ایمن سازی فایل wp-config وردپرس

ایمن سازی فایل wp-config وردپرس

امید صادقی ادمین
مدت زمان مطالعه: 15 دقیقه 21 اسفند 01

آیا شما هم قصد محافظت از سایت وردپرسی تان را دارید؟ حتماً با انواع حملات هکرها آشنا هستید، و می خواهید از فایل های خود در مقابل این حملات محافظت کنید. راه های مختلفی برای ایمن سازی سایت وجود دارند، اما در این مقاله باهم ایمنی فایل wp-config.php وردپرس را بالا خواهیم برد.

 

افزایش امنیت فایل کانفیگ وردپرس

فایل wp-config.php وردپرس، فایلی است که حساسیت بالایی داشته و می تواند با کوچک ترین اشتباهی، سایت را با مشکل مواجه کند. با وجود اینکه وردپرس راه های زیادی را برای مقابله با حملات ارائه داده، اما اگر این فایل هک شود، ممکن است دیگر نتوانیم به سادگی به سایت خود دسترسی پیدا کنیم.

در واقع، زمانی که یک سایت وردپرسی ساخته می شود، فایلی برای پیکربندی ایجاد می شود که پارامترهای بی شماری را درون خود جای می دهد؛ این فایل و پارامترهای آن برای افزایش امنیت سایت، بسیار حیاتی هستند.

زمانی که فایل کانفیگ را باز کنیم، می توانیم تمام اطلاعاتی را که هنگام تنظیم دیتابیس سایت ورپرسی مان ساخته بودیم، مشاهده کنیم. این فایل، اطلاعاتی نظیر یوزرنیم، پسورد و تمام اطلاعاتی که برای دسترسی به دیتابیس لازم است را شامل می شود.

علاوه بر این، کلیدهای مخفی یا secret keys که باعث افزایش امنیت سایت شده، و متغیری به نام table_prefix نیز درون این فایل قرار دارند؛ که برای برقراری امنیت اطلاعات سایت از حساسیت بسیار بالایی برخوردارند.

پس فرض کنید اگر این فایل با این میزبان حساسیت، در اختیار یک هکر قرار گیرد، چه فاجعه ای رخ خواهد داد؟

راه های افزایش امنیت فایل wp-config.php

راه های افزایش امنیت فایل wp-config.php

حال بیایید در مورد راهکارهای موجود برای ایمن سازی این فایل مهم بحث کنیم.

  • محافظت از طریق فایل .htaccess

    1. با استفاده از FTP client به سایت وردپرسی خود وصل شوید ( برای برقراری ارتباط رمزنگاری شده بین کامپیوتر و سرور، از SFTP استفاده کنید ).
    2. فایل .htaccess را دانلود کنید ( درون دایرکتوری روت وردپرس ).
    3. این خطوط کد را در انتهای فایل .htaccess وارد کنید.

#secure wp-config.php

order allow, deny

deny from all

این خطوط، عملاً دسترسی به فایل wp-config ما را از هر هک درونی و تغییر در کدها، بلاک می کند.

بعد از اضافه کردن این خطوط، فایل را به کمک Save As Type و انتخاب All Files، ذخیره کنید تا ویرایشگر بعدی نتواند نوع فایل را تغییر دهد. 

پس از ذخیره سازی، دقیقاً به همان مسیر قبل رفته و فایل جدید را آپلود کنید.

  • محافظت از طریق انتقال فایل wp-config.php

معمولاً، فایل wp-config درون دایرکتوری روت قرار دارد؛ اما مسلماً هیچ کدام از ما نمی خواهیم که یک هکر بتواند به سادگی به دایرکتوری روت و این فایل دسترسی پیدا کند. پس بهترین کار این است که این فایل کانفیگ را به جایی غیر قابل پیش بینی منتقل کنیم تا از داده های حساس درون آن محافظت کنیم.

اگرچه ممکن است کار طاقت فرسا و زمان بری باشد، اما در مجموع، ایمنی این فایل، مساوی است با سرنوشت سایت ما. علاوه بر این، با هر بروزرسانی نیز باید در کدهای مرجع ( source code ) تغییراتی اعمال کنیم.

معمولاً با یک سطح بالا رفتن و انتقال به فایل های بیرون از public folder، روش ما نتیجه بخش خواهد شد.

در حالت آفلاین، این کار را می توان با درگ و دراپ کردن انجام داد؛ اما در حالت آنلاین باید این قدم ها را طی کنیم:

  1. در فایل منیجر از ابزار move استفاده کنید.
  2. فایل wp-config را انتخاب کنید.
  3. روی ابزار move کلیک کنید.
  4. دایرکتوری مقصد را انتخاب کنید.

البته باید مجوز اینکار را از سمت هاست یا سرور داشته باشیم. و از سویی دیگر، انتقال فایل config به مسیری دیگر، امنیت این فایل را تضمین نمی کند.

محافظت از طریق ویرایش فایل wp-config.php

محافظت از طریق ویرایش فایل wp-config.php

علاوه بر روش های بالا، ما می توانیم یک فایل کانفیگ جدید ایجاد کنیم؛ این فایل باید در دایرکتوری خاصی ساخته شود که از طریق www در دسترس نباشد؛ در این صورت از دسترسی های خارجی و یا هکرها، در امان خواهد ماند.

اما نباید در پوشه public_html موجود باشد، پس آن را جایی دور از دسترس بازدیدکنندگان سایت قرار دهید.

وارد فایل wp-config.php فعلی شوید، و اطلاعات یا خطوطی را که شامل جزئیات اتصال به دیتابیس، کلیدهای امنیتی وردپرس و پیشوندهای دیتابیس هستند، جابجا کنید.

در ابتدای فایل کانفیگ جدید، و در انتهای آن را ?> الحاق کنید.

پس از انتقال تمام داده های حساس از فایل کانفیگ اصلی، خط زیر را دقیقاً همانند عبارت در فایل wp-config اصلی، در فایل جدید اضافه کنید:

 

include(‘/home/yourusername/config.php’);

حال، با اینکار وقتی فایل wp-config باز شود، داده های حساس آن، از یک فایل مجزا در یک لوکیشن متفاوت روی وب سرور ما، خوانده خواهد شد. پس با توجه به اینکه هیچ اطلاعات حساسی روی فایل اصلی نیست، این فایل و داده های سایت ما در امان خواهند ماند. 

البته این روش زمانی جواب خواهد داد که دانش کافی در این زمینه داشته باشیم، و مسیرهای سایتمان را بخوبی بشناسیم.

محافظت از طریق تنظیمات wp-config.php

همانطور که گفتیم، فایل کانفیگ به دلیل داشتن اطلاعات حیاتی سایت وردپرسی ما، یکی از حساس ترین فایل های کل دایرکتوری ما بشمار می آید. بهترین تنظیمات ( permission ) برای این فایل حالت 400 است؛ به طوری که کاربر و گروه ها تنها مجاز به خواندن بوده و سایرین حتی مجوز دسترسی به این فایل را نیز نخواهند داشت.

جمع بندی

در این مقاله چهار روش ایمن سازی فایل w-config را باهم بررسی کردیم، تا بتوانیم از این فایل حساس و داده های امنیتی درونش، در مقابل دسترسی های خارجی و هکرها، محافظت کنیم. 

امیدواریم این مقاله برایتان مفید واقع شده باشد. اگر سوالی دارید که در این مقاله پاسخش را پیدا نکردید، در قسمت کامنت ها سوال خود را مطرح کنید، کارشناسان ما در کمتر از چند دقیقه به سوالات پاسخ خواهند داد.

این مقاله را با دوستان خود به اشتراک بگذارید.

برچسب ها :
دسته بندی ها :