توی قسمت اول این مقاله در مورد اهمیت فایل wp-config.php و به تعدادی از موارد که با رعایت کردن اون ها امنیت وب سایت رو می تونیم افزایش بدیم پرداختیم.توی این مقاله به معرفی ادامه ی روش هایی که با رعایت کردن اون ها می تونیم باز هم به افزودن لایه های امنیتی وب سایت کمک کنیم خواهیم پرداخت.
پس از ورود به پیشخوان سایت وردپرسی خودتون،اطلاعات ورود شما به صورت رمزگذاری شده در کوکی مرورگرتون ذخیره می شه.کلیدهای امنیتی متغییرهای تصادفی هستند که به بهبود رمزگذاری کمک می کنند.در صورتی که وب سایت شما هک بشه،تغییر کلید امنیتی منجر به نامعتبر شناخته شدن کوکی شده و بواسطه همین موضوع تمامی کاربرای فعال بصورت اتوماتیک از سایت خارج می شن و در نهایت کاربران وب سایت باید مجددا اقدام به ورود به وب سایت بکنند که در نتیجه هکرها دسترسی به وب سایت رو از دست می دن.
نمونه ای از کدهای امنیتی که در فایل wp-config.php وجود داره.
شما با استفاده از این لینک می تونید به صورت تصادفی این کلیدهای امنیتی رو تغییر بدید و جایگزین کلیدهای قبلی کنید.
در هر سایت وردپرسی فایل wp-config.php بصورت پیش فرض در پوشه ی public_html در هاست قرار داره و از اون نظر که این یک فایل بسیار مهم هستش پس هکرها در صورت اقدام به حمله یکی از اولین مکان ها و فایل هایی که سراغش می روند همین فایل هستش.پس با جابجا کردن محل این فایل می تونیم دسترسی به این فایل رو برای هکرها سخت تر کرده و امنیت رو برای سایت خودمون بالاتر ببریم.
برای انجام این کار مراحل زیر را دنبال کنید :
define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . '../path/to/wp-config.php');
در این مرحله همونطور که توی کد بالا مشاهده می کنید بجای ../path/to/wp-config.php مسیری که فایل اصلی wp-config.php رو به اون منتقل کردید وارد کنید و فایل رو ذخیره کنید.
یکی دیگه از اقداماتی که برای افزایش امنیت این فایل می تونیم انجام بدیم تغییر سطح دسترسی این فایل به ۶۰۰ می باشد.که در نهایت باعث می شه تنها مدیر سایت قادر به ویرایش این فایل باشه.اما بعد از تغییر سطح دسترسی نیاز تا کدهای زیر رو در فایل htaccess. وارد کنید تا هکرها قادر به آپلود کردن فایل wp-config.php خودشون از طریق مرورگر رو هم نداشته باشند.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
یکی از راه های خطایابی در افزونه و قالب های وردپرسی فعال سازی wp_debug در فایل wp-config.php هستش.این ویژگی زمانی که شما مشغول توسعه قالب یا افزونه خودتون هستید خیلی مفید و راه گشا هستش ولی زمانی که شما قالب یا افزونه ی خودتون رو آماده کردید و قصد استفاده از اون رو دارید این ویژگی می تونه جنبه ی منفی پیدا کنه چون هکرها می تونن با مشاهده نوع ایراد و محل اون نقاطی رو برای نفوذ پیدا بکنند و از طریق اون اقدام به حملاتی به وب سایت شما بکنند پس بهتره که بعد از توسعه قالب یا افرونه ی خودتون این ویژگی رو غیر فعال کنید.
شما می تونید با وارد کردن کد زیر در فایل wp-config.php این ویژگی رو غیر فعال کنید.
define('WP_DEBUG_DISPLAY', false);
و در صورتی که بجای false کلمه true قرار دهیم مجددا این ویژگی فعال خواهد شد.