wp-config.php یکی از فایل های قدرتمند هسته وردپرس می باشد که برای اجرای وب سایت شما حیاتی است. فایل مذکور شامل تنظیمات مهم پیکربندی وردپرس، از جمله جزئیات اتصال به دیتابیس، اعتبارسنجی اطلاعات ورود، نام و میزبان هاست می باشد. همچنین این فایل پیکربندی، جهت تعریف امکانات پیشرفته تر برای المان های دیتابیس، کلیدهای امنیتی و برنامه نویسی استفاده می شود. در این مقاله، برخی از موارد مهم برای محافظت از اطلاعات فایل wp-config.php و نحوه بروزرسانی آن بدون افشای اطلاعات، ذکر شده است.
نکاتی برای محافظت از اطلاعات فایل wp-config.php
با اجرای ترفند هایی که در ادامه شرح داده می شوند، می توانید فایل wp-config.php را قوی تر کرده و امنیت سایت وردپرسی خود را بهبود دهید.
محدود کردن دسترسی به فایل wp-config
کاربران جدید وردپرس در مرحله اول با محدود کردن دسترسی به wp-config شروع به افزایش امنیت سایت خود می کنند. با انتقال فایل wp-config.php به یک پوشه بالاتر و به دایرکتوری روت هاست، که از طریق آدرس دامنه در دسترس نمی باشد، می توانید امنیت آن را حفظ نمایید. اگر فایل مذکور در پوشه اصلی سایت شما وجود نداشته باشد، وردپرس به صورت خودکار آن را در پوشه های بالاتر از مسیر نصب، جستجو می کند.
همچنین می توانید با اضافه کردن قطعه کد زیر به ابتدای فایل htaccess.، از فراخوانی wp-config توسط اشخاص دیگر، جلوگیری نمایید.
<files wp-config.php>
order allow,deny
deny from all
</files>
بروزرسانی خودکار وردپرس را فعال نمایید
فعال کردن بروزرسانی خودکار وردپرس، تضمین می کند که همواره سایت وردپرسی شما دارای آخرین آپدیت های امنیتی می باشد. برای انجام این کار، کافی است قطعه کد زیر را به wp-config سایت خود اضافه نمایید.
define( ‘WP_AUTO_UPDATE_CORE’, true );
قبل از اینکه بروزرسانی خودکار وردپرس را فعال نمایید، حتما از طریق آموزش «معرفی 7 پلاگین کاربردی بکاپ گیری در وردپرس» اقدام به تنظیم بکاپ گیری خودکار در سایت خود کنید تا چنانچه بروزرسانی وردپرس باعث ایجاد مشکل در سایت شود، بتوانید به راحتی وب سایت خود را بازیابی نمایید.
تنظیم کلید های امنیتی
فایل wp-config شامل بخشی است که از طریق کلید های امنیتی، بین مرورگر و وب سرور یک اعتبارسنجی اختصاصی انجام می دهد تا امنیت رمز های عبور و کوکی ها را در زمان انتقال اطلاعات، بهبود دهد. این کلید ها اطلاعات ذخیره شده در کوکی ها را رمزنگاری نموده و امنیت سایت را تامین می کنند.
می توانید کلید های موردنظر را با تغییر یا ویرایش خطوطی که در تصویر زیر مشخص شده است، تنظیم کنید.
.jpg)
تصویر(1)
تغییر این کلید های امنیتی در بازه های زمانی کوتاه مدت، تمامی کاربران فعالی که در سایت حضور دارند را مجبور به خروج از سایت کرده و باید مجددا وارد پیشخوان شوند. این تغییر، زمانی اهمیت پیدا می کند که سایت شما هک شده باشد. با تغییر کلید های امنیتی وردپرس، دسترسی هکر ها با کلید های امنیتی قبلی منقضی شده و باعث خروج هکر ها از پیشخوان وردپرس می شود. برای ایجاد کلیدهای امنیتی جدید، به راحتی می توانید با هر بار کلیک روی لینک زیر، اقدام به ایجاد آن نموده و خروجی دریافت شده را جایگزین کلید های قبلی نمایید.
https://api.wordpress.org/secret-key/1.1/salt/
تنظیم سطح دسترسی فایل wp-config
از آنجایی که فایل مذکور حاوی اطلاعات فوق العاده حساسی است، باید مطمئن شوید که سطح دسترسی های مناسب برای جلوگیری از ایجاد تغییرات غیر مجاز، تنظیم شده باشند. تغییر سطح دسترسی به 600 کافی خواهد بود. می توانید سطح دسترسی را روی 400 نیز تنظیم نمایید که در این حالت چنانچه بخش مدیریت سایت، در مواردی دسترسی به فایل wp-config را نیاز داشته باشد یا با مشکل مواجه گردد، باید سطح دسترسی را افزایش دهید. برای اعمال این تغییرات جهت محافظت از اطلاعات فایل wp-config.php، با توجه به نوع کنترل پنل هاست خود می توانید از طریق آموزش های زیر اقدام کنید:
آموزش تغییر سطح دسترسی فایل یا پوشه در سی پنل
آموزش تغییر سطح دسترسی فایل یا پوشه در دایرکت ادمین
بهترین روش این است که همواره سطح دسترسی را کمترین مقدار مجاز آن تنظیم نمایید و صرفا در صورت لزوم، آن را افزایش دهید. هرگز نباید سطوح دسترسی را روی 777 تنظیم کنید مگر اینکه در این زمینه متخصص باشید و دلیل مهمی برای انجام آن وجود داشته باشد.
غیر فعال کردن نصب افزونه و پوسته وردپرس
می توانید از wp-config برای تعریف اطلاعات ضروری افزونه ها و پوسته های وردپرس استفاده کنید. به عنوان مثال، مدیران وب سایت وردپرسی می توانند با افزودن قطعه کد های زیر، ویرایش فایل ها، نصب پوسته ها و افزونه ها را در وردپرس، غیرفعال کنند.
define( 'DISALLOW_FILE_EDIT', true ); //disables file editor
define( 'DISALLOW_FILE_MODS', true ); //disables both file editor and installer
توجه نمایید، با این کار نصب افزونه و پوسته غیر فعال شده و از بروزرسانی آنها نیز جلوگیری می شود. در این وضعیت، برای نصب یا بروزرسانی پوسته و افزونه های سایت، باید از طریق مدیریت فایل هاست یا FTP اقدام کنید.
از آنجایی که هکرها اغلب از نصب افزونه یا پوسته برای ایجاد backdoors (روشی که با استفاده از آن بتوان بدون اجازه، به قسمت های مشخصی از یک سیستم دسترسی پیدا کرد) استفاده می کنند، این ترفند ساده می تواند ایجاد افزونه های جعلی و دسترسی های غیر مجاز را برای هکرها دشوارتر کند.
اینها فقط چند نمونه از مواردی هستند که نشان می دهد فایل wp-config چقدر می تواند در بهبود امنیت سایت شما تاثیرگذار باشد. آنچه برای مدیران سایت ها ضرورت دارد این است که بدانند چگونه فایل خود را به طور صحیح ویرایش کرده و تغییر نام دهند، در غیر این صورت می تواند باعث خرابی وب سایت یا به خطر افتادن اطلاعات حساس شود.
.png)
تصویر(2)
روش صحیح تغییر نام فایل wp-config، با حفظ امنیت اطلاعات حساس
هنگام عیب یابی یک مشکل، ممکن است لازم باشد تا موقتا نام فایل wp-config.php را تغییر دهید. برای مثال، پس از بروزرسانی تنظیمات یا اطلاعات ورود به دیتابیس، امکان دارد بخواهید تغییرات را در فایل جدید تست نمایید، بنابراین می توانید نام فایل موجود را تغییر دهید تا امکان ذخیره تنظیمات را داشته باشید.
شاید برخی از مدیران، این مورد را ندانند که تغییر نام فایل با افزودن متن به انتهای پسوند، می تواند کدها و اطلاعات فایل را در معرض افشا قرار دهد. برای اینکه یک فایل php به درستی اجرا شود نیاز به پسوند php. دارد. افزودن متن به پسوند فایل های موجود (مانند wp-config.php) از خوانده شدن و اجرای کدهای آن توسط مفسر، جلوگیری می کند. هنگامی که متن به انتهای پسوند فایل php افزوده می شود، در بیشتر موارد از طریق مفسر php اجرا نمی گردد و به هکرها اجازه می دهد تا تمامی اطلاعات حساس داخل فایلی که تغییر نام داده شده است را با ارسال یک درخواست، مشاهده کنند.
به عنوان مثال:
- هنگامی که در حال انجام برخی از تست ها روی فایل پیکربندی وردپرس خود هستید، نام فایل wp-config.php را به wp-config.php.good تغییر می دهید.
- محتویات wp-config.php را در فایل جدید که به راحتی در دسترس است کپی کرده اید.
- یک هکر، از ابزارهای خودکار جهت جستجو در وب سایت ها استفاده کرده و برای یافتن تغییرات رایج نام فایل، درخواست ارسال می کند.
- هکر، اطلاعات ورود به دیتابیس MySQL را شناسایی نموده و از طریق روش های غیر مجاز، به آن دسترسی پیدا می کند.
متاسفانه واقعیت این است که بسیاری از هکرها، به راحتی از ابزارهای خودکاری مانند AnonymousFox، برای اسکن و شناسایی قربانیان استفاده می کنند. از آنجایی که هکرها دقیقا نمی دانند که فایل wp-config.php را چگونه تغییر نام داده اید، لیستی از تغییر نام های رایج فایل wp-config را جستجو می کنند.
برای مثال در لیست زیر، برخی از تغییر نام های متداول فایل مذکور که هکرها جستجو می کنند، آمده است:
/wp-config.bak
/wp-config.good
/wp-config.php_
/wp-config.php~
/wp-config.php.0
/wp-config.php.1
/wp-config.php_1
/wp-config.php.2
/wp-config.php.3
/wp-config.php.4
/wp-config.php.5
/wp-config.php.6
/wp-config.php.7
/wp-config.php.8
/wp-config.php.9
/wp-config.php.a
/wp-config.php.b
/wp-config.php.backup
/wp-config.php-bak
/wp-config.php.bak
/wp-config.php_bak
/wp-config.php.bak1
/wp-config.php.bk
/wp-config.php.cust
/wp-config.php.disabled
/wp-config.php.new
/wp-config.php_new
/wp-config.php.old
/wp-config.php_Old
/wp-config.php.orig
/wp-config.php_orig
/wp-config.php-original
/wp-config.php.original
/wp-config.php_original
/wp-config.phporiginal
/wp-config.php.save
/wp-config.php.swn
/wp-config.php.swo
/wp-config.php.swp
با آگاهی از این تکنیک و اجرای بهترین راهکارها، می توانید از دسترسی هکرها به اطلاعات حساس فایل wp-config جلوگیری نمایید.
.png)
تصویر(3)
راه های مقابله
ساده ترین روش برای محافظت از اطلاعات فایل wp-config.php، تغییر نام فایل wp-config.php با اضافه کردن متن به ابتدای آن است. برای مثال، در فایل wp-config.php به جای تغییر نام به wp-config.php.good، آن را به good-wp-config.php ویرایش نمایید. این نکته برای وبمسترها و پشتیبان های هاست نیز صدق می کند. همچنین افزونه های امنیتی می توانند در جلوگیری از ارسال هرگونه درخواست به فایل wp-config.php یا انواع تغییر نام یافته آن، کمک کنند.
جهت این مورد، می توانید مقاله «معرفی بهترین افزونه های امنیتی وردپرس» را نیز مطالعه نمایید.