امنیت وردپرس: ویرایشگر پوسته و افزونه را غیرفعال کنید!

به طور پیش فرض هر شخصی که به مدیریت وردپرس لاگین کند بسته به نقشی(Role) که برای او تعیین شده است می تواند فایل های پوسته یا افزونه را به کمک ویرایشگر فایل تغییر دهد. هر چند به نظر می رسد این قابلیت مفید و کاربردی است اما می تواند مثل یک چاقوی دو لبه خطرناک باشد.

بسیاری از وب سایت ها با حملات brute force هک می شوند، در این نوع حمله مهاجم(بات نرم افزاری یا یک شخص بیکار) سعی می کند با آزمون و خطا نام کاربری و کلمه عبور ورود به وردپرس را پیدا کند، حال فرض کنید فرد مهاجم بتواند اطلاعات کاربری ادمین سایت را در اختیار بگیرد، یکی از کارهایی که می تواند انجام دهد افزودن کدهای مخرب به قالب سایت است، خودتان تصویرسازی ذهنی کنید که چه بلایی می تواند بر سر وب سایت تان بیاورد.

به همین دلیل پیشنهاد می کنیم برای تامین امنیت وردپرس امکان ویرایش فایل را غیرفعال کنید. برای انجام اینکار نیازی به نصب افزونه نیست فقط کافی است تکه کد زیر به فایل تنظیمات وردپرس یعنی wp-config.php اضافه کنید.

define( 'DISALLOW_FILE_EDIT', true );

 

پس از ذخیره تغییرات اگر به منوی افزونه(Plugins) و یا نمایش(Appearance) مراجعه کنید دیگر خبری از گزینه ویرایشگر(Editor) نخواهد بود.

متاسفانه این تنظیم به راحتی قابل دور زدن است، اگر مهاجم قصه ما با افزونه های وردپرسی آشنا باشد در اولین فرصت پلاگینی مانند WP Config File Editor را نصب می کند و در محیطی کاربرپسند کلیه تنظیمات wp-config را مشاهده کرده و تغییرات موردنیازش را اعمال می کند.

افزونه ویرایش wp-config.php

پس از نصب افزونه از طریق گزینه “Raw Editing” امکان ویرایش دستی فایل تنظیمات در اختیار هکر قرار خواهد گرفت، گزینه WPCF Editor هم کلی تنظیمات بصری دارد که دیگر به ویرایشگر دستی احتیاجی نیست!

ویرایش wp-config از مدیریت وردپرس

خوشبختانه برای هر مشکلی راه حلی وجود دارد، برای مقابله با موارد اینچنینی بهترین کاری که می توانید انجام دهید محافظت از wp-config.php است، پیشنهاد می کنیم این فایل را در وضعیت فقط خواندنی(Read Only) قرار داده و در مواقعی که لازم است آنرا به نوشتن(Write) تغییر دهید.

برای تغییر وضعیت فایل در صورتی که از نرم افزار FileZilla استفاده می کنید پس از برقراری ارتباط ftp بر روی فایل wp-config.php راست کلیک کرده و گزینه “…File Permissions” را انتخاب کنید، سپس در پنجره باز شده تیک گزینه “Read” را فعال نمائید.

مجوز دسترسی در filezilla

همچنین برای اعمال تغییرات در صورتی که از هاست cPanel استفاده می کنید کافی است که بر روی فایل موردنظر راست کلیک کرده و گزینه Change Permissions را انتخاب نمائید.

سطوح دسترسی به فایل cpanel

پس از تغییر وضعیت فایل، افزونه wp-config File Editor پیغام زیر را نشان می دهد و عملا نمی تواند فایل config را تغییر دهد.

wp-config فقط خواندنی

با توجه به اینکه wp-config یکی از مهمترین و حیاتی ترین فایل های وردپرس است پیشنهاد می کنیم به منظور تامین امنیت بیشتر خطوط زیر به فایل htaccess. اضافه کنید، در صورتی که با این فایل آشنایی ندارید مطلب چگونه از فایل htaccess. استفاده کنیم؟ را مطالعه فرمائید.

<files wp-config.php>
order allow,deny
deny from all
</files>

جمع بندی

امنیت یک وب سایت هیچگاه به صورت ۱۰۰ درصد قابل تضمین نیست، اما برای تامین امنیت آن راهکارهای متعددی وجود دارد، به عنوان مثال برای جلوگیری از حملات brute force می توانید از افزونه هایی مانند Wordfence یا Limit Login Attempts استفاده کنید، اما نصب اینگونه موارد هم تضمینی بر تامین امنیت نخواهد بود. به همین دلیل در کنار استفاده از پلاگین های امنیتی بهتر است برخی کارها را خودتان به صورت دستی انجام دهید، یکی از این موارد غیرفعال کردن قابلیت ویرایش فایل های پوسته و افزونه است.

نظرات و سوالات کاربران

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *