هر شخصی که مقداری با توسعه وردپرس سر و کار داشته باشه مطمئنا اسم فایل wp-config.php به گوشش خورده.این فایل یکی از مهم ترین فایل های وردپرس هستش که از این فایل برای پیکربندی وردپرس استفاده می شه.توی این فایل اطلاعاتی از قبیل نام پایگاه داده،نام کاربری پایگاه داده،رمز پایگاه داده،پیشوند جداول وردپرس و خیلی اطلاعات مهم دیگه ای در اون ذخیره می شه.شما بطور گلی با استفاده از این فایل می تونید با پایگاه داده وب سایت وردپرسی خودتون ارتباط برقرار کنید.
پس با این تعاریف شما می تونید با توجه به پارامترهای زیادی که در این فایل وجود داره می تونید برای افزایش امنیت و شخصی سازی وب سایت خودتون استفاده کنید.
زمانی که شما مشغول راه اندازی سایت وردپرسی خودتون هستید در همون ابتدای کار مرحله ای وجود داره که پیشوند جداول وردپرسی مشخص می شه که بطور پیش فرض به صورت _wp نامگذاری می شه.هکرها با علم به این موضوع به راحتی می تونن در وب سایت وردپرسی شما ایجاد مشکل بکنند.
پس خیلی بهتره که شما این نام گذاری پیش فرض رو تغییر بدید.شما با تغییر این نام گذاری پیش فرض موجب مخفی شدن نام جدولتون شده و در نهایت امنیت وب سایت خودتون رو بالاتر می برید.
برای پیدا کردن عبارت _wp و مطابق تصویر دنبال table_prefix$ در فایل wp-config.php باشید.
$table_prefix = 'wp_';سپس به عبارت دلخواه خودتون تغییر بدید.
$table_prefix = 'tmt_';در صورتی که وارد پیشخوان وردپرس بشید و سپس در قسمت نمایش بشید.در صورتی که قالب وردپرسی شما از این قسمت پپشتیبانی بکنه قسمتی به اسم ویرایشگر پوسته رو مشاهده می کنید و در صورتی که بر روی اون کلیک بکنید با صفحه ای مطابق تصویر زیر مواجه می شد.شما با استفاده از این امکان وردپرس قادرید هر تغییری رو که در نظر دارید بر روی وب سایت خودتون اعمال کنید.
در سته که این یک قابلیت خیلی مفید هستش ولی در صورتی که یک هکر بتونه به پیشخوان وردپرس نفود بکنه این قابلیت دقیقا به بدترین ویژگی وردپرس تبدیل می شه و می تونه برای شما مشکلات خیلی زیادی رو بوجود بیاره.
پس با توضیحاتی که داده شد بهتره که این قابلیت غیر فعال بشه که با وارد کردن کد زیر در فایل wp-config.php می تونید این بخش رو غیر فعال کنید.
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );با استفاده از مرحله قبل شما تا حدودی امنیت رو بالا بردید ولی این پایان کار نیست و هکرها هنوز هم می تونن مشکلاتی رو بوجود بیارن و اون ها می تونن کدهای مخرب خودشون رو در قالب یک افزونه به وب سایت شما آپلود بکنند پس لازمه این یکی قابلیت رو هم غیر فعال بکنید.
شما مثل مرحله قبل با اضافه کردن این قطعه کد به فایل wp-config.php این قابلیت رو غیر فعال کنید.
define(‘DISALLOW_FILE_MODS’,true);
دقت داشته باشید که در این مرحله به صورت کامل نصب افزونه و یا آپدیت افزونه غیر فعال شده و شما برای نصب یا آیدیت کردن افزونه باید بصورت دستی اقدام بکنید.
در صورتی که تمایل به انجام دادن دو مرحله قبل رو ندارید می تونید مرحله ای رو ایجاد کنید تا برای نصب افزونه نیاز به وارد کردن اطلاعات FTP باشه و تا زمانی که اطلاعات بدرستی وارد نشوند امکان نصب افزونه وجود نداره.
برای انجام این کار قطعه کد زیر رو به فایل wp-config.php اضافه کنید.
define(‘FS_METHOD’, ‘ftpext’);
