افزایش امنیت wp-config وردپرس

نصب وردپرس در حقیقت بسیار آسان است و راه‌اندازی آن نیز زمان بسیار کمی می‌گیرد. بهرحال، همین راحتی هم ممکن است درهایی را برای ورود غیرمجاز سایرین باز نگاه‌دارد.

فایل wp-config-php اطلاعات پیکربندی کلیدی از  وردپرس شما در خود نگاه می‌دارد و برای محافظت از چنین اطلاعات مهمی بایستی اقدامتی صورت داد.

چگونه wp-config.php را امن کنیم

wp-config.php شامل چه اطلاعاتی است

اگر فایل wp-config.php را باز کنیم و به محتوای آن نگاهی بیاندازیم، خواهیم دید که این فایل حاوی اطلاعات حساس زیادی در خصوص وردپرس ماست.

در ابتدا این فایل شامل اطلاعاتی در خصوص ارتباط اتصال به پایگاه داده به منظور اتصال به آن است.

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define( 'DB_NAME', "blowpf" );

/** MySQL database username */
define( 'DB_USER', "root" );

/** MySQL database password */
define( 'DB_PASSWORD', "" );

/** MySQL hostname */
define( 'DB_HOST', "localhost" );

/** Database Charset to use in creating database tables. */
define( 'DB_CHARSET', 'utf8' );

این اطلاعات شامل نام پایگاه‌داده، نام کاربری متصل به آن پایگاه داده، کلمه عبور و عملا هرچیزی که برای اتصال و دسترسی به پایگاه‌داده می شود است. بنابراین می‌توانید تصویر کنید که حفاظت از wp-config.php چقدر اهمیت دارد چرا که اگر شخصی بتواند محتوای این فایل را بخواند قادر به دریافت اطلاعات از پایگاه داده و انجام هرکاری خواهد بود که می خواهد و می تواند.

بعد از این اطلاعات یک سری کلیدهای مخفی می آید.

define('AUTH_KEY', ':^jD|JFMme/.$JmoE-<B.^^ T29pckDO$f9D(2wrK8B)?7|X*-#ZoIVpXM,i#^fc');
define('SECURE_AUTH_KEY', '`>%G7gZ3-h[i+/z|%(u1.n(+:TZ.|G]6Xzg)ioSVY*27D[+,*>MO@I;wT%Xozey6');
define('LOGGED_IN_KEY', 'osEs;[yi+K:J=))EXoER2ZH.ak1VUFlqOb4jG`9+_x44b)Ari{x&c!=h|+IZxBHm');
define('NONCE_KEY', '=RWW$kCwex@xJ^XG|#Nx`.K-Z/HSt3I~6Y>Z+L}dCYe+X%-P~O9;|yJl!pT`Foaf');
define('AUTH_SALT', '83j%ObLVrdj{R![g~<H=L?+U,|Zv)`Dk|xs3K2sl bw=Cc{95{pGnw4}!Bs%ET-v');
define('SECURE_AUTH_SALT', 'Ovs^!q`5:a$HIuBwCDcW6wH/Yh)K%58S`nObiz|t]A}(Hcjx /X{CI9~-s-6vb>r');
define('LOGGED_IN_SALT', 'o,3[j,UR9wJzg,wtlp(5-mgvAM3%UI|W>qYV7#O3BEypt(cxW8F)^|UU1Z8~Zg p');
define('NONCE_SALT', 'Z(4IA|d*-d:Yf)Nr:nRj~$W(AE&]p|oHg=epFJgkq3%<(?|9-WItAMo$+P+k_E-H');;

این کلیدها به صورت‌های مختلف به ایمن‌سازی وبسایت شما کمک خواهند کرد. در حقیقت با تغییر این کلیدها کوکی‌های فعلی را نامعتبر کرده و از این طریق کاربران لاگین کرده فعلی را مجبور به لاگین دوباره به وبسایت خود خواهید کرد.

از دیگر اطلاعات موجود در wp-config.php وجود عبارت پیشوند جدول است.

امن‌سازی wp-config.php

چند گام وجود دارد که با برداشتن آنها می‌توانید این فایل مهم در وردپرس را ایمن کنید.

۱. تولید کلیدهای جدید مخفی

اولین مورد تولید مجموعه ای جدید از کلیدهای مخفی است. شما می توانید اینکار را با وبسایت تولیدکننده کلید مخفی که وردپرس ارایه می کند انجام دهید. تمام کاری که نیاز است این است که به این نشانی رفته و بر روی دکمه refresh مرورگر خود کلیک کنید تا سری کد مخفی جدید داشته باشید. حالا این کدها را کپی کرده و آنها را به جای کلیدهای قدیمی خود در فایل wp-config قرار دهید.

۲. جابجایی wp-config.php

کار بعدی که می توانید در جهت ایمن سازی wp-config.php انجام دهید جابجایی این فایل به جایی غیر از فضای ریشه وردپرس است. برای اینکار به فضای ریشه وردپرس خود بروید. در واقع وردپرس به شما اجازه می‌دهد که فایل wp-config.php خود را به یک سطح خارج از پوشه عمومی خود منتقل کنید.

برای اینکار به مدیر فایل میزبان خود رفته و فایل wp-config.php را انتخاب کنید و سپس بر روی ابزار جابجایی کلیک کنید و سپس پوشه مدنظر خود را انتخاب کنید تا جابجایی صورت گیرد.

اگر اینکار انجام نشد، با میزبان خود تماس گرفته و از آنها کمک بخواهید.

۳. مسدود کردن دسترسی به wp-config.php

حالا که اقدامات امنیتی را در خصوص فایل مهم خود در وردپرس انجام دادید می توانید دستوری به فایل htaccess خود در همان پوشه بیافزایید که دسترسی سایر افراد به wp-config.php را مسدود کند.

بنابراین در همان مسیری که فایل wp-config.php قرار دارد، در صورت عدم وجود htaccess چنین فایلی بسازید. تنها دقت داشته باشید که نام درست این فایل به این صورت است:‌ htaccess.

این فایل را به منظور ویرایش باز کرده و خطوط زیر را به فایل خود بیافزایید.

<files wp-config.php>
order allow,deny deny from all
</files>

این کد دسترسی همه را از فایل wp-config لغو خواهد کرد.