امنیت در وردپرس – بخش دوم

در قسمت اول مطلب برقراری امنیت در وردپرس به اینجا رسیدیدم که هاست مناسب و امنی را برای خود انتخاب کردیم و هم اکنون می خواهیم سیسنم وردپرس را بر روی آن نصب کنیم .

برای رساندن امنیت وب سایت به حداکثر باید نکات امنیتی را از هنگام نصب وردپرس شروع کنید که این نکات بسیار مهم رو با هم مرور می کنیم :

نکته اول : وقتی که برای وردپرس دیتا بیس می سازید و یک یوزر در سی پنل ، دایرکت ادمین یا سایر کنترل پنل ها می سازید که به دیتابیس دسترسی داشته باشه و مشخصات اون یوزر رو در فایل wp-config می نویسید ، دقت کنید که هم نام کاربری و هم گذرواژه رو کاملا قوی ( طولانی و غیر قابل حدس ) بسازید .

نکته دوم : حالا که یوزر را با نام کاربری و گذرواژه ی قدرتمند ساختیم نباید اجازه بدیم که اختیارات بیشتر از اندازه ای که لازم هست داشته باشه ! به این صورت که اختیارات کاربر پایگاه داده رو در سی پنل یا دایرکت ادمین مطابق شکل زیر تنظیم کنید :

نکته سوم : به هنگام نصب ، وردپرس برای نام کاربری مدیر عبارت admin را پیشنهاد می دهد که به هیچ وجه نام مناسبی نیست و حتما نام کاربری را واژه ای غیر از admin انتخاب کنید و همچنین در غیرقابل پیشبینی بودن گذرواژه کم کاری نکنید !

نکته چهارم : هم اکنون وردپرس با رعایت نکات امنیتی راه اندازی شده و ما آماده ایم تا اولین مطلبمان را در وب سایت دوست داشتنی خود بنویسیم اما دست نگه دارید !

ابتدا فایل install.php  از پوشه wp-admin  و همچنین فایل readme.html را  از پوشه اصلی وردپرس پاک کنید.

نکته پنجم : خیلی از هکرهای تازه به دوران رسیده از حملات SQL injection برای نفوذ به دیتابیس و پایگاه داده استفاده می کنند .   قبل از انجام هرگونه تغییر در تنظیمات وردپرس ابتدا باید پیشوند جدول های پایگاه داده را تغییر دهیم . به طور پیشفرض وردپرس از پیشوند wp استفاده می کند . تغییر این پیشوند ۲ حالت دارد .

حالت اول :

اینکه هنوز وردپرس را نصب نکرده اید که در این صورت قبل از اقدام به نصب ، هنگام وارد کردن اطلاعات نام کاربری و گذرواژه برای اتصال به دیتابیس ، در خط زیر از فایل wp-config.php واژه ی wp را با عبارت دلخواه  ( کوتاه در حد چند کاراکتر اما غیر قابل پیشبینی ) جایگزین کنید .

$table_prefix  = 'wp_';

حالت دوم :
اینکه شما وردپرس را نصب کرده اید و پیشوندها به صورت پیشفرض wp هستند و اکنون قصد تغییر آنها را داریم که از راه بسیار ساده زیر وارد می شویم :

۱ : برای این کار ابتدا از دیتابیس خود یک نسخه پشتیبان با پسوند SQL تهیه کنید

-از فایل SQL خود یک کپی بگیرید و در جای دیگری از هارد دیسک خود نگاه دارید (برای این منظور که اگر در حین انجام عملیات مشکلی تو دیتابیس‌تون ایجاد کنید به راحتی بتونید اون رو به حالت اولیه بازگردانید ، البته نگران نباشید اگه مرحله به مرحله و کمی دقت مراحل فوق را انجام دهید مشکلی پیش نخواهد آمد)

- فایل SQL را در سیستم خود با استفاده از Notepad باز کنید .

- حالا تمامی عبارات _wp را با نام دلخواه عوض کنید به طور مثال _۴kfq8J

برای این کار می بایست از دستور Replace استفاده کنید . اگر با notepad ویندوز اقدام به بازگشایی فایل دیتابیس خود نموده اید از کلیدهای ترکیبی Ctrl+H استفاده کنید .

پس از پایان عملیات Replace ، فایل را ذخیره کنید .

- سپس به phpmyAdmin در کنترل پنل هاست مراجعه کنید و تمامی table های موجود در دیتابیس وردپرس خود را حذف(drop) کنید . (توجه داشته باشید خود دیتابیس را حذف نکنید)

- سپس فایل Sql که بر روی هارد دیسک خود داشتید و آن را ویرایش کرده بودید را از بخش Import وارد دیتابیس خود در phpmyAdmin‌ کنید .

- سپس طبق حالت اول ( که مربوط به قبل از نصب بود ) قایل  wp-config را ویرایش کنید و به جای واژه ی wp از پیشوند جدیدی که در فایل sql جایگزین نموده اید استفاده کنید . ( در اینجا همان عبارت ۴kfq8J را به طور مثال می نویسیم )

- پس از انجام این کار به صورت اتوماتیک وردپرس تمامی پلاگینهای Active را غیر فعال (Deactivate) می کند . پس به بخش پلاگین وردپرس مراجعه کرده و مجدداً پلاگینهای مورد نیاز را فعال کنید .

کار تمام است !

نکته ششم : تا کنون موارد امنیتی رو یک به یک انجام دادیم و حالا می رسیم به تغییر سطوح دسترسی به حداقل !

در بسیاری از مطالب به اشتباه گفته شده که همه ی پوشه ها روی ۷۵۵ باشند و هیچ پوشه و فایل خاصی ۷۷۷ نباشه مگر اینکه برای استفاده از اون فایل لازم باشه سطح دسترسی کامل باشه .

ولی به عرض کاربران عزیز دیزاینا می رسونم که این سطوح دسترسی به هیچ وجه امنیت حداکثری رو فراهم نمی کنن و برای رسیدن به امنیت بیشتر در این مورد ، سطوح دسترسی برای فایل ها و پوشه های مهم رو باید به شکل زیر تنظیم نمود :

htaccess : 404.
wp-config.php : 400
index.php : 400
wp-blog-header.php : 400
root folder : 705
wp-admin: 705
wp-includes : 705
wp-content : 705

نکته هفتم : پوشه ی مهم و حیاتی wp-admin رو رمز گذاری کنیم که این کار به راحتی از طریق کنترل پنل سی پنل یا دایرکت ادمین قابل انجام هست

نحوه ی رمز گذاری از طریق کنترل پنل :

ابتدا از قسمت Filemanegr وارد پوشه public_html هاست می شویم و پوشه  مورد نظر را پیدا می کنیم (در اینجا پوشه wp-admin) ؛ روی عبارت Protect در مقابل پوشه مورد نظر کلیک می کنیم

حال نام کاربری و رمز عبور دلخواه خود برای این پوشه را انتخاب کرده و در جای مناسب وارد می کنیم

پس از مشاهده پیغام زیر در دایرکت ادمین این پوشه دارای رمز عبور می باشد و برای دسترسی به آن بایدرمز عبور مشخص شده را وارد کرد.

از این پس کاربر در صورت مشاهده به این مسیر با کادر زیر مواجه خواهد شد

البته راه دیگر برای قفل گذاری این است که شما یک نام کاربری و یک گذزواژه ی دلخواه برای محافظت از یک پوشه انتخاب بکنید و انها را در یک فایل متنی به این صورت بنویسد  :

username:password

به طور مثال می خواهم نام کاربری را  hossein و پسورد را designA انتخاب کنم ، پس می نویسم :   hossein:designA  و فایل را با نام  htpasswd.  ذخیره می کنم . ( دقت کنید که همانند فایل htaccess. این فایل در ابتدای نام خود نقطه دارد )

بعد از اینکه فایل htpasswd. که حاوی نام کاربری و گذر واژه است را ساختیم ، اکنون یک فایل htaccess. می سازیم و درون آن این کدها را قرار می دهیم :

AuthType Basic
AuthName "WordPress Dashboard"
AuthUserFile /home/user/.htpasswd/wp-admin/.htpasswd
Require user adminuser

سپس فایل htaccess. ساخته شده را ذخیره می کنیم و در پوشه wp-admin قرار می دهیم .

هم اکنون فایل  htpasswd. را که قبلا ساخته بودیم به این مسیر منتقل می کنیم :

/home/user/.htpasswds/blog/wp-admin/.htpasswd

در مورد مسیر فوق ممکن است بعضی از کاربران عزیز دچار سردرگمی بشوند . برای یافتن این مسیر از پوشه ی public_html که فایل های وردپرس در آن وجود دارند ، یک سح بالاتر بروید ( up ) ، هم اکنون در پوشه ی user قرار دارید که معمولا شامل پوشه هایی همچون logs , private_html , public_ftp و public_html است . در بسیاری از موارد پوشه ای با نام  htpasswd. نیز وجود دارد . اگر وجود نداشت آن را بسازید و درون آن یک پوشه با نام wp-admin بسازید و درون wp-admin فایل htpasswd. که ساخته بودید را کپی کنید .

هم اکنون وقتی کاربری آدرس ورود به کنترل پنل وب سایتتان را در مرورگر وارد می کند ، فایل htaccess. موجوددر پوشه ی  wp-admin ، از کاربر نام کاربری و رمز عبور می خواهد و اطلاعات وارد شده را با اطلاعات موجود در فایل  htpasswd. تطبیق می هد و در صورت صحیح بودن ، اجازه ی نمایش محتوای پوشه ی wp-admin را می دهد .

نکته هشتم : به صورت مختصر این نکته را می گویم که در فایل wp-config کدهایی وجود دارند برای تولید کوکی های رمزنگاری شده . این کدها دقیقا به این شکل هستند :

define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

و ما باید با مراجعه به این وب سایت که api وب سایت وردپرس هست کدهای جدیدی که به صورت تصادفی تولید می شوند را دریافت و دقیقا به جای کدهای بالا قرار در فایل wp-config قرار بدهیم . که این کار باعث بالا بردن قابل توجه سطح امنیتی وب سایت شما خواهد شد .

این نکات تنها نکات امنیتی قبل و هنگام نصب وردپرس بود ، که در صورت رعایت کامل آن ها دیوار امنیتی بسیار قدرتمندی برای وب سایت خود می سازید و هنوز سایر ترفندها و نکات امنیتی (ترفندهای فایل htaccess. ، ایندکس شدن پوشه ها ، روبوت ها ، پلاگین ها و … ) برای استفاده و به روزرسانی مطالب وب سایت وجود دارند که در قسمت های بعدی آن ها را کامل و به زبان ساده برای شما شرح خواهم داد.