بالابردن امنیت وردپرس با فایل wp-config.php

اگر از وردپرس استفاده می کنید، قطعا می دانید که یکی از فایل های مهم در روت وردپرس wp-config.php است. حفظ امنیت سایت در مقابل هک مساله بسیار مهمی است. هر عاملی که تهدید کننده امنیت سایت شما باشد باعث نگرانی شما می شود. یکی از راه های افزایش امنیت سایت وردپرسی در مقابل هکرها استفاده از فایل wp-config.php است. در این مقاله راه کارهای بالا بردن امنیت این فایل ارائه می دهیم. یک روش این است که با بالابردن امنیت فایل wp-config.php از سایت خود محافظت کنید. روش دیگری که برای بالا بردن امنیت وردپرس وجود دارد تغییر در فایل wp-config است در این مقاله ابتدا روش های حفظ امنیت این فایل را توضیح می دهیم و سپس با ایجاد تغییر در آن به صورت مستقیم امنیت وردپرس مان را تضمین می کنیم.

فایل wp-config شامل چیست؟

این فایل شامل اطلاعاتی درباره نصب وردپرس شما مانند کلیدهای امنیتی و جزئیاتی برای اتصال به پایگاه داده است. بنابراین حفاظت این اطلاعات اهمیت زیادی دارد. امنیت فایل wp-config.php و حفظ این اطلاعات مهم به شما کمک می کند تا از نفوذ هکرها به سایت خود جلوگیری کنید.

نکته: پیشنهاد می کنم قبل از اینکه تمام این تغییرات را بدهید از فایل wp-config خود بک آپ بگیرید. (فایل را دانلود کنید و روی سیستم خود نگهداری کنید)؛ برای بک اپ گیری افزونه های زیادی وجود دارد که میتوانید به صورت دستی این کار را نجام بدهید؛ نمونه ای از این افزونه ها افزونه Duplicator است

بررسی فایل wp config یکی از روش‌های بالا بردن امنیت سایت وردپرس، است. برای آشنایی با سایر گام‌های ایمن‌سازی سایت، دوره افزایش امنیت وردپرس را ببینید تا از آلوده شدن سایت‌های خود جلوگیری کرده و سایت‌های آلوده را نجات دهید.

در این بخش روش هایی را توضیح می دهیم که با اجرای آنها می توانید فایل wp-config.php را ایمن کنید. این تغییرات مربوط به خود فایل است اما به صورت غیر مستقیم باعث بالابردن امنیت وردپرس شما می شود.

✔️ انتقال فایل wp-config به مکان دیگر

این فایل به طور پیش فرض در پوشه ریشه سایت شما قرار دارد. در واقع در هر زیر شاخه ای که شما سایت تان را ایجاد یا قالب را نصب می کنید این پوشه همانجا قرار دارد. برای لوکال می توانید با یک کپی پیست ساده این کار را انجام دهید. ولی در هاست واقعی مطابق تصویر زیر روی فایل wp-config.php کلیک کرده و گزینه move را بزنید و سپس به آن مسیر بدهید. فایل wp-config.php در محل نصب وردپرس قرار دارد. برای مثال اگر در روت نصب کنید در public-html قرار دارد. در صورتی که مشکلی برای انتقال وجود داشت با هاستینگ خود در ارتباط باشید.

✔️ بالابردن امنیت فایل wp-config.php از طریق فایل htaccess

در cpanel وارد روت اصلی (public-html یا محل نصب وردپرس) شوید و ویرایش فایل htaccess را بزنید کد زیر را به انتهای فایل htaccess اضافه کنید. این کدها مانع از هک داخلی و تغییر کدها می شوند و فایل wp-config.php را ایمن می کنند. بعد از آن تغییرات فایل را ذخیره کنید. دقت کنید که کد در جای مناسبی قرار داده شود.

✔️ تغییر فایل wp-config.php

یک فایل wp-config جدید ایجاد کنید و این فایل کانفیگ جدید را در مسیری که www به آن دسترسی ندارد قرار دهید. در واقع نباید در روت اصلی یعنی public-html باشد تا از دید همه افراد مخفی باشد. این فایل معمولا بهتر است در یک پوشه قبل از پوشه وردپرس تان و در روت اصلی باشد. مثلا اگر فایل اصلی شما در مسیر /home/youruser/public_html است، فایل جدید را در /home/youruser/ ایجاد کنید.

فایل wp-config اصلی را باز کنید، با ویرایش فایل اصلی شما می توانید داده های حساس این فایل را در جایی امن ذخیره کنید. در واقع خطوطی که شامل جزئیات اتصال پایگاه داده هستند را از این فایل حذف کنید و به فایل config.php جدید منتقل کنید (توجه کنید این اطلاعات در فایل جدید باید با php?> شروع و با <؟ خاتمه پیدا کنند). بعد از اینکه تمام داده های حساس را از فایل اصلی حذف کردید خطوط زیر را به فایل جدید اضافه کنید. در واقع با این کار شما تمام اطلاعات مهم خود را به جایی غیر از فایل wp-config.php اصلی منتقل کرده اید.

نکته: در این کد باید مسیر هاست خود را قرار دهید اگر این مسیر را نمی دانید باید با هاستینگ در ارتباط باشید. 

✔️ تنظیم مجوزهای مناسب فایل wp-config.php

همانطور که می دانید این قابلیت وجود دارد که از طریق cpanel برای فایل های خود مجوز دسترسی افراد تعریف کنید. برای اینکه از تغییر فایل حساس wp-config.php جلوگیری کنید باید به آن مجوز مناسبی بدهید. مجوز مناسب برای این فایل 400 است به این معنی که کاربر و گروه کاربران تنها اجازه خواندن دارند و نمی توانند تغییری در فایل ایجاد کنند. وارد فایل منیجر شوید و فایل مورد نظر را انتخاب کنید. مانند تصویر گزینه permission را بزنید و در پنجره ای که باز می شود مجوز فایل را تغییر دهید.

✔️ تغییر و ایجاد کلیدهای امنیتی

یکی دیگر از روشها برای بالابردن امنیت فایل wp-config.php، کلیدهای امنیتی (SALT) است که در زمان نصب وردپرس به طور خودکار ایجاد می شوند. این کلیدها امنیت سایت شما را تامین می کنند. کلیدهای امنیتی اطلاعات ذخیره شده در کوکی ها را رمزگذاری می کنند. بهتر است هر چند وقت یک بار آنها را تغییر دهید. به خصوص زمانی که سایت شما هک شده است، این کار هر session بازی که کاربران داشته باشند را می بندد و باعث می شود هکرها از سیستم شما خارج شوند. با لینک می توانید هر بار کلیدهای جدید امنیتی دریافت کنید و خروجی را جایگزین کلیدهای قبلی کنید. در ادامه نمونه کلیدهای امنیتی که می توانید در فایل wp-config.php جایگزین کنید را مشاهده می کنید.

  define('AUTH_KEY',         'GHOT8@;<OI*ecW8C32i% Pg69O1@KfL?|QT>>b$@ho_k|EqM`uPBXXuCWHe5(CH1');
  define('SECURE_AUTH_KEY',  'OqQZ[1-ee*9}w-qo?mR1AGk<+LgDH,7LdQ>tF9J+#pKVW1y!}H<<u7@q3JWV(#1<');
  define('LOGGED_IN_KEY',    '-_%#o7.C#07kaC0hm}?b&Fr*jz.@1@B!BDd`48x Knb=3r3l+&Z]mtR6GYVI}bR?');
  define('NONCE_KEY',        'uM8,brky(+_HucH-GC^D>~_xYdqWx7doQwPq?x@Aik4$@TmX;he:bSnkKK|.o=GG');
  define('AUTH_SALT',        'kGE+  {96EnZRK-G{sZJI_+<_vv4D^.(9;@+~PafC-1TdWa>y+]to0xL_{-B(WWy');
  define('SECURE_AUTH_SALT', 'reAh<]TQ:9H Q+[Hm*^E)e]H4Be88#975yg;Sw<uRNFdwMwTCA&m_Qu$oPG]9-[6');
  define('LOGGED_IN_SALT',   'NXIKUqA4qLKE@oP+*)bdOD&NSTA6jLR+~ZL|F[YDhDv41/sO/Db8eVGbR/txcff%');
  define('NONCE_SALT',       'Z!W_D=uh*D>dJW7!@&mWEuT>k~O&/bB,_|||c8v-?CIFF~go/YRH<-RQfX`+l`V~');

بالابردن امنیت وردپرس با wp-config.php

همانطور که گفتیم با فایل wp-config.php نیز می توانید امنیت سایت وردپرسی تان را افزایش دهید. در این بخش روش هایی را توضیح می دهیم که با ویرایش این فایل و اضافه کردن کد به آن از سایت خود محافظت کنید.

✔️ اجبار به استفاده از FTPS برای انتقال فایل

اگر هاست یا وردپرس شما از FTPS پشتیبانی می کند در صورت استفاده از FTPS هنگام انتقال اطلاعات، ارتباط بین سرور و کاربر رمزگذاری می شود. این مساله باعث می شود هکر نتواند اطلاعات و فایل های شما را ردیابی کند و آنها را سرقت کند. می توانید کد زیر را برای اجبار انتقال اطلاعات از طریق FTP به فایل WP-config خود اضافه کنید.

✔️ تغییر پیشوند پایگاه داده

یکی دیگر از راه های افزایش امنیت وردپرس با wp-config.php تغییر پیشوند پایگاه داده در این فایل است. همانطور که می دانید جداول پایگاه داده شما به صورت پیش فرض با پیشوند _wp تنظیم شده اند. یکی از روش های حفاظت از سایت وردپرسی حفظ امنیت پایگاه داده است. شما هر چه موانع بیشتری برای هکرها ایجاد کنید. این مساله باعث می شود که هکر برای نفوذ به سایت شما شانس کمتری داشته باشد. کد زیر را در فایل wp-config خود جست و جو کنید.

بعد از اینکه کد را پیدا کردید به جای wp می توانید هر پیشنودی را قرار دهید و تغییرات را ذخیذ کنید. با زدن آدرس سایت شما بالا نمی آید. برای اینکه تغییرات کامل شوند باید از داخل phpmyadmin هم پیشوند ها را تغییر دهید. در مقاله راه های افزایش امنیت پایگاه داده وردپرس، آموزش تغییر پیشوند پایگاه داده با افزونه را ببینید.

✔️ محدود کردن امکان ویرایش تم و پلاگین ها

غیرفعال کردن امکان ویرایش تم و افزونه ها یکی از راه های بالابردن امنیت وردپرس است. شما از طریق پیشخوان وردپرس می توانید به صورت مستقیم افزونه ها و تم ها را ویرایش کنید. یک هکر می تواند با دسترسی به بک اند شما به ویرایشگر افزونه و قالب دسترسی پیدا کند، در افزونه ها و فایلهای شما تغییر ایجاد می کند یا بدافزار و ویروس اضافه می کند. با غیر فعال کردن امکان ویرایش هیچ شخصی از کاربران شما گرفته تا یک نفوذگر امکان تغییر از طریق ویرایشگر را نخواهد داشت.  ابتدا در فایل wp-config.php به دنبال عبارت زیر باشید.

سپس در بالای این عبارت کد زیر را اضافه کنید.

از مسیر زیر می توانید به ویرایشگر پوسته دسترسی داشته باشید.

✔️ فعال کردن خطایابی وردپرس با با فایل wp-config

شما می توانید به صورت دوره ای با استفاده کد زیر امکان نمایش خطا در سایت خود را فعال کنید. خطاها به شما می گویند که مشکل غیرعادی در سایت شما وجود دارد یا خیر. در فایل wp-config.php در کد زیر المان دوم را به جای false مقدار true بگذارید. این کار یکی از راه های بالابردن امنیت وردپرس با wp-config.php است.