محافظت از فایل wp-config وردپرس
کمتر کسی است که با فایل wp-config.php وردپرس آشنایی نداشته باشد چراکه تمام کاربران برای نصب هسته وردپرس نیاز به ویرایش این فایل که در ریشه پروندههای وردپرس قرار گرفته است دارند.
فایل wp-config.php وردپرس مهمترین فایلی است که در سیستم مدیریت محتوای وردپرس از آن باید محافظت کرد چرا که این فایل امنیتی وردپرس شامل نام پایگاه داده، نام کاربری پایگاه داده و رمز پایگاه دادهای است که شما برای نصب و راهاندازی وردپرس خود این اطلاعات را در این فایل وارد کردهاید.
فایل پیکربندی وردپرس بصورت پیشفرض در دسترس دیگران است بصورتی که وقتی آدرس این فایل را همانند آدرس:
http://yoursite.ir/wp-config.php
در مرورگر وارد کنیم، برگه بدون بروز خطایی به نمایش در میآید، شما یک برگه یسفید را تماشا میکنید که به نظر بی خطر میآید و نمیتواند برای شما دردسر ساز باشد اما تنها کافیست برای چندین دقیقه سرور به اشتراک گذاشته شما از طریقی هک شود، هک شدن سرور میتواند یک احتمال باشد اما برای محافظت هرچه بیشتر از این فایل حساس وردپرس در این نوشته از وبلاگ ماندگار وب با آموزشی همراه خواهید بود که به سادگی میتوانید از این فایل محافظت و امنیت سایت وردپرسی خود را بالا ببرید.
برای بالا بردن سطح امنیت فایل wp-config.php وردپرس دو راه ساده وجود دارد که در هر دو روش شما نیاز به دسترسی کامل به سطح سرور و غیرفعال کردن تمامی افزونههای ذخیره سازی و کش دارید.
روش اول : انتقال فایل wp-config وردپرس به ریشه دایرکتوری سرور:
این روش سادهترین روش است که شما باید فایل wp-config.php را از محلی که وردپرس را در آن نصب کردهاید به ریشهی دایرکتوری هاست وردپرس، همانند تصویر زیر منتقل کنید.
روش دوم : بالا بردن امنیت فایل wp-config.php در htaccess:
این روش کمی دشوارتر از روش پیشین برای کابران مبتدی است چرا که شما باید بدانید کد مربوطه را در کدام قسمت از این فایل قرار دهید که در صورت جایگذاری اشتباه کد، ممکن است سایت شما از دسترس خارج شود، برای این روش نیز تنها کافیست کد زیر را در فایل اچتیاکسز (htaccess) ریشهی هاست خود قرار دهید:
<files wp-config.php>
order allow,deny
deny from all
</files>
زمانی که تغییرات لازم را برای بالابردن سطح امنیت فایل پیکربندی وردپرس انجام دادید میتوانید برای تست مجدد آدرس این فایل را در مرورگر خود اجرا کنید که شما به جای یک برگهی سفید تنها با خطای دسترسی مواجه خواهید شد.
امیدوارم این آموزش ایمن سازی وردپرس مورد توجه شما دوستان قرار گرفته باشد و در نوشتههای بعدی از موضوع امنیت وردپرس در وبلاگ ماندگار وب راهکارها و آموزشهای بیشتری را برای بالابردن سطح امنیت وردپرس در اختیار شما دوستان قرار خواهیم داد.
دیدگاهها در "محافظت از فایل wp-config وردپرس"
دیدگاه خود را بنویسید
برای نوشتن دیدگاه باید وارد بشوید.
اجرت باخدا
سلام، کد های بالا را به هر ترتیبی که در فایل .htaccess قرار دادم؛ بازهم اثری ندیدم، ضمنا من هیچ یک از سایت های خودم را در public_html نمی گذارم.
متن درون فایل اچ تی اکسس من :
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
کد زیر را کجای فایل قرار دهم تابه جای یک برگه سفید با خطای دسترسی روبرو باشم؟
order allow,deny
deny from all
سلام من خودم تو سایت استفاده کردم و مشکلی هم دیده نشده هم انتقال فایل کانفیگ و هم فایل اچ تی اکسز
کدها رو من تو آخرین خط گذاشتم اگه حل نشد تو انجمن مطرح کن علیرضا جان
سلام، ببخشید یعنی باید کدها را پیش از # END WordPress قرار داد یا بعد از اون؟
فرق چندانی نداره ولی بعد از اون بزارید بهتره.
موفق باشید.
آقا دمت گرم واقعا لذت بردم
عالی بود
خوشحالیم دوست عزیز که مفید واقع شده
همانطور که گفتید سایت از دسترسی خارج نشد، اما برگه ها و نوشته ها از دسترس خارج شد.
تست میکنیم!
ارزشش رو داره {گل}
عالی بود برای من بدون هیچ مشکلی کار کرد
درسته سعید جان مشکل خاصی نداره اما بعضی از دوستان همیشه عادت دارن یه یه شکل دیگه عمل کنن 🙂
سلام ببخشید میشه بگید که فایل htaccess کجا هست پیداش نمیکنم
امیر حسین جان برای نمایش فایل اچ تی اکسز روی فایل منیجرت کلیک راست کن و اون رو تو تب جدیدی از مرورگرت باز کن
موفق باشی
میدون که باید منیجر رو بازکنم
ولی فایل htaccess رو تو اونجا پیدا نمی کنم
خب منم برای همین گفتم نباید رو فایل منیجر کلیک کنی بلکه باید با کلیک راست اونو تو یه تب جدید باز کنی
موفق باشی
ببین صفحه من اینجوزی
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
order allow,deny
deny from all
# END WordPress
ولی تغییری نکرد
باید فایل htaccess
رو هم مثل اون انتغال بدم یا نه
گفتم دو تا روش فقط یکیشون رو دنبال کنی کفایت میکنه
انتقال اون فایل باعث میشه سایتت هم از دسترس خارج بشه با فایل اچ تی اکسز اصن شوخی نکن
همون فایل کانفیگ رو منتقل کنی کافیه
موفق باشی
شما ایمیل خودتون رو بده تو یاهو
معذرت میخوام امیر حسین جان نوشته کاملا” ساده و روان هست
اگه مشکلی پابرجاست لطف کنید تو انجمن مطرح کنید .
دوست عزیز وقتی وارد cpanel میشی باید روی file manager کلیک راست کنی بعد open in new tab رو بزن اگه دوبار کلیک کنی فایل htaccess رو نمیبینی!
مطمئن باش کلیک راست نکردی! 😀
کد رو گذاشتم.از صفحه خالی خارج شدم و رفتم روی 403
من میخوامن روی 404 باشه 🙁
🙂
نمیشه تعیین کرد خطای درست هم همینه میتونید فایل خود ما رو هم تست کنید
موفق باشید
سلام، این امکان وجود داره… که بجای خطای 403 ؟ 404 بنمایش دربیاد کافیه در فایل .htaccess ریشه ی سرور خود این کد رو اضاف کنید 🙂
ErrorDocument 403 /404.php
نکته : حتما فایلی با نام 404.php در public_html موجود باشد تا درصورت اینکه کاربر با خطای 403 مواجه شده به صفحه 404.php انتقال پیدا کند… در صورت موجود نبودن فایل 404.php در سایت شما! کافیست ان را ساخته و محتویاتش را کدهای زیر قرار دهید 🙂
Error 404: Not Found
Error 404: Not Found
404.php
[html]
Error 404: Not Found
[/html]
جواد جان اینجا اکثراً به سوال هایی که ارتباط مستقیم با نوشته ندارند پاسخ داده نمیشه یا اینکه کاربر به انجمن ارجاع داده میشه
بعضیا کلاً دنبال لقمه ی آماده هستند و حتی با دادن لینک مستندات زحمت خوندن رو به خودشون نمیدن
به هر حال از شما تشکر میکنم بابت وقتی که گذاشتید {گل}
به این میگن یه کد ماندگار 🙂
اسمش رو بزارید ماندگار کد 😀
ای کاش میشد کاربر رو به صفحه اصلی سایت انتقال بده
بزودی با آموزشهای بهتر در خدمتتون هستیم
سلام
حتی تکرار اینگونه مطالب خوب و مفید است
ممنون
سلام ، خواهش میکنم دوست عزیز
به شخصه کمتر دیده بودم تو سایت های وردپرسی موضوع امنیت وردپرس رو مورد توجه قرار بدن
نوشته های فعلی این دسته بندی در ماندگار وب برای شروع هستند و بزودی آموزش ها و نکات قابل توجه تری رو برای شما دوستان آماده میسازیم
سلام.دنبال این آموزش می گشتم که به سایت شما برخوردم خیلی به به دردم خورد.تشکر.
بازم از اینجور آموزش ها بذارید.
خوشحالم.
چشم.
هر کاری کردم نتونستم به انجمن شما وارد بشم.انجمن به کلی مشکل داره
اگه میشه یوزر “سیدرضا بازیار” رو حذف کنید تا دوباره ثبت نام کنم
باید چندتا سوال مهم توی انجمن بپرسم
آدرس یوزرتون رو بدید تا انجام بدم.
یوزر: سیدرضا بازیار
ایمیل: sreza.b1374kazerun1@gmail.com
پسورد: یادم نیست
هر چی هم درخواست میدم یه پسورد الکی بهم ارسال میکنن و بازم میگن اشتباه زدم
یه پسورد برام بساز و به ایمیلم ارسال کن.
tanQ
دوست عزیز با این عنوان کاربری پیدا نشد.
وقتی درخواست رمز جدید میدید یک رمز جدید براتون ساخته میشه و براتون ارسال میشه که با همون میتونید وارد بشید.
موفق باشید.
با همون وارد میشم.اما ارور میده
من با همین ایمیل ثبت نام کردم.اصلا میخوام دوباره ثبت نام کنم.اما نوشته که قبلا ثبت نام کردم
خیلی عجیب شده.حالا چیکار کنم؟
عبدالماجد جان اگه یوزرتون رو پیدا کرد حتما” کمکتون میکنه
بهترین و ساده ترین راه ثبت نام با آدرس ایمیل تازه هست . موفق باشید
سلام. سایت من هک شده و من هر بار که بخوام فنسی گالری در سایتم کار کنه باید به روز رسانی رو بزنم و دقیقا بیست و چهار ساعت بعد دوباره سایت مشکل فنسی گالری رو پیدا میکنه. احتمال داره با این انتقال مشکلم حل بشه؟
سلام نه فک نمیکنم مرتبط باشه
بهتره یکبار وردپرستون رو بصورت دستی آپدیت کنید
تشکر فراوان…
خواهش میکنم حامد جان
سلام بر دوستان
برادر عبدالماجد هر وقت آیه های نور رو زمزمه کردی ، ما رو هم دعا کن
حقا که نمرتون بیسته ، اجرتون با یکتای عالم
سلام مهدی جان محتاج هستیم به دعای شما دوستان
ممنون
با سلام
دوست عزیز من از نکته شما استفاده کردم، اما یه سوالی برایم پیش آمد.
بعد از اضافه کردن این کدها وقتی به http://ieps.ir/wp-config.php می رم ریدایرکت می شه به http://error404.000webhost.com/?
یعنی میره به صفحه 404 هاست
واسه چی می ره اونجا؟
سلام
شاید این دستور از سمت سرورتون ارسال میشه و خارج از مدیریت شماست
به هر حال هدف از دسترس خارج کردن فایل هست که با موفقیت انجامش دادید
با سلام، من از خود سرور سوال کردم در این مورد گفتن تنظیمات htaccess مشکل داره.
به نظر شما چکار کنم.
ممنون
سلام
مهم اینه که بصورت مستقیم به فایل کانفیک دسترسی نداشت که برای شما هم موفقیت آمیز بوده
میتونید محتوای فایل اچ تی اکسز رو تو انجمن بگذارید تا دوستان بررسی کنند
داداش دمت گرم برای من مثل هلو جواب داد روش دوم :))))
سلام مهدی جان
خب معلومه که ج میده هم روش اول و هم دوم
اما یه سری از دوستان همیشه عادت دارند یه جور دیگه عمل کنند و برای همین به مشکل میخورن
تمامی آموزشهایی که تو ماندگار وب گذاشته میشن از هر نظر تست میشن
موفق باشید
عالي بود
باسلام
ممنون عالی بود
سلام
من از شیوه دوم یعنی .htaccess استفاده کردم، قبل از استفاده از این کد همونطور که عرض کردید با صفحه سفید مواجه خواهیم شد اما پس جاگذاری کد در فایل مذکور برای من صفحه خطای 404 گرافیکی نمایش داده میشه، آیا این به معنیه درست بودنه اجرای این فرآینده؟ یعنی منظور شما از خطای دسترسی همین Error 404 بود؟ ممنون
سلام
درسته هدف هم همین بود از دسترس خارج کردن این فایل
موفق باشید
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order allow,deny
Deny from all
ما که متوجه نشدیم منظورتون چی هست 🙂
آقا من هر جایی کدو گذاشتم بازم صفحه wp-config.php از دسترس خارج نمیشه.
باید چیکار کنم؟
آقا درست شد. دمت گرم
عالی!.. ولی اگه اینو بذاریم، فک نکنم دیگه نیاز به چیزی که شما گفتید باشه؟
# Stop Directory listening
Options -Indexes
سلام، ممنون از مطالب خوبتون
هاست من دایرکت ادمین هستش که متاسفانه روش اول باعث ارور در سایت میشه
اما روش دوم به خوبی عمل میکنه
روش اول رو توی یکی دیگه از سایتام که سی پنله امتحان کردم بخوبی عمل کرد؛ روش اول فقط روی سی پنل کار میکنه
تشکر از راهنماییتون میثم جان
سلام
یه سوال کوچولو،چطوری فایل wp-config را ببریم داخل مسیری که گفتین، یعنی فقط بردنش حله و مشگلی ایجاد نمیکنه؟
نباید تغییری بدیم؟
اگه تجربه ای ندارید خودتون اینکارو انجام ندید یا اینکه از این فایل نسخه پشتیبان تهیه کنید
کار ساده ای هست و از طریق پنل هاستتون امکانپذیر هست
موفق باشید
سلام مجدد
من اون کدی که گفتین رو داخل اچ تی اکسس گذاشتم، قبل از قرار دادن کد صفحه 404 میومد ولی الان ارور 500 میده
این درسته؟
ارورها متفاوت هست و نمیشه برای هر سرویس شماره مخصوصی رو تعیین کرده
اگه فایل مورد نظر قابل دسترسی نیست مراحل رو درست پیش رفتید
موفق باشید
عالی و کاربردی بود
موفق باشید
بسیار عالی بود و راحت ممنون از مطالب خوبتون
# secure directory by disabling script execution
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -Ex
داداش اینو داریم برای بلاک کرد براوز تو دایرکتری ها و فایلا!ولی وقتی اینو تو اچ تی اکسس میزنی!پوشه ی wp-admin رو برای خودتم اجازه دسترسی نمیده!نمیشه یه جور ویرایش کنید ردیف شه!؟لطفا پاسخ رو به ایمیل ارسال کنید!
داداش شرمنده انجمن رو پیدا نمیکنم!ادرسشو میذاری اینجا!؟ 🙁
بفرمایید
انجمن وردپرس پارسی
دوستان من یه جوجه هکرم اما با همین معلوماتم wp-configچنتا سایت رو هک و دانلود کردم اما نمیدونم چطور باید رمز ورود به پنل مدیریت رو داخلش بکشم بیرون.اگه میشه مدیریت جواب رو به ایمیلم ارسال کنن.
خوشحالیا، مگه این پست آموزش هک کردن سایت های وردپرسی هست که شما چنین درخواستی از ما دارین 🙂
بهتره تو آشیانه مطرح کنید
با تشکر
تکمیل روش اول :
جهت جابجایی این فایل کار سختی در پیش ندارید زیرا مدیریت محتوای وردپرس به راحتی یک مسیر بالاتر را شناسایی می کند یعنی شما به راحتی می توانید بدون هیچ تغییری فایل wp-config.php را از مسیر public_html خارج کرده و به یک شاخه بالاتر یعنی home ببرید اما برای افزایش امنیت بیشتر پیشنهاد می شود علاوه بر تغییر مسیر، نام این فایل را نیز تغییر دهید زیرا هکر می داند که به صورت پیش فرض نام این فایل wp-config.pnp می باشد و دنبال چنین فایلی خواهد گشت. برای اینکار پس از move کردن فایل wp-config.php نام آن را به یک نام دلخواه به عنوان مثال mihanmizban.php تغییر دهید و سپس وارد public_html هاست خود شوید و یک فایل با نام wp-config.php ایجاد نمایید و کد زیر را داخل آن قرار دهید:
به جای /home/usersite/mihanmizban.php مسیر فایل wp-config اصلی را که نام آنرا تغییر داده اید قرار دهید. شما به همین راحتی توانسته اید از این فایل مهم محافظت کنید .
سلام خدمت همه عزیزان ماندگار وب
یه سوال داشتم درمورد این که توی قسمت نمایش > ویرایشگر که دسترسی به تمام کدها موجود می باشد میشه دسترسی رو غیر فعال کرد و آیا غیر فعال کردن این موضو به امنیت سایت کمک میکنه و لازم هست یا خیر
با تشکر فراوان
درود بر شما
خیر این موضوع هیچ ارتباطی با امنیت سایت شما ندارد، چرا که دسترسی به این قسمت تنها برای مدیر سایت مجاز میباشد. غیرفعال کردن این قسمت تنها برای سایت های چند مدیرِ مناسب میباشد
موفق باشید
مرسی . واقعا مطلب مفیدی بود .
سلام ممنونم ولی یه سوالی داشتم
اینکه این تغییرات موقعی که قراره اپدیت خودکار صورت بگیره مشکلی پیش نمیاد؟منظورم اپدیت از داخل پنل برای وردپرسه
درود بر شما
خیر دوست عزیز
خب جوجه هکر جان چرا میخوای هک کنی.بیماری مگه 😐
ممنون از روش دوم استفاده کردم درست شد
آموزش عالی بود
سلام آموزش تغییر نام این فایل رو هم بزارید عالی میشه. البته اگر مشکلی در استفاده از افزونه یا قالب هم میتونه پیش بیاره بیان کنید تا بدونیم. با تشکر
با سلام
من پوشه wp-config.php رو به home انتقال دادم و نام پوشه رو هم عوض کردم ولی متاسفانه بعد از تغییر نام هرچی میگردم پیداش نمیکنم. حتی تو قسمت جستجو هم نام جدید و هم نام قدیمش رو زدم ولی پیدا نشد. به نظرتون مشکل از کجا می تونه باشه؟
ممنون میشم اگه کمکم کنید
با درود
تنها نیاز بود فایل کانفیگ به یه مرحله عقبتر بازگرده، نه اینکه شما پوشهای رو پاک کنید.
اگر تنها به فایل کانفیگ نیاز دارید، میتونید خامش رو از یک وردپرس نصب نشده آپلود کنید و ریزگان دیتابیس رو در فایل کانفیگ جایگذاری کنید.
سلام
مطلب جالبی بود
یک سوال : در ساب دامین باید فایل رو کجا انتقال داد
درود
برای سایتهایی که بصورت سابدامنه هستند، کارایی ندارد.