’, ‘ftpext’); |
چنانچه هاست و یا سرورتان از FTPS پشتیبانی میکند، باید کد زیر را در فایل کانفیگ قرار دهید.
define(‘FTP_SSL’, true); |
چنانچه سایت هاست و یا سرورتان از SFTP پشتیبانی میکند، باید کد زیر را در فایل کانفیگ قرار دهید.
define(‘FS_METHOD’, ‘ssh2’); |
تغییر کلید امنیتی در وردپرس
پس از ورود به داشبورد وردپرس، اطلاعات ورود شما به صورتی رمزگذاری شده در کوکی مرورگرتان ذخیره می شود. کلیدهای امنیتی متغیرهای تصادفی هستند که به بهبود روند رمزگذاری کمک می کند. چنانچه سایت وردپرسی شما هک شده باشد، تغییر کلید امنیتی منجر به نامعتبر شناخته شدن کوکی شده و به واسطه آن تمامی کاربران فعال به صورت اتوماتیک از آن خارج شده و باید مجدد با وارد کردن اطلاعات ورود، وارد سایت شوند. لذا در چنین شرایطی هکرها دسترسی خود به سایت را از دست می دهند.
کلیدهای امنیتی کدهایی مانند نمونه زیر هستند که در فایل wp-config.php قرار دارند.
define(‘AUTH_KEY’, ‘put your unique phrase here’); define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’); define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’); define(‘NONCE_KEY’, ‘put your unique phrase here’); define(‘AUTH_SALT’, ‘put your unique phrase here’); define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’); define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’); define(‘NONCE_SALT’, ‘put your unique phrase here’); |
برای ایجاد کلیدهای امنیتی به صورت رندوم، به این لینک مراجعه کرده و کدهای ارائه شده در آن را با کدهایی که مشابه با کدهای بالا در فایل wp-config.php هستند جایگزین کنید.
مخفی سازی فایل wp-config.php
در تمامی سایت های وردپرسی، فایل wp-config.php در یک مکان پیش فرض قرار دارد. بنابراین تغییر مکان این فایل میتواند تا حدودی دسترسی هکرها به آن را دشوار کند. خوشبختانه، در وردپرس امکان قراردهی فایل wp-config در مسیر مجزا و خارج از نصب وردپرس وجود دارد. به عنوان مثال، چنانچه سایت شما در مسیر public_html قرار گرفته باشد، فایل wp-config نیز به صورت پیش فرض در همان مسیر قرار دارد، با این حال شما می توانید این فایل را بدون ایجاد اختلال در عملکرد سایت خود به پوشه ای خارج از public_html منتقل کنید.
برای انجام این کار مراحل زیر را انجام دهید:
- به قسمت File manager در کنترل پنل هاست خود مراجعه کنید.
- در پوشه public_html ، بر روی فایل wp-config.php کلیک راست کرده و گزینه Move را انتخاب کنید.
- مسیر مورد نظر خود (مسیر مقصد) برای انتقال این فایل را انتخاب و فایل را انتقال دهید.
- در مسیر public_html بر روی گزینه New File کلیک کنید و فایل جدیدی با نام wp-config.php ایجاد و کدهای زیر را در آن قرار دهید :
define(‘ABSPATH’, dirname(__FILE__) . ‘/’); require_once(ABSPATH . ‘../path/to/wp-config.php’); |
در کد بالا به جای عبارت “../path/to/wp-config.php” ، آدرس مسیر جدیدی که فایل wp-config.php را به آنجا منتقل کرده اید وارد و در نهایت این فایل را ذخیره کنید.
بالا بردن امنیت فایل wp-config.php
فایل کانفیگ وردپرس آسیب پذیر بوده و افزایش امنیت آن ضروری است. یکی از روش های انجام آن، تغییر مکان آن است تا از دسترسی هکرها خارج شود. البته ممکن است برخی از توسعه دهنده ها با این کار مخالف و برخی موافق باشند. لذا در صورتی که با این کار مخالف هستید میتوانید روش دیگری را برای افزایش امنیت انجام دهید. یکی دیگر از اقدامات امنیتی محدود کردن مجوز فایل کانفیگ است. مجوز فایل ها را بر روی 600 تنظیم کرده تا تنها ادمین های اصلی سایت امکان ویرایش فایل wp-config را داشته باشند. برای تغییر مجوز wp-config، فایل wp-config را انتخاب کرده و سپس گزینه permission را انتخاب کنید. سپس در پنجره باز شده تیک گزینههای Read و Write که در ستون user قرار دارد را انتخاب کنید تا سطح دسترسی این فایل بر روی 600 قرار گیرد.
سپس بر روی فایل htaccess. کلیک راست کرده و گزینه Edit را انتخاب کنید. پس از آن کد زیر را در این فایل قرار دهید تا از بارگذاری فایل wp-config به صورت مستقیم در مرورگر توسط هکرها جلوگیری کنید. فراموش نکنید که پس از اضافه کردن این کدها، فایل htaccess. را ذخیره کنید.
# protect wpconfig.php <files wp–config.php> order allow,deny deny from all </files> |
مدیریت سرور پشتیبانی و مشاوره و سئو