محافظت از فایل wp-config وردپرس

5/5 - (2 امتیاز)

کمتر کسی است که با فایل wp-config.php وردپرس آشنایی نداشته باشد چراکه تمام کاربران برای نصب هسته وردپرس نیاز به ویرایش این فایل که در ریشه پرونده‌های وردپرس قرار گرفته است دارند.

فایل wp-config.php وردپرس مهم‌ترین فایلی است که در سیستم مدیریت محتوای وردپرس از آن باید محافظت کرد چرا که این فایل امنیتی وردپرس شامل نام پایگاه داده، نام کاربری پایگاه داده و رمز پایگاه داده‌ای است که شما برای نصب و راه‌اندازی وردپرس خود این اطلاعات را در این فایل وارد کرده‌اید.

فایل پیکربندی وردپرس بصورت پیش‌فرض در دسترس دیگران است بصورتی که وقتی آدرس این فایل را همانند آدرس:

http://yoursite.ir/wp-config.php

در مرورگر وارد کنیم، برگه بدون بروز خطایی به نمایش در می‌آید، شما یک برگه ی‌سفید را تماشا می‌کنید که به نظر بی خطر می‌آید و نمی‌تواند برای شما دردسر ساز باشد اما تنها کافیست برای چندین دقیقه سرور به اشتراک گذاشته شما از طریقی هک شود، هک شدن سرور می‌تواند یک احتمال باشد اما برای محافظت هرچه بیشتر از این فایل حساس وردپرس در این نوشته از وبلاگ ماندگار وب با آموزشی همراه خواهید بود که به سادگی می‌توانید از این فایل محافظت و امنیت سایت وردپرسی خود را بالا ببرید.

برای بالا بردن سطح امنیت فایل wp-config.php وردپرس دو راه ساده وجود دارد که در هر دو روش شما نیاز به دسترسی کامل به سطح سرور و غیرفعال کردن تمامی افزونه‌های ذخیره سازی و کش دارید.

روش اول : انتقال فایل wp-config وردپرس به ریشه دایرکتوری سرور:

این روش ساده‌ترین روش است که شما باید فایل wp-config.php را از محلی که وردپرس را در آن نصب کرده‌اید به ریشه‌ی دایرکتوری هاست وردپرس، همانند تصویر زیر منتقل کنید.

محافظت از فایل wp-config.php وردپرس

روش دوم : بالا بردن امنیت فایل wp-config.php در htaccess:

این روش کمی دشوارتر از روش پیشین برای کابران مبتدی است چرا که شما باید بدانید کد مربوطه را در کدام قسمت از این فایل قرار دهید که در صورت جای‌گذاری اشتباه کد، ممکن است سایت شما از دسترس خارج شود، برای این روش نیز تنها کافیست کد زیر را در فایل اچ‌تی‌اکسز (htaccess) ریشه‌ی هاست خود قرار دهید:

<files wp-config.php>
order allow,deny
deny from all
</files>

زمانی که تغییرات لازم را برای بالابردن سطح امنیت فایل پیکربندی وردپرس انجام دادید می‌توانید برای تست مجدد آدرس این فایل را در مرورگر خود اجرا کنید که شما به جای یک برگه‌ی سفید تنها با خطای دسترسی مواجه خواهید شد.

امیدوارم این آموزش ایمن سازی وردپرس مورد توجه شما دوستان قرار گرفته باشد و در نوشته‌های بعدی از موضوع امنیت وردپرس در وبلاگ ماندگار وب راهکارها و آموزش‌های بیشتری را برای بالابردن سطح امنیت وردپرس در اختیار شما دوستان قرار خواهیم داد.

5/5 - (2 امتیاز)

کانال تلگرام ماندگار وب

  1. علیرضا شیبانی

    سلام، کد های بالا را به هر ترتیبی که در فایل .htaccess قرار دادم؛ بازهم اثری ندیدم، ضمنا من هیچ یک از سایت های خودم را در public_html نمی گذارم.

    متن درون فایل اچ تی اکسس من :
    # BEGIN WordPress

    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]

    # END WordPress

    کد زیر را کجای فایل قرار دهم تابه جای یک برگه سفید با خطای دسترسی روبرو باشم؟

    order allow,deny
    deny from all

    1. امیر خلجی مهر

      سلام من خودم تو سایت استفاده کردم و مشکلی هم دیده نشده هم انتقال فایل کانفیگ و هم فایل اچ تی اکسز
      کدها رو من تو آخرین خط گذاشتم اگه حل نشد تو انجمن مطرح کن علیرضا جان

    1. امیر خلجی مهر

      درسته سعید جان مشکل خاصی نداره اما بعضی از دوستان همیشه عادت دارن یه یه شکل دیگه عمل کنن 🙂

    1. امیر خلجی مهر

      امیر حسین جان برای نمایش فایل اچ تی اکسز روی فایل منیجرت کلیک راست کن و اون رو تو تب جدیدی از مرورگرت باز کن
      موفق باشی

        1. امیر خلجی مهر

          خب منم برای همین گفتم نباید رو فایل منیجر کلیک کنی بلکه باید با کلیک راست اونو تو یه تب جدید باز کنی
          موفق باشی

          1. امیرحسین

            ببین صفحه من اینجوزی

            # BEGIN WordPress

            RewriteEngine On
            RewriteBase /
            RewriteRule ^index\.php$ – [L]
            RewriteCond %{REQUEST_FILENAME} !-f
            RewriteCond %{REQUEST_FILENAME} !-d
            RewriteRule . /index.php [L]

            order allow,deny
            deny from all

            # END WordPress

            ولی تغییری نکرد

    1. امیر خلجی مهر

      گفتم دو تا روش فقط یکیشون رو دنبال کنی کفایت میکنه
      انتقال اون فایل باعث میشه سایتت هم از دسترس خارج بشه با فایل اچ تی اکسز اصن شوخی نکن
      همون فایل کانفیگ رو منتقل کنی کافیه
      موفق باشی

    1. maikel

      دوست عزیز وقتی وارد cpanel میشی باید روی file manager کلیک راست کنی بعد open in new tab رو بزن اگه دوبار کلیک کنی فایل htaccess رو نمیبینی!
      مطمئن باش کلیک راست نکردی! 😀

    1. جواد

      سلام، این امکان وجود داره… که بجای خطای 403 ؟ 404 بنمایش دربیاد کافیه در فایل .htaccess ریشه ی سرور خود این کد رو اضاف کنید 🙂

      ErrorDocument 403 /404.php

      نکته : حتما فایلی با نام 404.php در public_html موجود باشد تا درصورت اینکه کاربر با خطای 403 مواجه شده به صفحه 404.php انتقال پیدا کند… در صورت موجود نبودن فایل 404.php در سایت شما! کافیست ان را ساخته و محتویاتش را کدهای زیر قرار دهید 🙂

      Error 404: Not Found

      Error 404: Not Found

        1. امیر خلجی مهر

          جواد جان اینجا اکثراً به سوال هایی که ارتباط مستقیم با نوشته ندارند پاسخ داده نمیشه یا اینکه کاربر به انجمن ارجاع داده میشه
          بعضیا کلاً دنبال لقمه ی آماده هستند و حتی با دادن لینک مستندات زحمت خوندن رو به خودشون نمیدن
          به هر حال از شما تشکر میکنم بابت وقتی که گذاشتید {گل}

  2. balyan

    به این میگن یه کد ماندگار 🙂
    اسمش رو بزارید ماندگار کد 😀
    ای کاش میشد کاربر رو به صفحه اصلی سایت انتقال بده

    1. عبدالماجد شه بخش

      سلام ، خواهش میکنم دوست عزیز
      به شخصه کمتر دیده بودم تو سایت های وردپرسی موضوع امنیت وردپرس رو مورد توجه قرار بدن
      نوشته های فعلی این دسته بندی در ماندگار وب برای شروع هستند و بزودی آموزش ها و نکات قابل توجه تری رو برای شما دوستان آماده میسازیم

  3. Startak

    سلام.دنبال این آموزش می گشتم که به سایت شما برخوردم خیلی به به دردم خورد.تشکر.
    بازم از اینجور آموزش ها بذارید.

  4. balyan

    هر کاری کردم نتونستم به انجمن شما وارد بشم.انجمن به کلی مشکل داره
    اگه میشه یوزر “سیدرضا بازیار” رو حذف کنید تا دوباره ثبت نام کنم
    باید چندتا سوال مهم توی انجمن بپرسم

  5. balyan

    یوزر: سیدرضا بازیار
    ایمیل: sreza.b1374kazerun1@gmail.com
    پسورد: یادم نیست
    هر چی هم درخواست میدم یه پسورد الکی بهم ارسال میکنن و بازم میگن اشتباه زدم
    یه پسورد برام بساز و به ایمیلم ارسال کن.
    tanQ

    1. عبدالماجد شه بخش

      دوست عزیز با این عنوان کاربری پیدا نشد.
      وقتی درخواست رمز جدید میدید یک رمز جدید براتون ساخته میشه و براتون ارسال میشه که با همون میتونید وارد بشید.
      موفق باشید.

  6. balyan

    با همون وارد میشم.اما ارور میده
    من با همین ایمیل ثبت نام کردم.اصلا میخوام دوباره ثبت نام کنم.اما نوشته که قبلا ثبت نام کردم
    خیلی عجیب شده.حالا چیکار کنم؟

    1. امیر خلجی مهر

      عبدالماجد جان اگه یوزرتون رو پیدا کرد حتما” کمکتون میکنه
      بهترین و ساده ترین راه ثبت نام با آدرس ایمیل تازه هست . موفق باشید

  7. مصطفی معراجی

    سلام. سایت من هک شده و من هر بار که بخوام فنسی گالری در سایتم کار کنه باید به روز رسانی رو بزنم و دقیقا بیست و چهار ساعت بعد دوباره سایت مشکل فنسی گالری رو پیدا میکنه. احتمال داره با این انتقال مشکلم حل بشه؟

  8. مهدی

    سلام بر دوستان
    برادر عبدالماجد هر وقت آیه های نور رو زمزمه کردی ، ما رو هم دعا کن
    حقا که نمرتون بیسته ، اجرتون با یکتای عالم

    1. امیر خلجی مهر

      سلام
      شاید این دستور از سمت سرورتون ارسال میشه و خارج از مدیریت شماست
      به هر حال هدف از دسترس خارج کردن فایل هست که با موفقیت انجامش دادید

      1. محمد علی طاهری

        با سلام، من از خود سرور سوال کردم در این مورد گفتن تنظیمات htaccess مشکل داره.
        به نظر شما چکار کنم.
        ممنون

        1. امیر خلجی مهر

          سلام
          مهم اینه که بصورت مستقیم به فایل کانفیک دسترسی نداشت که برای شما هم موفقیت آمیز بوده
          میتونید محتوای فایل اچ تی اکسز رو تو انجمن بگذارید تا دوستان بررسی کنند

    1. امیر خلجی مهر

      سلام مهدی جان
      خب معلومه که ج میده هم روش اول و هم دوم
      اما یه سری از دوستان همیشه عادت دارند یه جور دیگه عمل کنند و برای همین به مشکل میخورن
      تمامی آموزشهایی که تو ماندگار وب گذاشته میشن از هر نظر تست میشن
      موفق باشید

  9. Sinanium

    سلام
    من از شیوه دوم یعنی .htaccess استفاده کردم، قبل از استفاده از این کد همونطور که عرض کردید با صفحه سفید مواجه خواهیم شد اما پس جاگذاری کد در فایل مذکور برای من صفحه خطای 404 گرافیکی نمایش داده میشه، آیا این به معنیه درست بودنه اجرای این فرآینده؟ یعنی منظور شما از خطای دسترسی همین Error 404 بود؟ ممنون

  10. بازتاب: ‫آموزش تغییر پیشوند جدول دیتابیس وردپرس wp_‬
  11. بازتاب: دنیای wp-config! | کلاس وردپرس
  12. 98 لاو

    عالی!.. ولی اگه اینو بذاریم، فک نکنم دیگه نیاز به چیزی که شما گفتید باشه؟

    # Stop Directory listening
    Options -Indexes

  13. میثم

    سلام، ممنون از مطالب خوبتون
    هاست من دایرکت ادمین هستش که متاسفانه روش اول باعث ارور در سایت میشه
    اما روش دوم به خوبی عمل میکنه
    روش اول رو توی یکی دیگه از سایتام که سی پنله امتحان کردم بخوبی عمل کرد؛ روش اول فقط روی سی پنل کار میکنه

  14. حسین

    سلام
    یه سوال کوچولو،چطوری فایل wp-config را ببریم داخل مسیری که گفتین، یعنی فقط بردنش حله و مشگلی ایجاد نمیکنه؟
    نباید تغییری بدیم؟

    1. امیر خلجی مهر

      اگه تجربه ای ندارید خودتون اینکارو انجام ندید یا اینکه از این فایل نسخه پشتیبان تهیه کنید
      کار ساده ای هست و از طریق پنل هاستتون امکانپذیر هست
      موفق باشید

  15. حسین

    سلام مجدد
    من اون کدی که گفتین رو داخل اچ تی اکسس گذاشتم، قبل از قرار دادن کد صفحه 404 میومد ولی الان ارور 500 میده
    این درسته؟

    1. امیر خلجی مهر

      ارورها متفاوت هست و نمیشه برای هر سرویس شماره مخصوصی رو تعیین کرده
      اگه فایل مورد نظر قابل دسترسی نیست مراحل رو درست پیش رفتید

      موفق باشید

  16. ol-tools

    # secure directory by disabling script execution
    AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
    Options -Ex

    داداش اینو داریم برای بلاک کرد براوز تو دایرکتری ها و فایلا!ولی وقتی اینو تو اچ تی اکسس میزنی!پوشه ی wp-admin رو برای خودتم اجازه دسترسی نمیده!نمیشه یه جور ویرایش کنید ردیف شه!؟لطفا پاسخ رو به ایمیل ارسال کنید!

  17. رضا

    دوستان من یه جوجه هکرم اما با همین معلوماتم wp-configچنتا سایت رو هک و دانلود کردم اما نمیدونم چطور باید رمز ورود به پنل مدیریت رو داخلش بکشم بیرون.اگه میشه مدیریت جواب رو به ایمیلم ارسال کنن.

    1. امیر خلجی مهر

      خوشحالیا، مگه این پست آموزش هک کردن سایت های وردپرسی هست که شما چنین درخواستی از ما دارین 🙂
      بهتره تو آشیانه مطرح کنید

  18. kamal

    تکمیل روش اول :

    جهت جابجایی این فایل کار سختی در پیش ندارید زیرا مدیریت محتوای وردپرس به راحتی یک مسیر بالاتر را شناسایی می کند یعنی شما به راحتی می توانید بدون هیچ تغییری فایل wp-config.php را از مسیر public_html خارج کرده و به یک شاخه بالاتر یعنی home ببرید اما برای افزایش امنیت بیشتر پیشنهاد می شود علاوه بر تغییر مسیر، نام این فایل را نیز تغییر دهید زیرا هکر می داند که به صورت پیش فرض نام این فایل wp-config.pnp می باشد و دنبال چنین فایلی خواهد گشت. برای اینکار پس از move کردن فایل wp-config.php نام آن را به یک نام دلخواه به عنوان مثال mihanmizban.php تغییر دهید و سپس وارد public_html هاست خود شوید و یک فایل با نام wp-config.php ایجاد نمایید و کد زیر را داخل آن قرار دهید:

    به جای /home/usersite/mihanmizban.php مسیر فایل wp-config اصلی را که نام آنرا تغییر داده اید قرار دهید. شما به همین راحتی توانسته اید از این فایل مهم محافظت کنید .

  19. حسین

    سلام خدمت همه عزیزان ماندگار وب
    یه سوال داشتم درمورد این که توی قسمت نمایش > ویرایشگر که دسترسی به تمام کدها موجود می باشد میشه دسترسی رو غیر فعال کرد و آیا غیر فعال کردن این موضو به امنیت سایت کمک میکنه و لازم هست یا خیر
    با تشکر فراوان

    1. امیر خلجی مهر

      درود بر شما
      خیر این موضوع هیچ ارتباطی با امنیت سایت شما ندارد، چرا که دسترسی به این قسمت تنها برای مدیر سایت مجاز میباشد. غیرفعال کردن این قسمت تنها برای سایت های چند مدیرِ مناسب میباشد
      موفق باشید

  20. حسین

    سلام ممنونم ولی یه سوالی داشتم
    اینکه این تغییرات موقعی که قراره اپدیت خودکار صورت بگیره مشکلی پیش نمیاد؟منظورم اپدیت از داخل پنل برای وردپرسه

  21. عاشق وب و رایانه

    سلام آموزش تغییر نام این فایل رو هم بزارید عالی میشه. البته اگر مشکلی در استفاده از افزونه یا قالب هم میتونه پیش بیاره بیان کنید تا بدونیم. با تشکر

  22. وحید سرابی

    با سلام
    من پوشه wp-config.php رو به home انتقال دادم و نام پوشه رو هم عوض کردم ولی متاسفانه بعد از تغییر نام هرچی میگردم پیداش نمیکنم. حتی تو قسمت جستجو هم نام جدید و هم نام قدیمش رو زدم ولی پیدا نشد. به نظرتون مشکل از کجا می تونه باشه؟
    ممنون میشم اگه کمکم کنید

    1. امیر خلجی مهر

      با درود
      تنها نیاز بود فایل کانفیگ به یه مرحله عقب‌تر بازگرده، نه اینکه شما پوشه‌ای رو پاک کنید.
      اگر تنها به فایل کانفیگ نیاز دارید، می‌تونید خامش رو از یک وردپرس نصب نشده آپلود کنید و ریزگان دیتابیس رو در فایل کانفیگ جای‌گذاری کنید.

دیدگاه خود را بنویسید

ماندگار وب - 1400