مردان وردپرس امنیت وردپرس امنیت وردپرس ، تمام تنظیماتی که باید درباره فایل wp-config بدانید ، قسمت ۱

امنیت وردپرس ، تمام تنظیماتی که باید درباره فایل wp-config بدانید ، قسمت ۱

http://wpmen.ir/

با سلام خدمت کاربران گرامی سایت مردان وردپرس.در قسمت گذشته امنیت وردپرس ، امنیت فایل wp-config را بررسی کردیم.در این چند قسمت  می خواهیم به بررسی این فایل و تنظیمات آن بپردازیم.

حتما پیش آمده که در سایت هایی که دارید به خاطر برخی از تنظیمات مجبور شده باشید با فایلی به نام  wp-config کار کنید.مخوصا برای پیکربندی دیتا بیس این فایل را باز می کنید.wp-config.php یکی از فایل های هسته وردپرس می باشد. این فایل شامل اطلاعاتی در مورد پایگاه داده مانند نام (معمولا localhost), نام کاربری و گذرواژه هاست می باشد. این اطلاعات به وردپرس اجازه ذخیره سازی و دریافت اطلاعاتی (مثل پست ها, کاربران, تنظیمات و …)  را داده و با پایگاه داده در ارتباط می باشد. از این فایل همچنین برای تعریف تنظیمات پیشرفته برای وردپرس نیز استفاده می شود.البته wp-config در وردپرس بیشتر برای پیکر بندی پایگاه داده شناخته می شود، اما کاربرد های دیگری نیز دارد.در زیر کلیه بخش فایل wp-config را مشاهده می کنید



اگر به قسمت اصلی سایتی که در آن هستید بروید(با استفاده از cpanel و یا ftp ) و یا اگر در کامپیوتر خودتان یک سایت وردپرسی در حال ساخت دارید می توانید در پوشه اصلی سایت (داخل public_html)و یا در داخل پوشه ای که برای سایت در کامپیوتر در نظر گرفته ایم ، بروید می توانید فایل wp-config.php را باز کنید که برای هر شخصی ممکن است متفاوت باشد.

امنیت وردپرس

حذف فایل  wp-config-sample.php

اولین بخشی که به آن می پردازیم wp-config-sample.php می باشد.این فایل هنگامی که وردپرس را دانلود کرده و برای تنظیمات استفاده می کنید وجود دارد ، اما هنگامی که یک بار تنظیمات سایت را انجام می دهید ، فایل wp-config.php به وجود می آید و دیگر wp-config-sample.php یک فایل غیر  ضروری می شود و به آن نیازی نیست.دقت داشته باشید فایل  wp-config-sample.php را قبل از پیکر بندی پاک نکنید.فایل wp-config-sample.php بسیار مورد هک سایت ها قرار می گیرد.البته در قسمت های دیگر به فایل هایی که باید حذف شوند می پردازیم. 

 


database settings

یکی از بخش های مهمی که در فایل wp-config قرار دارد, بخش وارد کردن اطلاعات پایگاه داده است که در زیر می بینید.

که تغییرات در wp-config.php می باشد و هر مدیر سایتی آن را تغییر می دهد و برای هرکس به گزینه های زیر متغیر می باشد.

  • نام پایگاه داده (Database Name)
  • نام کاربری دسترسی به پایگاه داده (Database Username)
  • رمز عبور نام کاربری فوق (Database Password)
  • میزبان پایگاه داده (Database Host)

که در مورد Database Host اکثرا "localhost" می باشد.

بخش بالا در وردپرس برای کاربران به صورت زیر ظاهر می شود.

wp-config

در این قسمت امنیت زیادی لازم نیست.اما حتما از رمز عبور و نام کاربری خوب استفاده کنید (در هاست).


Authentication Keys and Salts

کلید منحصر به فرد احراز هویت ، کلید امنیتی می باشد که به بهبود امنیت سایت وردپرس کمک می کند خود. این کلید ارائه رمزنگاری قوی برای sessions و cookies توسط وردپرس تولید می شود.در قسمت های بعدی درباره این موضوع بیشتر صحبت خواهیم کرد.در فایل زیر نمونه ای از این بخش را مشاهده می کنید.در وردپرس ۴ کلید امنیتی AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, NONCE_SALT وجود دارد.

که باید تغییرات را در ثسمت های put your unique phrase here قرار دهید.

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');

اگر به  سایت وردپرس خود مشکوک هستید که به خطر افتاده است می توانید این کلید ها را تغییر دهید.با تغییر کلید های امنیتی از سیستم خارج شده و  همه کاربران در حال حاضر وارد شده در سایت وردپرس را  مجبور به دوباره وارد شدن می نمایید.

برای تغییر این کلید های پیش فرض می توانیم وارد  سایت وردپرس و قسمت api گزینه secret-key یا (WordPress.org secret-key service) را بزنیم.دقت کنید با هر بار رفرش کردن صفحه، کلید های جدیدی را نمایش می دهد.بهتر است کلید های امنیتی را تغییر دهید.

این یکی از نکات امنیتی است که به طور مفصل بعدا راجع به آن توضیح خواهیم داد.

Security_v2



 

به طور پیش فرض وردپرس پیشوند _wp  را به تمام جداول ایجاد شده توسط وردپرس اضافه می کند . توصیه می شود که پیشوند  جدول پایگاه داده وردپرس را به چیزی تصادفی  تغییر دهید.فایل wp-config.php به کاربران اجازه اضافه کردن پیشوند برای پایگاه داده را به راحتی می دهد. برای هکرها به حدس زدن جداول وردپرس دشوار شده و سایت را از برخی حملات تزریق SQL در امان بدارد.این تغییرات را در ایتدا تنظیمات می توانید انجام دهید و یا از طریق فایل wp-config.php و یا از طریق دیتا بیس تغییر دهید  .کد زیر را در wp-config.php سایت خود  پیدا کرده و table_prefix  را به مقدار دلخواه تغییر دهید. 

این یکی از نکات امنیتی است که به طور مفصل بعدا راجع به آن توضیح خواهیم داد.

prefix


WordPress Debugging Mode

این تنظیم برای برنامه نویسان و توسعه دهندگان بیشتر کاربرد دارد.به طور پیش فرض تمام اعلان های وردپرس هنگام اجرا توسط کد PHP پنهان شده است.می توان تنظیم حالت اشکال زدایی را فعال کرده که اعلان ها  را نشان دهداین اطلاعات بسیار مهم به توسعه دهندگان برای پیدا کردن خطا ها (bug) کمک می کند.کد زیر را در wp-config.php پیدا کرده و مقدار false را به true تغییر دهید.

wpdebug



در قست امنیت وردپرس ، تمام تنظیماتی که باید درباره فایل wp-config بدانید ، قسمت ۲  به بررسی  توضیحات دیگر درباره wp-config.php می پردازیم.

تاریخ آخرین بروزرسانی : ۱۱ بهمن ۱۳۹۵
منبع :‌ مردان وردپرس
میلاد میلادی

باور هایت را که پرورش دهی به هرچیزی دست خواهی یافت.

Advertising MiSaCo.

نظرات خود را اینجا بنویسید

آدرس الکترونیکی شما نمایش داده نمی شود *

Time limit is exhausted. Please reload CAPTCHA.