نصب وردپرس در حقیقت بسیار آسان است و راهاندازی آن نیز زمان بسیار کمی میگیرد. بهرحال، همین راحتی هم ممکن است درهایی را برای ورود غیرمجاز سایرین باز نگاهدارد.
فایل wp-config-php اطلاعات پیکربندی کلیدی از وردپرس شما در خود نگاه میدارد و برای محافظت از چنین اطلاعات مهمی بایستی اقدامتی صورت داد.
چگونه wp-config.php را امن کنیم
wp-config.php شامل چه اطلاعاتی است
اگر فایل wp-config.php را باز کنیم و به محتوای آن نگاهی بیاندازیم، خواهیم دید که این فایل حاوی اطلاعات حساس زیادی در خصوص وردپرس ماست.
در ابتدا این فایل شامل اطلاعاتی در خصوص ارتباط اتصال به پایگاه داده به منظور اتصال به آن است.
// ** MySQL settings - You can get this info from your web host ** // /** The name of the database for WordPress */ define( 'DB_NAME', "blowpf" ); /** MySQL database username */ define( 'DB_USER', "root" ); /** MySQL database password */ define( 'DB_PASSWORD', "" ); /** MySQL hostname */ define( 'DB_HOST', "localhost" ); /** Database Charset to use in creating database tables. */ define( 'DB_CHARSET', 'utf8' );
این اطلاعات شامل نام پایگاهداده، نام کاربری متصل به آن پایگاه داده، کلمه عبور و عملا هرچیزی که برای اتصال و دسترسی به پایگاهداده می شود است. بنابراین میتوانید تصویر کنید که حفاظت از wp-config.php چقدر اهمیت دارد چرا که اگر شخصی بتواند محتوای این فایل را بخواند قادر به دریافت اطلاعات از پایگاه داده و انجام هرکاری خواهد بود که می خواهد و می تواند.
بعد از این اطلاعات یک سری کلیدهای مخفی می آید.
define('AUTH_KEY', ':^jD|JFMme/.$JmoE-<B.^^ T29pckDO$f9D(2wrK8B)?7|X*-#ZoIVpXM,i#^fc');
define('SECURE_AUTH_KEY', '`>%G7gZ3-h[i+/z|%(u1.n(+:TZ.|G]6Xzg)ioSVY*27D[+,*>MO@I;wT%Xozey6');
define('LOGGED_IN_KEY', 'osEs;[yi+K:J=))EXoER2ZH.ak1VUFlqOb4jG`9+_x44b)Ari{x&c!=h|+IZxBHm');
define('NONCE_KEY', '=RWW$kCwex@xJ^XG|#Nx`.K-Z/HSt3I~6Y>Z+L}dCYe+X%-P~O9;|yJl!pT`Foaf');
define('AUTH_SALT', '83j%ObLVrdj{R![g~<H=L?+U,|Zv)`Dk|xs3K2sl bw=Cc{95{pGnw4}!Bs%ET-v');
define('SECURE_AUTH_SALT', 'Ovs^!q`5:a$HIuBwCDcW6wH/Yh)K%58S`nObiz|t]A}(Hcjx /X{CI9~-s-6vb>r');
define('LOGGED_IN_SALT', 'o,3[j,UR9wJzg,wtlp(5-mgvAM3%UI|W>qYV7#O3BEypt(cxW8F)^|UU1Z8~Zg p');
define('NONCE_SALT', 'Z(4IA|d*-d:Yf)Nr:nRj~$W(AE&]p|oHg=epFJgkq3%<(?|9-WItAMo$+P+k_E-H');;
این کلیدها به صورتهای مختلف به ایمنسازی وبسایت شما کمک خواهند کرد. در حقیقت با تغییر این کلیدها کوکیهای فعلی را نامعتبر کرده و از این طریق کاربران لاگین کرده فعلی را مجبور به لاگین دوباره به وبسایت خود خواهید کرد.
از دیگر اطلاعات موجود در wp-config.php وجود عبارت پیشوند جدول است.
امنسازی wp-config.php
چند گام وجود دارد که با برداشتن آنها میتوانید این فایل مهم در وردپرس را ایمن کنید.
۱. تولید کلیدهای جدید مخفی
اولین مورد تولید مجموعه ای جدید از کلیدهای مخفی است. شما می توانید اینکار را با وبسایت تولیدکننده کلید مخفی که وردپرس ارایه می کند انجام دهید. تمام کاری که نیاز است این است که به این نشانی رفته و بر روی دکمه refresh مرورگر خود کلیک کنید تا سری کد مخفی جدید داشته باشید. حالا این کدها را کپی کرده و آنها را به جای کلیدهای قدیمی خود در فایل wp-config قرار دهید.
۲. جابجایی wp-config.php
کار بعدی که می توانید در جهت ایمن سازی wp-config.php انجام دهید جابجایی این فایل به جایی غیر از فضای ریشه وردپرس است. برای اینکار به فضای ریشه وردپرس خود بروید. در واقع وردپرس به شما اجازه میدهد که فایل wp-config.php خود را به یک سطح خارج از پوشه عمومی خود منتقل کنید.
برای اینکار به مدیر فایل میزبان خود رفته و فایل wp-config.php را انتخاب کنید و سپس بر روی ابزار جابجایی کلیک کنید و سپس پوشه مدنظر خود را انتخاب کنید تا جابجایی صورت گیرد.
اگر اینکار انجام نشد، با میزبان خود تماس گرفته و از آنها کمک بخواهید.
۳. مسدود کردن دسترسی به wp-config.php
حالا که اقدامات امنیتی را در خصوص فایل مهم خود در وردپرس انجام دادید می توانید دستوری به فایل htaccess خود در همان پوشه بیافزایید که دسترسی سایر افراد به wp-config.php را مسدود کند.
بنابراین در همان مسیری که فایل wp-config.php قرار دارد، در صورت عدم وجود htaccess چنین فایلی بسازید. تنها دقت داشته باشید که نام درست این فایل به این صورت است: htaccess.
این فایل را به منظور ویرایش باز کرده و خطوط زیر را به فایل خود بیافزایید.
<files wp-config.php> order allow,deny deny from all </files>
این کد دسترسی همه را از فایل wp-config لغو خواهد کرد.
دیدگاهتان را بنویسید