محافظت از فایل wp-config وردپرس

کمتر کسی است که با فایل wp-config.php وردپرس آشنایی نداشته باشد چراکه تمام کاربران برای نصب هسته وردپرس نیاز به ویرایش این فایل که در ریشه پرونده‌های وردپرس قرار گرفته است دارند.

فایل wp-config.php وردپرس مهم‌ترین فایلی است که در سیستم مدیریت محتوای وردپرس از آن باید محافظت کرد چرا که این فایل امنیتی وردپرس شامل نام پایگاه داده، نام کاربری پایگاه داده و رمز پایگاه داده‌ای است که شما برای نصب و راه‌اندازی وردپرس خود این اطلاعات را در این فایل وارد کرده‌اید.

فایل پیکربندی وردپرس بصورت پیش‌فرض در دسترس دیگران است بصورتی که وقتی آدرس این فایل را همانند آدرس:

http://yoursite.ir/wp-config.php

در مرورگر وارد کنیم، برگه بدون بروز خطایی به نمایش در می‌آید، شما یک برگه ی‌سفید را تماشا می‌کنید که به نظر بی خطر می‌آید و نمی‌تواند برای شما دردسر ساز باشد اما تنها کافیست برای چندین دقیقه سرور به اشتراک گذاشته شما از طریقی هک شود، هک شدن سرور می‌تواند یک احتمال باشد اما برای محافظت هرچه بیشتر از این فایل حساس وردپرس در این نوشته از وبلاگ ماندگار وب با آموزشی همراه خواهید بود که به سادگی می‌توانید از این فایل محافظت و امنیت سایت وردپرسی خود را بالا ببرید.

برای بالا بردن سطح امنیت فایل wp-config.php وردپرس دو راه ساده وجود دارد که در هر دو روش شما نیاز به دسترسی کامل به سطح سرور و غیرفعال کردن تمامی افزونه‌های ذخیره سازی و کش دارید.

روش اول : انتقال فایل wp-config وردپرس به ریشه دایرکتوری سرور:

این روش ساده‌ترین روش است که شما باید فایل wp-config.php را از محلی که وردپرس را در آن نصب کرده‌اید به ریشه‌ی دایرکتوری هاست وردپرس، همانند تصویر زیر منتقل کنید.

محافظت از فایل wp-config.php وردپرس

روش دوم : بالا بردن امنیت فایل wp-config.php در htaccess:

این روش کمی دشوارتر از روش پیشین برای کابران مبتدی است چرا که شما باید بدانید کد مربوطه را در کدام قسمت از این فایل قرار دهید که در صورت جای‌گذاری اشتباه کد، ممکن است سایت شما از دسترس خارج شود، برای این روش نیز تنها کافیست کد زیر را در فایل اچ‌تی‌اکسز (htaccess) ریشه‌ی هاست خود قرار دهید:

<files wp-config.php>
order allow,deny
deny from all
</files>

زمانی که تغییرات لازم را برای بالابردن سطح امنیت فایل پیکربندی وردپرس انجام دادید می‌توانید برای تست مجدد آدرس این فایل را در مرورگر خود اجرا کنید که شما به جای یک برگه‌ی سفید تنها با خطای دسترسی مواجه خواهید شد.

امیدوارم این آموزش ایمن سازی وردپرس مورد توجه شما دوستان قرار گرفته باشد و در نوشته‌های بعدی از موضوع امنیت وردپرس در وبلاگ ماندگار وب راهکارها و آموزش‌های بیشتری را برای بالابردن سطح امنیت وردپرس در اختیار شما دوستان قرار خواهیم داد.


کانال تلگرام ماندگار وب

  1. علیرضا شیبانی

    سلام، کد های بالا را به هر ترتیبی که در فایل .htaccess قرار دادم؛ بازهم اثری ندیدم، ضمنا من هیچ یک از سایت های خودم را در public_html نمی گذارم.

    متن درون فایل اچ تی اکسس من :
    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    # END WordPress

    کد زیر را کجای فایل قرار دهم تابه جای یک برگه سفید با خطای دسترسی روبرو باشم؟

    order allow,deny
    deny from all

    1. امیر خلجی مهر

      سلام من خودم تو سایت استفاده کردم و مشکلی هم دیده نشده هم انتقال فایل کانفیگ و هم فایل اچ تی اکسز
      کدها رو من تو آخرین خط گذاشتم اگه حل نشد تو انجمن مطرح کن علیرضا جان

      1. آرش

        سلام، ببخشید یعنی باید کدها را پیش از # END WordPress قرار داد یا بعد از اون؟

        1. عبدالماجد شه بخش

          فرق چندانی نداره ولی بعد از اون بزارید بهتره.
          موفق باشید.

      2. maikel

        آقا دمت گرم واقعا لذت بردم
        عالی بود

        1. امیر خلجی مهر

          خوشحالیم دوست عزیز که مفید واقع شده

  2. علیرضا شیبانی

    همانطور که گفتید سایت از دسترسی خارج نشد، اما برگه ها و نوشته ها از دسترس خارج شد.

  3. سعید شعبانی

    عالی بود برای من بدون هیچ مشکلی کار کرد

    1. امیر خلجی مهر

      درسته سعید جان مشکل خاصی نداره اما بعضی از دوستان همیشه عادت دارن یه یه شکل دیگه عمل کنن 🙂

  4. امیرحسین

    سلام ببخشید میشه بگید که فایل htaccess کجا هست پیداش نمیکنم

    1. امیر خلجی مهر

      امیر حسین جان برای نمایش فایل اچ تی اکسز روی فایل منیجرت کلیک راست کن و اون رو تو تب جدیدی از مرورگرت باز کن
      موفق باشی

      1. امیرحسین

        میدون که باید منیجر رو بازکنم
        ولی فایل htaccess رو تو اونجا پیدا نمی کنم

        1. امیر خلجی مهر

          خب منم برای همین گفتم نباید رو فایل منیجر کلیک کنی بلکه باید با کلیک راست اونو تو یه تب جدید باز کنی
          موفق باشی

          1. امیرحسین

            ببین صفحه من اینجوزی

            # BEGIN WordPress

            RewriteEngine On
            RewriteBase /
            RewriteRule ^index\.php$ – [L]
            RewriteCond %{REQUEST_FILENAME} !-f
            RewriteCond %{REQUEST_FILENAME} !-d
            RewriteRule . /index.php [L]

            order allow,deny
            deny from all

            # END WordPress

            ولی تغییری نکرد

  5. امیرحسین

    باید فایل htaccess
    رو هم مثل اون انتغال بدم یا نه

    1. امیر خلجی مهر

      گفتم دو تا روش فقط یکیشون رو دنبال کنی کفایت میکنه
      انتقال اون فایل باعث میشه سایتت هم از دسترس خارج بشه با فایل اچ تی اکسز اصن شوخی نکن
      همون فایل کانفیگ رو منتقل کنی کافیه
      موفق باشی

  6. امیرحسین

    شما ایمیل خودتون رو بده تو یاهو

    1. امیر خلجی مهر

      معذرت میخوام امیر حسین جان نوشته کاملا” ساده و روان هست
      اگه مشکلی پابرجاست لطف کنید تو انجمن مطرح کنید .

    2. maikel

      دوست عزیز وقتی وارد cpanel میشی باید روی file manager کلیک راست کنی بعد open in new tab رو بزن اگه دوبار کلیک کنی فایل htaccess رو نمیبینی!
      مطمئن باش کلیک راست نکردی! 😀

  7. balyan

    کد رو گذاشتم.از صفحه خالی خارج شدم و رفتم روی 403
    من میخوامن روی 404 باشه 🙁

    1. امیر خلجی مهر

      🙂
      نمیشه تعیین کرد خطای درست هم همینه میتونید فایل خود ما رو هم تست کنید
      موفق باشید

    2. جواد

      سلام، این امکان وجود داره… که بجای خطای 403 ؟ 404 بنمایش دربیاد کافیه در فایل .htaccess ریشه ی سرور خود این کد رو اضاف کنید 🙂

      ErrorDocument 403 /404.php

      نکته : حتما فایلی با نام 404.php در public_html موجود باشد تا درصورت اینکه کاربر با خطای 403 مواجه شده به صفحه 404.php انتقال پیدا کند… در صورت موجود نبودن فایل 404.php در سایت شما! کافیست ان را ساخته و محتویاتش را کدهای زیر قرار دهید 🙂

      Error 404: Not Found

      Error 404: Not Found

      1. جواد

        404.php
        [html]

        Error 404: Not Found

        Error 404: Not Found



        [/html]

        1. امیر خلجی مهر

          جواد جان اینجا اکثراً به سوال هایی که ارتباط مستقیم با نوشته ندارند پاسخ داده نمیشه یا اینکه کاربر به انجمن ارجاع داده میشه
          بعضیا کلاً دنبال لقمه ی آماده هستند و حتی با دادن لینک مستندات زحمت خوندن رو به خودشون نمیدن
          به هر حال از شما تشکر میکنم بابت وقتی که گذاشتید {گل}

  8. balyan

    به این میگن یه کد ماندگار 🙂
    اسمش رو بزارید ماندگار کد 😀
    ای کاش میشد کاربر رو به صفحه اصلی سایت انتقال بده

    1. عبدالماجد شه بخش

      بزودی با آموزشهای بهتر در خدمتتون هستیم

  9. نمکستان

    سلام
    حتی تکرار اینگونه مطالب خوب و مفید است
    ممنون

    1. عبدالماجد شه بخش

      سلام ، خواهش میکنم دوست عزیز
      به شخصه کمتر دیده بودم تو سایت های وردپرسی موضوع امنیت وردپرس رو مورد توجه قرار بدن
      نوشته های فعلی این دسته بندی در ماندگار وب برای شروع هستند و بزودی آموزش ها و نکات قابل توجه تری رو برای شما دوستان آماده میسازیم

  10. Startak

    سلام.دنبال این آموزش می گشتم که به سایت شما برخوردم خیلی به به دردم خورد.تشکر.
    بازم از اینجور آموزش ها بذارید.

  11. balyan

    هر کاری کردم نتونستم به انجمن شما وارد بشم.انجمن به کلی مشکل داره
    اگه میشه یوزر “سیدرضا بازیار” رو حذف کنید تا دوباره ثبت نام کنم
    باید چندتا سوال مهم توی انجمن بپرسم

    1. عبدالماجد شه بخش

      آدرس یوزرتون رو بدید تا انجام بدم.

  12. balyan

    یوزر: سیدرضا بازیار
    ایمیل: sreza.b1374kazerun1@gmail.com
    پسورد: یادم نیست
    هر چی هم درخواست میدم یه پسورد الکی بهم ارسال میکنن و بازم میگن اشتباه زدم
    یه پسورد برام بساز و به ایمیلم ارسال کن.
    tanQ

    1. عبدالماجد شه بخش

      دوست عزیز با این عنوان کاربری پیدا نشد.
      وقتی درخواست رمز جدید میدید یک رمز جدید براتون ساخته میشه و براتون ارسال میشه که با همون میتونید وارد بشید.
      موفق باشید.

  13. balyan

    با همون وارد میشم.اما ارور میده
    من با همین ایمیل ثبت نام کردم.اصلا میخوام دوباره ثبت نام کنم.اما نوشته که قبلا ثبت نام کردم
    خیلی عجیب شده.حالا چیکار کنم؟

    1. امیر خلجی مهر

      عبدالماجد جان اگه یوزرتون رو پیدا کرد حتما” کمکتون میکنه
      بهترین و ساده ترین راه ثبت نام با آدرس ایمیل تازه هست . موفق باشید

  14. مصطفی معراجی

    سلام. سایت من هک شده و من هر بار که بخوام فنسی گالری در سایتم کار کنه باید به روز رسانی رو بزنم و دقیقا بیست و چهار ساعت بعد دوباره سایت مشکل فنسی گالری رو پیدا میکنه. احتمال داره با این انتقال مشکلم حل بشه؟

    1. امیر خلجی مهر

      سلام نه فک نمیکنم مرتبط باشه
      بهتره یکبار وردپرستون رو بصورت دستی آپدیت کنید

    1. عبدالماجد شه بخش

      خواهش میکنم حامد جان

  15. مهدی

    سلام بر دوستان
    برادر عبدالماجد هر وقت آیه های نور رو زمزمه کردی ، ما رو هم دعا کن
    حقا که نمرتون بیسته ، اجرتون با یکتای عالم

    1. عبدالماجد شه بخش

      سلام مهدی جان محتاج هستیم به دعای شما دوستان
      ممنون

  16. محمد علی طاهری

    با سلام
    دوست عزیز من از نکته شما استفاده کردم، اما یه سوالی برایم پیش آمد.
    بعد از اضافه کردن این کدها وقتی به http://ieps.ir/wp-config.php می رم ریدایرکت می شه به http://error404.000webhost.com/?
    یعنی میره به صفحه 404 هاست
    واسه چی می ره اونجا؟

    1. امیر خلجی مهر

      سلام
      شاید این دستور از سمت سرورتون ارسال میشه و خارج از مدیریت شماست
      به هر حال هدف از دسترس خارج کردن فایل هست که با موفقیت انجامش دادید

      1. محمد علی طاهری

        با سلام، من از خود سرور سوال کردم در این مورد گفتن تنظیمات htaccess مشکل داره.
        به نظر شما چکار کنم.
        ممنون

        1. امیر خلجی مهر

          سلام
          مهم اینه که بصورت مستقیم به فایل کانفیک دسترسی نداشت که برای شما هم موفقیت آمیز بوده
          میتونید محتوای فایل اچ تی اکسز رو تو انجمن بگذارید تا دوستان بررسی کنند

  17. مهدی

    داداش دمت گرم برای من مثل هلو جواب داد روش دوم :))))

    1. امیر خلجی مهر

      سلام مهدی جان
      خب معلومه که ج میده هم روش اول و هم دوم
      اما یه سری از دوستان همیشه عادت دارند یه جور دیگه عمل کنند و برای همین به مشکل میخورن
      تمامی آموزشهایی که تو ماندگار وب گذاشته میشن از هر نظر تست میشن
      موفق باشید

  18. Sinanium

    سلام
    من از شیوه دوم یعنی .htaccess استفاده کردم، قبل از استفاده از این کد همونطور که عرض کردید با صفحه سفید مواجه خواهیم شد اما پس جاگذاری کد در فایل مذکور برای من صفحه خطای 404 گرافیکی نمایش داده میشه، آیا این به معنیه درست بودنه اجرای این فرآینده؟ یعنی منظور شما از خطای دسترسی همین Error 404 بود؟ ممنون

    1. امیر خلجی مهر

      سلام
      درسته هدف هم همین بود از دسترس خارج کردن این فایل
      موفق باشید

  19. پی سی گیمز

    Order allow,deny
    Deny from all

    Order allow,deny
    Deny from all

    Order allow,deny
    Deny from all

    Order allow,deny
    Deny from all

    Order allow,deny
    Deny from all

    1. امیر خلجی مهر

      ما که متوجه نشدیم منظورتون چی هست 🙂

  20. بازتاب: ‫آموزش تغییر پیشوند جدول دیتابیس وردپرس wp_‬
  21. بازتاب: دنیای wp-config! | کلاس وردپرس
  22. کیوان

    آقا من هر جایی کدو گذاشتم بازم صفحه wp-config.php از دسترس خارج نمیشه.
    باید چیکار کنم؟

  23. 98 لاو

    عالی!.. ولی اگه اینو بذاریم، فک نکنم دیگه نیاز به چیزی که شما گفتید باشه؟

    # Stop Directory listening
    Options -Indexes

  24. میثم

    سلام، ممنون از مطالب خوبتون
    هاست من دایرکت ادمین هستش که متاسفانه روش اول باعث ارور در سایت میشه
    اما روش دوم به خوبی عمل میکنه
    روش اول رو توی یکی دیگه از سایتام که سی پنله امتحان کردم بخوبی عمل کرد؛ روش اول فقط روی سی پنل کار میکنه

    1. امیر خلجی مهر

      تشکر از راهنماییتون میثم جان

  25. حسین

    سلام
    یه سوال کوچولو،چطوری فایل wp-config را ببریم داخل مسیری که گفتین، یعنی فقط بردنش حله و مشگلی ایجاد نمیکنه؟
    نباید تغییری بدیم؟

    1. امیر خلجی مهر

      اگه تجربه ای ندارید خودتون اینکارو انجام ندید یا اینکه از این فایل نسخه پشتیبان تهیه کنید
      کار ساده ای هست و از طریق پنل هاستتون امکانپذیر هست
      موفق باشید

  26. حسین

    سلام مجدد
    من اون کدی که گفتین رو داخل اچ تی اکسس گذاشتم، قبل از قرار دادن کد صفحه 404 میومد ولی الان ارور 500 میده
    این درسته؟

    1. امیر خلجی مهر

      ارورها متفاوت هست و نمیشه برای هر سرویس شماره مخصوصی رو تعیین کرده
      اگه فایل مورد نظر قابل دسترسی نیست مراحل رو درست پیش رفتید

      موفق باشید

  27. حسین

    بسیار عالی بود و راحت ممنون از مطالب خوبتون

  28. ol-tools

    # secure directory by disabling script execution
    AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
    Options -Ex

    داداش اینو داریم برای بلاک کرد براوز تو دایرکتری ها و فایلا!ولی وقتی اینو تو اچ تی اکسس میزنی!پوشه ی wp-admin رو برای خودتم اجازه دسترسی نمیده!نمیشه یه جور ویرایش کنید ردیف شه!؟لطفا پاسخ رو به ایمیل ارسال کنید!

    1. ol-tools

      داداش شرمنده انجمن رو پیدا نمیکنم!ادرسشو میذاری اینجا!؟ 🙁

  29. رضا

    دوستان من یه جوجه هکرم اما با همین معلوماتم wp-configچنتا سایت رو هک و دانلود کردم اما نمیدونم چطور باید رمز ورود به پنل مدیریت رو داخلش بکشم بیرون.اگه میشه مدیریت جواب رو به ایمیلم ارسال کنن.

    1. امیر خلجی مهر

      خوشحالیا، مگه این پست آموزش هک کردن سایت های وردپرسی هست که شما چنین درخواستی از ما دارین 🙂
      بهتره تو آشیانه مطرح کنید

  30. kamal

    تکمیل روش اول :

    جهت جابجایی این فایل کار سختی در پیش ندارید زیرا مدیریت محتوای وردپرس به راحتی یک مسیر بالاتر را شناسایی می کند یعنی شما به راحتی می توانید بدون هیچ تغییری فایل wp-config.php را از مسیر public_html خارج کرده و به یک شاخه بالاتر یعنی home ببرید اما برای افزایش امنیت بیشتر پیشنهاد می شود علاوه بر تغییر مسیر، نام این فایل را نیز تغییر دهید زیرا هکر می داند که به صورت پیش فرض نام این فایل wp-config.pnp می باشد و دنبال چنین فایلی خواهد گشت. برای اینکار پس از move کردن فایل wp-config.php نام آن را به یک نام دلخواه به عنوان مثال mihanmizban.php تغییر دهید و سپس وارد public_html هاست خود شوید و یک فایل با نام wp-config.php ایجاد نمایید و کد زیر را داخل آن قرار دهید:

    به جای /home/usersite/mihanmizban.php مسیر فایل wp-config اصلی را که نام آنرا تغییر داده اید قرار دهید. شما به همین راحتی توانسته اید از این فایل مهم محافظت کنید .

  31. حسین

    سلام خدمت همه عزیزان ماندگار وب
    یه سوال داشتم درمورد این که توی قسمت نمایش > ویرایشگر که دسترسی به تمام کدها موجود می باشد میشه دسترسی رو غیر فعال کرد و آیا غیر فعال کردن این موضو به امنیت سایت کمک میکنه و لازم هست یا خیر
    با تشکر فراوان

    1. امیر خلجی مهر

      درود بر شما
      خیر این موضوع هیچ ارتباطی با امنیت سایت شما ندارد، چرا که دسترسی به این قسمت تنها برای مدیر سایت مجاز میباشد. غیرفعال کردن این قسمت تنها برای سایت های چند مدیرِ مناسب میباشد
      موفق باشید

  32. ستاره ها

    مرسی . واقعا مطلب مفیدی بود .

دیدگاه خود را بنویسید

تنها دیدگاه‌هایی که به فارسی نوشته می‌شوند پذیرفته خواهند شد!

ماندگار وب - 1395
فروش - خرید هاست وردپرس فارسی