WP-Config көмегімен WordPress сайтыңызды қалай қорғауға болады?
· Время на чтение: 6мин · бойынша
·
Жарияланды
· Жаңартылған
Бұл мақаланы тыңдаңыз
Әрбір WordPress сайтында «wp-config.php» деп аталатын файл бар.. Бұл WordPress конфигурация файлы ең маңызды WordPress файлдарының бірі болып табылады. Файлда торап қауіпсіздігін жақсарту үшін өзгертуге болатын көптеген конфигурация параметрлері бар. Бұл постта мен сізге WordPress сайтыңызды WordPress конфигурация файлымен қалай қорғау керектігін көрсетемін.
Мақаланың мазмұны:
- 1. Дерекқор префиксін өзгерту
- 2. Тақырып/плагин файлдарын өңдеуді өшіріңіз
- 3. Пайдаланушылардың плагиндер мен тақырыптарды орнатуына немесе жаңартуына жол бермеңіз
- 4. Қауіпсіздік үшін FTP протоколын қолдану
- 5. Қауіпсіздік кілттерін өзгертіңіз
- 6. "wp-config.php" жасыру
- 7. wp-config.php файлын қорғаңыз
WordPress сайтын wp-config файлымен қалай қорғауға болады?
1. Дерекқор префиксін өзгерту
Сіз WordPress дерекқор кестелерін көрдіңіз бе? (Оларға веб-хостинг тіркелгісі арқылы қол жеткізуге болады) Әдепкі бойынша дерекқорда он бір кесте бар. Әрбір кестенің белгілі бір қызметі бар. Мысалы, wp_posts жазбалардағы, беттердегі және шарлау мәзірлеріндегі ақпаратты сақтайды. Әрбір кестенің функциялары алдын ала анықталғандықтан, хакер сіздің веб-сайт деректеріңіздің қайда сақталатынын біледі. Мысалы, егер олар сіздің сайтыңыздың пайдаланушыларын пайдаланғысы келсе, олар "wp_users" кестесін бағыттай алады.
WordPress әдепкі бойынша барлық кестелер үшін «wp_» префиксін пайдаланады. Бұл префиксті бірегей етіп өзгерту кесте атауларын жасыруға және WordPress сайтыңызды қорғауға көмектеседі. Ол үшін «wp-config» файлын ашыңыз.
1-қадам: wp-config.php кіру үшін веб-хостинг тіркелгісін ашып, хостингтің басқару тақтасына өтіңіз. «Файл менеджерін» таңдаңыз, сонда сіз келесідей көрінетін бетке өтесіз:
2-қадам. Сол жағында public_html қалтасы бар. Бұл қалтада сіз wp-config.
wp-config файлында келесі жолды өзгертіңіз:
$table_prefix = ‘wp_’;
Сіз оны кездейсоқ нәрсеге өзгертуіңіз керек:
$table_prefix = ‘gibrid_’;
Бұл дерекқордағы кестелердің атауын "wp_users" -дан "hybrid_users", "wp_posts" - "hybrid_posts" және т.б. өзгертеді.
2. Тақырып/плагин файлдарын өңдеуді өшіріңіз
WordPress басқару тақтасында плагин/тақырып файлын өңдеу мүмкіндігі бар. Бұл құралдар тақтасына қол жеткізу және жеткілікті рұқсаттармен кез келген адам тақырыптарыңызды немесе плагиндеріңізді өңдей алатынын білдіреді.
Бұл ыңғайлы құрал болғанымен, кез келген плагинді қайта конфигурациялағыңыз келсе, ол хакердің қолында қауіпті болады. Мысалы, хакер сіздің веб-сайтыңызды эксплойтпен бұзып үлгерді делік. Оларға бар плагинге немесе тақырыпқа зиянды бағдарламаны қосу оңай. Олар кейінірек сайтыңызға кез келген уақытта кіру үшін пайдалана алатын бэкдорды жасыра алады. Осы файлдарды өңдеу мүмкіндігін өшіру арқылы мұны болдырмауға және WordPress сайтыңызды қорғауға болады. Келесі кодты WordPress конфигурация файлына қойыңыз:
define(‘DISALLOW_FILE_EDIT’,true);
3. Пайдаланушылардың плагиндер мен тақырыптарды орнатуына немесе жаңартуына жол бермеңіз
Пайдаланушылардың осы файлдарды өңдеуіне жол бермеу қауіпсіздіктің бір деңгейін ғана ұсынады. Бұл хакерлерге сайтыңызды ұрлау үшін пайдалана алатын зиянды плагинді орнатуға кедергі жасамайды. Пайдаланушы құқықтарымен бірге әкімші панеліне қол жеткізу арқылы олар жалған тақырыпты немесе плагинді орната алады. Плагиндерді жиі орнатпасаңыз, WordPress конфигурация файлына келесі кодты қосу арқылы бұл опцияны өшіруге болады:
define(‘DISALLOW_FILE_MODS’,true);
4. «FTP» мәжбүрлеп пайдалану
Пайдаланушыларға плагиндер мен тақырыптарды орнатуға және жаңартуға жол бермеу плагиндерді жиі орнататын сайттар үшін шектеулі және тіпті мүмкін емес болуы мүмкін. Сонымен қатар, тақырыптар мен плагиндерді жаңарту веб-сайт қауіпсіздігі үшін өте маңызды. Плагиндерді жарамды пайдаланушы орнатып жатқанына көз жеткізудің балама әдісі - пайдаланушыларды "FTP" деректерін беруге мәжбүрлеу. Әкімші тақтасы бұзылған болса да, FTP тіркелгі деректері болмаса, хакерлер жалған плагинді орната алмайды.
"wp-config.php" файлына келесі жолдарды ғана қосыңыз:
define(‘FS_METHOD’, ‘ftpext’);
Егер веб-хост немесе сервер FTPS қолдаса, конфигурация файлына келесі жолдарды қосыңыз:
define(‘FTP_SSL’, true);
Егер сіздің веб-хостыңыз немесе серверіңіз «SFTP» қолдаса, келесі жолдарды қосыңыз:
define(‘FS_METHOD’, ‘ssh2’);
5. Қауіпсіздік кілттерін өзгертіңіз
Сайтқа кіру қажет болған сайын тіркелгі деректерін енгізудің қажеті жоқ. Браузеріңіз бұл тіркелгі деректерін қалай сақтайтыны туралы ойландыңыз ба? Тіркелгіңізге кіргеннен кейін сіздің кіру ақпаратыңыз браузердің cookie файлында шифрланған түрде сақталады. Қауіпсіздік кілттері - бұл шифрлауды жақсартуға көмектесетін кездейсоқ айнымалылар. Егер сіздің сайтыңыз бұзылса, құпия кілттерді өзгерту cookie файлдарын жарамсыз етеді және әрбір белсенді пайдаланушыны жүйеден автоматты түрде шығуға мәжбүр етеді. Қалпына келтіргеннен кейін хакер сіздің WordPress әкімшіңізге кіру мүмкіндігін жоғалтады. Қауіпсіздік кілттерінің жаңа жинағын жасап, оларды "wp-config" файлына орналастыруға болады. Бұл сіздің WordPress сайтыңызды қорғауға көмектеседі.
6. "wp-config.php" жасыру
Кез келген WordPress сайтында wp-config файлының әдепкі орны бар. Сондықтан файлдың орнын өзгерту оның хакерлердің қолына түсуіне жол бермейді. Бақытымызға орай, WordPress «wp-config» қалтасына WordPress орнатуыңыздан тыс жерде тұруға мүмкіндік береді. Мысалы, WordPress public_html қалтасында орнатылған болса, конфигурация файлы әдепкі бойынша public_html қалтасында болады. Бірақ wp-config файлын public_html қалтасынан тыс жылжытуға болады және ол әлі де жұмыс істейді.
7. wp-config.php файлын қорғаңыз
Конфигурация шабуылға осал, сондықтан оны қорғауды міндетті етеді. Мұны істеудің бір жолы - хакерлер оны әдепкі жерде таба алмайтындай етіп оның орнын өзгерту. Кейбір әзірлеушілер бұған қарсы болғанымен, көптеген адамдар мұны жақсы идея деп санайды.
Қолдануға болатын тағы бір қауіпсіздік шарасы файл рұқсаттарын шектеу болып табылады. Тек бастапқы иелері wp-config өңдей алатындай файл рұқсаттарын 600 етіп орнатыңыз. wp-config файлының рұқсатын өзгерту үшін файлды таңдап, Рұқсат опциясын таңдаңыз.
Содан кейін хакерлердің wp-config файлын браузерден тікелей жүктеп алуына жол бермеу үшін .htaccess файлыңызға келесі жолдарды қосуыңыз керек.
# wpconfig.php қорғайды тапсырыс беруге рұқсат беру, барлығынан бас тарту
Қорытындылай келе
Бұл жерде мен WordPress сайтыңызды wp-config файлымен қалай қорғауға болатынын қарастырдым, бірақ бұл сіздің сайтыңыздың қауіпсіздігін арттырудың көптеген жолдарының бірі ғана. Қауіпсіздік қосылатын модулін пайдалану, SSL сертификатын пайдалану, бірегей және күшті пайдаланушы аты мен құпия сөзді пайдалану, HTTP аутентификациясын және екі факторлы аутентификацияны енгізу, т.б. қабылдауға болатын басқа қауіпсіздік шаралары. Бірақ осы әдістердің кез келгенін қолданбас бұрын сайттың сақтық көшірмесін жасау керек. Егер бірдеңе дұрыс болмаса, сақтық көшірмені қалпына келтіріп, сайтымызды жылдам іске қосуға болады.
Осы мақаланы оқу:
- Сайтаралық сценарийді қалай болдырмауға болады?
- WordPress Pharma Hack дегеніміз не және оны қалай тазартуға болады?
Оқығаныңыз үшін рахмет: SEO HELPER | NICOLA.TOP
