ደህንነት

WordPress wp-config.php ፋይል የጥሩ ደህንነት ማስተካከያዎች – የአማርኛ ድህረገፅ መርሃግብር

  • 14 ለማንበብ ደቂቃዎች
  • የHostragons ቡድን
WordPress wp-config.php ፋይል የጥሩ ደህንነት ማስተካከያዎች – የአማርኛ ድህረገፅ መርሃግብር

WordPress wp-config.php ፋይል የሚያሳለፉት የፍጥረታማ የደህንነት ማስተካከያዎች፤ የውስጥ ዳታበይስ ግብዣን ማስጠበቅ፣ የሴርኬት ቁልፎችን ማጠናከር፣ የፋይል አሰራርን ማግደም፣ የዲበግ ውጤትን በእርግጥ ማቆጣጠር፣ የSSL ተጠቃሚነትን ማስጠንጠን፣ እና የአስፈላጊ የዲዛይን መንገዶችን ማስገደብ የሚሸፍኑ አዋጅ ናቸው። በአጭሩ wp-config.php የWordPress ድህረገፅዎ የደህንነት መሰረት አካባቢዎች አንዱ ነው፤ በትክክለኛ ውቅር የተቀረጸ የአደጋ መድረሻን ይቀንስ፣ የማይፈቀደው ግብዣን የሚያቅናስ እና በሚከሰተው የደህንነት ክስተት ጊዜ አድናቂነቱን ይገደብ።

የWordPress መጫኛ የሆኑ አብዛኛው የድህረገፅ ባለቤቶች wp-config.php ፋይልን እንደ የዳታበይስ ስም፣ የተጠቃሚ ስም እና የይለፍ ቃል የሚገባበት ቴክኒካዊ ፋይል ይወዳድሩታል። ነገር ግን ይህ ፋይል በንቁ ድህረገፅ ላይ የደህንነት አዋጅ በጣም አስፈላጊ ክፍል ነው። በተለይም የኢ-ንግድ ድህረገፅዎች፣ የአባላት ስርዓት፣ የድርጅት ድህረገፅዎች እና ከፍተኛ ትራፊክ የሚያገኙ ብሎጎች ለትክክለኛ የተያያዘ wp-config.php ፋይል፤ ለቀላል bot ጥቃቶች፣ በፓኔል ላይ የፋይል ማዳበሪያ፣ የስህተት መልዕክት መፍለትና የሴርኬት ማውረድ ውጥን የሚቆጣጠር ጠንካራ የደህንነት ክፍል ያቀርባል።

በዚህ መርህ ላይ Hostragons blog ለWordPress wp-config.php ፋይል የሚተገበሩትን የፍጥረታማ የደህንነት ማስተካከያዎች ቀስ በቀስ እንሳብሳበዋለን። እያንዳንዱ ማስተካከያ ምን ያደርጋል፣ በምን ሁኔታ እንዲያገለግል እንመክራለን እና ከመተግበሪያ በፊት ምን ነገሮች እንደሚጠበቁ በቀላሉ ነገር ግን በቴክኒክ ትክክል እንለያዩታለን። ከዚህ በፊት የተረጋጋና የዘመናዊ የአስቀማቂ መስመር አያት የለዎትም ከሆነ፣ ከwp-config.php ጠንካራ ማሳሰቢያ ጋር የታመነ የWordPress hosting ምርጫ አስፈላጊ ነው። በዚህ አካባቢ WordPress የይዘት ጥቅሞች እና ደህንነታች የድረ-ገጽ መፍትህ ገጾች የሚገባቸው ምናልባት ይሆናሉ።

wp-config.php ፋይል ምንድነው እና ለደህንነት ለምን በጣም አስፈላጊ ነው?

wp-config.php በWordPress የስር ዋና ፋይል አድራሻ ውስጥ የሚገኝ እና የሳይት ዋና የስራ ፍላጎቶችን የሚያያዝ የውቅር ፋይል ነው። WordPress ከዚህ ፋይል በኩል ወደ የመረጃ ጎታ ይገናኛል፣ የደህንነት ቁልፎችን ይነበባል፣ የስህተት መቆጣጠሪያ ባህሪን ይወስናል፣ የፋይል ሲስተም ስራዎችን ይቆጣጠራል፣ እና በሌሎች የማሻሻያ ቋሚዎች ላይ ይሰራል። ስለዚህ የዚህ ፋይል ውስጥ ሚናው ከቀላል የቲማ ፋይሎች በላይ በጣም አስቸጋሪ ነው።

በዚህ ፋይል ብዙውን ጊዜ የሚገኙ አስፈላጊ መረጃዎች እነዚህ ናቸው:

  • የመረጃ ጎታ ስም፣ የተጠቃሚ ስም፣ የይለፍ ቃል እና የአገልጋይ መረጃ
  • Authentication Unique Keys እና Salts በተባሉ የክፍት ክፍል ደህንነት ቁልፎች
  • የመረጃ ጎታ ሰንጠረዥ ቅድመ ተይዞች
  • የDebug እና የlog ማውጣጫ ውቅር
  • የፋይል ማሻሻያ፣ የዘመናዊ ማሻሻያ፣ የSSL ባህሪን የሚቆጣጠሩ ቋሚዎች
  • የWordPress የማስታወሻ ውስጥ ውስጥ የመስክ ገደብ እና የቆሻሻ ፋይል አድራሻ የሚመሩ የስራ ቅንብሮች

አንድ ጥቃት አደራ የwp-config.php ውስጥ የሚገኙ መረጃዎችን ከደረሰ በኋላ የመረጃ ጎታ ግናኙን ማውጣት ይችላል። በዚህ ሁኔታ ብቻ የWordPress ፓኔል አይደለም፣ የመረጃ ጎታ ውስጥ ተጠቃሚ መለያዎች፣ የትዕዛዝ መዝገቦች፣ ፎርሞች፣ ይዘቶች እና የደንበኞች ልዩ መረጃዎች እንዲያደጉ የሚያደርጉ በደህንነት አደጋ ውስጥ ይገባሉ። ስለዚህ wp-config.php ፋይሉን መጠበቅ የWordPress ደህንነት ዋና መጀመሪያ አካል ነው።

መጀመሪያ ከመጀመርዎ በፊት፡ ቅድሚያ ቅጂ፣ ሙከራ እና የግብያ ዕቅድ

wp-config.php ፋይል ውስጥ አንድ ትንሽ የፅሁፍ ስህተት ስትደረግ የድር ጣቢያዎ ሙሉ በሙሉ አልባ እና በሰው ማያቀርበው ገጽ ሊታየው ይችላል፣ የመረጃ ቋት ግንኙነቱ ሊቆረጥ ይችላል፣ ወይም የአስተዳደር ፓነል መዳረሻ ሊከለከልበት ይችላል። ስለዚህ ማንኛውንም ለውጥ ከማድረግዎ በፊት በሶስት ደረጃ የተሠራ የደህንነት ዕቅድን ያተጉ።

1. ፍጹም ቅጂ ያውጡ

መጀመሪያ የፋይልና የመረጃ ቋት ቅጂ ያውጡ። በአንድ አንድ wp-config.php ፋይልን ብቻ ወደ ኮምፒዩተርዎ መውረድ በቂ አይደለም፤ ለውጥ የሚደረግ የመረጃ ቋት ግንኙነትን ሊጎዳ ስለሚችል የመረጃ ቋት ቅጂ አስፈላጊ ነው። በመቆጣጠሪያ ፓነልዎ የራስ ሰር ቅጂ አማራጭ ካለ የመጨረሻ ቅጂ ቀንን ያረጋግጡ። ያስፈለገ ጊዜ በእጅ ቅጂ ያውጡ። በዚህ ጉዳይ የድር ገፅ የተደጋጋሚ መመሪያ የተለያዩ መረጃዎችን ይጠቀሙ።

2. ለውጦቹን አንድ በአንድ ያተጉ

በአንድ ጊዜ 8 ወይም 10 የደህንነት ማሳያዎችን ማቅረብ ሳይሆን ለውጥ ከተደረገ በኋላ ድር ጣቢያዎን፣ የአስተዳደር ፓነልን እና አሳታሚ ፎርሞችን ያሞክሩ። ለምሳሌ መጀመሪያ የፋይል አስተዳደርን ዘግዩ፣ ከዚያ ስታየው ድር ጣቢያው ያረጋግጡ። ከዚያ የdebug አይነቱን ያዋቅሩ። ይህ ዘዴ ስህተት ሲኖረው የችግሩ ምንጭ የሆነው መስመር በፍጥነት እንድታገኙ ይረዳዎታል።

3. FTP ወይም የፋይል አስተዳደር ግብያ ያስተካክሉ

wp-config.php በስህተት ከተቀመጠ WordPress ፓነል ውስጥ ሊገቡ አይችሉም። ስለዚህ cPanel ፋይል አስተዳደር፣ SFTP ወይም የተሻሻለ የፋይል ማስተላለፊያ ግብያዎ እየሰራ መሆኑን ያረጋግጡ። SFTP አጠቃቀም FTP ከሆነ አሳደጋ ነው፣ ምክንያቱም ግንኙነቱ ይሰራ በሚሆን ሁኔታ ተመርጧል። ለደህንነት ግብያ SFTP ምንድነው እና እንዴት ተጠቃሚው ላይ ይታይ የሚባለው መረጃ ሊረዳዎት ይችላል።

wp-config.php የደህንነት ማቀናበሪያዎች አጠቃላይ እይታ

በታች ያለው ሰንጠረዥ በዚህ መምሪያ የተጠቀሱ ዋናና የተሻሻሉ የደህንነት ማቀናበሪያዎችን በቀላሉ ያጠቃልላል። በእውነተኛ ሳይት ላይ ከተግባር በፊት እያንዳንዱን መረጃ ከሳይትዎ ፍላጎት ጋር ያነጋግሩ።

wp-config.php የደህንነት ማቀናበሪያዎች አጠቃላይ እይታ
ማቀናበሪያ ዓላማ የሚወከለው ሁኔታ የአደጋ ደረጃ
የደህንነት ቁልፎችን አዳዲስ ማድረግ የክፍያ ስርዓት ማግለጫ አደጋን ለመቀነስ በመጫኛ ጊዜና ከተጨነቀ ግባት በኋላ ዝቅተኛ
DISALLOW_FILE_EDIT ከፓነል በቀጥታ ትማና አክል ማሻሻያን ለመዘጋት በሁሉም እውነተኛ ሳይቶች ዝቅተኛ
Debug ውጤትን መደበቅ የስህተት መልእክትና የመንገድ መረጃን ማደበቅ በሁሉም እውነተኛ ሳይቶች መካከለኛ
SSL ግዴታ የፓነል ትራፊክን ማስተዋል SSL ያለበት ሁሉም ሳይት ዝቅተኛ
የውሂብ ቋት ቅድመ ስምን መቀየር አውቶማቲክ SQL ጥቃቶችን አሳጣይ ማድረግ በአዲስ መጫኛዎች መካከለኛ
የፋይል ፈቃድን ማጠናከር ያልተፈቀደ መጻፍ እንዳይፈጸም ማድረግ በሁሉም ሳይቶች መካከለኛ
አውቶማቲክ አዳዲስ ማቀናበር የደህንነት ማሻሻያዎችን ፈጣን ማስገባት በትንሹ ቅድመ ስሪዎች ላይ ክፈት ዝቅተኛ

የደህንነት ቁልፎችን እና Salt እሴቶችን ያበረታቱ

WordPress ክፍት ክፍል ደህንነት AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY እና በ wp-config.php ውስጥ ያሉት ተመሳሳይ salt እሴቶች በኩል ይጠናከራል። እነዚህ ቁልፎች የተጠቃሚዎች ኩኪዎችን እና የክፍት ክፍል ማረጋገጫን የተሻለ ደህንነት ያደርጋሉ። ቁልፎቹ ደካማ፣ ነባሪ፣ ወይም ረዘም ያለ ጊዜ አልተቀየሩም ከሆነ ደህንነቱ ይቀነሳል።

የተመከረው ልምድ ከWordPress የተፈቀደ secret key generator በተጠቃሚ እና አዳዲስ ቁልፎች ማቅረብ ነው። እነዚህ ቁልፎች ብዙውን ጊዜ ከ64 ቁጥር በላይ ረዘም ያላቸው፣ አዳዲስ ምልክቶችን የያዙ እና በተግባር ማቅረብ የማይቻል እሴቶች ናቸው። አዳዲስ ቁልፎችን በ wp-config.php ውስጥ ካሉት መስመሮች በመቀየር ብቻ ይበቃል።

የዚህ ሂደት ውጤት ግልጽ ነው፡ ሁሉንም አካባቢ የተጠቃሚ ክፍት ክፍሎች ይቆማሉ እና ተጠቃሚዎች እንደገና መግባት ይያዛቸዋል። የአስተዳዳሪ መለያ በሚታሰብ መልኩ ተወስዷል ብለው ከሚገምቱ ፣ salt እሴቶችን ማደስ ፈጣን የአደጋ መንገድ ነው። በአቅም ልዩነት ስድስት ወራት አንድ ወይም ለደህንነት ችግር በሚገምቱ ጊዜ እነዚህ ቁልፎችን ማደስ የሚመከር ልምድ ነው።

ፓነል ላይ የፋይል አስተካክልን ዝግ

በWordPress አስተዳደር ፓነል ውስጥ በቴማና በኤክልንቲ ፋይሎች ላይ ማስተካከያ ማዕከል አለ። ይህ ባህሪ በልማት ሂደት ላይ ተግባራዊ ይመስላል ነገር ግን በቀጥታ ላይ የሚሄዱ ድህረገፆች ላይ ትልህ አደጋ ይፈጥራል። ሰበር መግቢያ ያግኘ ጥቃት አዳራሽ የፓነሉ ፋይል አስተካክል ተጠቃሚ በኩል ክፍተት ያስቀምጣል፣ እና የሚያደርጉት ክፍተቶች ስለዚህ አደጋ እንዲሁ የPHP ኮድ ማስገባት ይችላሉ።

wp-config.php ፋይል ውስጥ ዚህን ቅድመ ተወላጅ በመጨመር፣ የፓነል ፋይል አስተካክልን ማግደም ይችላሉ: define('DISALLOW_FILE_EDIT', true);

ይህ ምርጫ የWordPress ፓነል ውስጥ የቴማና ኤክልንቲ ፋይል አስተካክልን ያቋርጣል። በየቀኑ የሚታተፉ ብሎጎች፣ የድርጅት ድህረገፆችና WooCommerce ሱቅ ላይ እንደ የተለመደ አይነት አንደኛ ይሁን በማስተካከል እንዲቀይሩት እንመክታለን። የፋይል ለውጦች የሚያስፈልጉ ሲሆኑ፣ በSFTP, Git ወይም በደህንነት የተሞላ የትርፍ ሂደቶች ብቻ ይጠቀሙ።

ከዚህ በላይ የሚያመች ምርጫ የፋይል ማስገባትና ማዘመንንም የሚገድብ DISALLOW_FILE_MODS ቅድመ ተወላጅ ነው። ነገር ግን ይህ ምርጫ የኤክልንቲና የቴማ ማዘመንን ይከለክላል ስለዚህ በጥበቃ ቀን ውጪ ማንኛውም ለውጥ የማይፈለጉ በጣም የሚታገሱ ስርዓቶች ላይ ብቻ ይጠቀሙ።

የ ዲባግ ማስተካከያዎችን ለ ቀጣይ ስፔስ ያስተካክሉ

በ WordPress ዲሴንት አካባቢ WP_DEBUG የሚሰራ የማስተካከያ ቅጂውን መክፈት ጠቃሚ ነው፤ ስህተቶችን ታያለህ፣ በማይታዛዝ እቃዎች ችግኞችን ታገናለህ፣ የቴማ ጉዳዮችንም ትታወቃለህ። ነገር ግን በቀጣይ ስፔስ ላይ የሚታየው የስህተት መልእክት የአገልጋይ መንገድ፣ እቃ ስም፣ ፋይል አካባቢ፣ የውሂብ ጎታ ተግባራዊ አስተሳሰቦች፣ የ PHP ቅጂ እንዲሁም አደጋ በሚያስከትሉ መረጃዎች ሊኖሩት ይችላሉ።

በቀጣይ ስፔስ ላይ የታመነ አቋም ይህ ነው፡ ስህተቶችን ለጎብኚው አታሳይ፣ የሚያስፈልገውን በተለያዩ የሎግ ፋይሎች ውስጥ አካትተው ከተፈለገ ብቻ ያስቀምጡ። ለዚህ WP_DEBUG false መሆን አለበት፣ በዲሴንት ሂደት ላይ የሎግ መዝገበ ስህተት ከሚያስፈልግ WP_DEBUG_LOG true፣ WP_DEBUG_DISPLAY false ማድረግ ይገባል። ምሳሌ አቋም እንዲህ ነው፡ define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false);

ስህተት ምርመራ ማድረግ ከሚፈልጉ አገልግሎት ላይ አንድ የቆይታ የሎግ ፋይል ክፈት፣ ችግኙን ችሎ እንደገና ዝጉ። እንዲሁም የሎግ ፋይል ከሁሉም ሰው የሚዳሰስ አካባቢ ላይ እንዳይገኝ ያረጋግጡ። debug.log ፋይል አንዳንድ ጊዜ የሣይት ስር በቅርብ አካባቢ ሊታየው ይችላል፣ በትክክል ያልተሰናዳ አገልጋዮች ላይ ከታወቀ ውጭ ሊያነበብ ይችላል። እንደዚህ ያሉ አደጋዎችን ለመቀነስ ትክክለኛ የ hosting ማሰናዳ አስፈላጊ ነው። ወርድፕሬስ የስህተት መዝገቦች እንዴት ይወይዝ እና ደህንነታች የWordPress እንግዳ በዚህ ነገር ላይ በቀጣይ የሚመጡ ይዘቶች ናቸው።

SSL እና የአስተዳደር ፓነል ደህንነትን አሳሽ ያድርጉ

SSL ሰርቲፍኬት ተጠቃሚው ከሰርቨሩ ጋር ያለውን ትራፊክ ይደምቃል። WordPress ፓነል በየተጠቃሚ ስምና የይለፍ ቃል የሚገባ ስለሆነ፣ የአስተዳደር ትራፊክ በHTTPS ላይ እንዲከናወን አሳሽ መሆን ይገባል። በዚህ በተጨማሪ፣ ከተባበሩ አውታረ መረቦች፣ ከቤት ውጭ ወይም በሞባይል አገናኝ አስተዳደር ፓነል የሚያገኙ ቡድኖች ለዚህ ቅንብር ከፍተኛ ትኩረት ማድረግ ያስፈልጋቸዋል።

wp-config.php ውስጥ FORCE_SSL_ADMIN በሚባለው ቋሚ የአስተዳደር ፓነል በSSL እንዲሰራ ማድረግ ይቻላል፡ define('FORCE_SSL_ADMIN', true);

ይህ ቅንብር በትክክል እንዲሰራ በየድር ስምዎ ላይ ትክክለኛ SSL ሰርቲፍኬት መኖሩ አስፈላጊ ነው። SSL አልተጠቀሙም ከሆነ፣ መጀመሪያ ሰርቲፍኬቱን ያግኙ። SSL በደህንነት ብቻ ሳይደለ፣ ተጠቃሚዎች መተማመን እና SEO ለምርት የሚያስፈልገው መስፈርት ነው። Hostragons ላይ SSL አማራጮች ለማየት SSL ሰርቲፊካት ምርቶች ገጽ፣ የድር ስም አስተዳደር ለማየት ዶማይን መረጃ ጥያቄ እና ዶማይን ማስመዝገብ ገጽን ያመልከቱ።

ከSSL አሳሽነት በኋላ የዘላለም መላከያ ስህተት ከተፈጠረ፣ ብዙውን ጊዜ proxy, CDN ወይም load balancer ቅንብር ትክክል አይታወቅም። እንደዚህ ሲሆን፣ የሰርቨሩ ያሉ የHTTPS ራስጌዎችና የWordPress የስ፣ት አድራሻ ቅንብሮች መቆጣጠር ይገባል።

የመረጃ ቋት መረጃዎችንና የግቤት ሰንጠረዥ ቅድመ ቅጥ አሳሳች በተደላይ ያቆጣጠሩ

wp-config.php ላይ ያሉት DB_NAME, DB_USER, DB_PASSWORD እና DB_HOST ዋና እሴቶች WordPress ን ከመረጃ ቋት ጋር ያያያዥ ያደርጋል። እነዚህ መረጃዎች ጠንካራና እውነተኛ የሆኑ የደህንነት ምስክሮች አስፈላጊ ናቸው። ተደጋጋሚ የሚደረገው ትንሽ ግዴታ ከሚያስፈልጉት በላይ ለመረጃ ቋት ተጠቃሚ የፍቃድ መስጠት ነው።

ለነባሪ WordPress ስፔስ የመረጃ ቋት ተጠቃሚው የሚያስፈልገውን ፍቃድ ብቻ ያግኛል ተብሎ ይመከራል። እንደ SELECT, INSERT, UPDATE, DELETE, CREATE, ALTER, እና INDEX ያሉ ፍቃዶች ብቻ በብዙ ጊዜ በቂ ናቸው። በሰርመር አስተዳደር ደረጃ በሁሉም መረጃ ቋቶች ላይ የፍቃድ አሰፋፋት ያለውን ተጠቃሚ በWordPress ስፔስ ላይ መጠቀም አደገኛ ነው።

በግቤት ሰንጠረዥ ቅድመ ቅጥ ላይ ትክክለኛ አቅራቢያ

WordPress የተወሰነ የግቤት ሰንጠረዥ ቅድመ ቅጥ wp_ ነው። በአዲስ አሰጣጥ ቅድመ ቅጥን በተለያዩና በዝምተኛ ዋናዎች በማድረግ አስቸኳይ የጥቃት መሳሪያዎችን ለመቆም ይረዳል። ለምሳሌ wp_ ይፈቀድ በሚል ስፔስ ይህንን hr7x_ ያሉ አጭር ነገር የሚታወቀው ቅድመ ቅጥ ይምረጡ። ነገር ግን በአሁኑ ስፔስ ላይ ቅድመ ቅጥን መቀየር wp-config.php ውስጥ table_prefix ዋናውን ብቻ ማቀየር በቂ አይደለም፤ በመረጃ ቋት ውስጥ የሰንጠረዥ ስሞችና usermeta መዝገቦች ደግሞ ይሻሻሉ።

ስለዚህ በአሁኑ ነባሪ ስፔስ ላይ ቅድመ ቅጥን ለመቀየር ከመጀመርዎ በፊት ሙሉ backup ይወስዱ፣ እንዲቻል staging አካባቢ ላይ ይሞክሩ፣ ከዚያም ወደ ነባሪ ይያዙ። በአዲስ አሰጣጥ ደግሞ ከመጀመር በፊት በልዩ ቅድመ ቅጥ ማድረግ የተደላይ ነው፣ ደህንነቱም ይበልጣል።

wp-config.php ፋይልን ከመነሻ አድራሻው ውጭ ማንቀሳቀስ አማራጭ

WordPress በአንዳንድ ሰርቨር ውቅር ላይ wp-config.php ፋይልን ከመነሻ አድራሻው አንደኛ ደረጃ ላይም ማንበብ ይችላል። ለምሳሌ WordPress ፋይሎች public_html ውስጥ ካሉ፣ wp-config.php ፋይል public_html ውጭ ወደ ከፍተኛ ደረጃ ማንቀሳቀስ ይቻላል። ይህ ዘዴ በድህረ መረብ ቀጥታ መድረሻ አደጋን ይቀንሳል።

ነገር ግን ይህ በሁሉም hosting አካባቢ በአንደኛ መንገድ ሊሰራ አይችልም። በተካፋይ hosting ውስጥ የአድራሻ ፍቃድ፣ የመቆጣጠሪያ ፓነል ስነስርዓት ወይም የደህንነት ፖሊሲዎች ምክንያት ፋይሉን ወደ ከፍተኛ አድራሻ ማንቀሳቀስ ሊስተናገድ ይችላል። እንዲሁም የማስተናገድ ሰዎች የፋይሉን ቦታ ማወቅ ያስፈልጋል፤ በሌላ ሁኔታ በኋላ የስህተት መታየት ሂደት ይቆየዋል።

ይህን ዘዴ ከመተግበርዎ በፊት የhosting አቅራቢዎ የፋይል መዋቅር ያረጋግጡ። በየዚያው የተቆጣጠሩ WordPress hosting ከሚጠቀሙ ከሆነ ከድጋፍ ቡድኑ የሚያስፈልገውን የፋይል መዋቅር ይጠይቁ። Hostragons መስመር ላይ ለትክክለኛ አድራሻና ፍቃድ አስተዳደር የእንግዳ እንቅስቃሴ ማስተካከያ መመሪያ ይረዳዎታል።

ፋይል ፍቃድና የመስራት እውነታዎችን ይጠንክቡ

wp-config.php ደህንነት በውስጡ ያሉ ቋሚዎች ብቻ ሳይሆን፣ ፋይሉ በኦፕሬቲንግ ሲስተም ላይ ያለው ፍቃድ ያስፈልጋል። የተለመዱ ምክርዎች ፋይሉ ለሁሉም ማስተካከል አይቻልም የሚሉ ናቸው። በአብዛኛው Linux የተመሰረቱ ቤተሰቦች ላይ፣ ፋይል ፍቃድ እንደ 400፣ 440 ወይም 600 በተጨማሪ ተጠናከሩ ይችላሉ። የሚሰራው ዋጋ የሰርተር ተጠቃሚና PHP የሚሰራበት አብራሪ ላይ የተመሰረተ ነው።

በተለምዶ የሚደረገው፣ ፋይሉ ከመስመሩ አይበሳ በሚችል ብዙም ዝቅተኛ ፍቃድ ላይ ይቆያል። የ777 ያሉ ለሁሉም ማስተካከል የሚፈቅዱ ቅንብሮች በፍጹም አይጠቀሙም። 644 በአንዳንድ አብራሪዎች መደበኛ ነው፣ ነገር ግን በጥንቃቄ የተሰሩ አብራሪዎች ላይ 600 ወይም 440 ይመረጣል። ከቅንብር በኋላ የሳይት መክፈቻ፣ የመምሪያ ፐደል እና የአክሊንት ዝርዝር ይታወቅ አለበት።

በተጨማሪም wp-config.php ፋይሉን በድህረ ገጽ ሰርተር ላይ ማግኘትን መከላከል አስፈላጊ ነው። በዘመናዊ Hosting መዋቅሮች፣ PHP ፋይሎች ቀጥታ አይታዩም፤ ነገር ግን በትክክል የማይዘጋጁ ሰርተሮች ላይ አደጋ ሊፈጠር ይችላል። ስለዚህ የታመነ Hosting መዋቅር የፋይል ፍቃድ በመሆኑ በጣም አስፈላጊ ነው።

የአውቶማቲክ አዘልኦችን በደህንነት ትኩረት ያስተናግዱ

WordPress ኮር፣ እቃዎችና ቴማዎች በየወቅቱ የደህንነት አዘልኦችን ይቀበላሉ። wp-config.php በኩል የአውቶማቲክ አዘልኦች ባህሪን በጥቂት መጠን ማስተካከል ይቻላል። ከደህንነት አገዳደግ አንፃፃፅ ትናንሽ ቅርጸ ትራንሲሽን አዘልኦች በአውቶማቲክ መፈጸም በደኅንነት ተመከር የሚደረግ ነው። ምክንያቱም እነዚህ አዘልኦች በዋናነት የደህንነትና የእቃ ስህተት ማስተካከል ያላቸው ናቸው።

ለምሳሌ፣ WordPress ኮር ውስጥ ትናንሽ አዘልኦችን ክፈት በመቆየት ፍጆታ ያለው የታወቀ ደህንነት እድል ይቀንሳል። ነገር ግን ትልቅ ቅርጸ ትራንሲሽን መቀየር ለቴማና እቃ ተስማሚነት መሙከራ ይፈልጋል። ስለዚህ ለኩባያ ድር ጣቢያዎች በጤና የሚሰራው ዘዴ፣ የአውቶማቲክ ደህንነት ያማዎችን ክፈት በመቆየት፣ ትልቅ አዘልኦችን በstaging አካባቢ ካረጋገጡ በኋላ በሕይወት ላይ ማድረግ ነው።

በአዘልኦች ዘዴ ሶስት ዋና ህጎች ትችላለህ፦ በመጀመሪያ backup አድርግ፣ በኋላ test አድርግ፣ በመጨረሻ live ላይ አካትት። ይህ ቀላል ተከታታይ በደህንነትና በቀጣይነት መካከል ትክክለኛ ሚዛን ያሰናካል።

PHP ታሪክ ገደብን እና ምንጭ አጠቃቀምን በቅድሚያ ቁጥጥር ያድርጉ

wp-config.php ፋይል ውስጥ WP_MEMORY_LIMIT እና WP_MAX_MEMORY_LIMIT የሚባሉ እሴቶች WordPress ሊጠቀምበት የሚችለው ታሪክ መጠንን ይግለጹ። እነዚህ ማስተካከያዎች በቅድሚያ የደህንነት መቼት አይመስሉም፣ ነገር ግን በምንጭ አጠቃቀም ጥቃቶች፣ በተሳሳተ ማስተካከያዎች እና በአድሚን ብዙ እርምጃዎች በጣም አስፈላጊ ናቸው።

ለምሳሌ፣ ለትንሽ ብሎግ 128M ብዙውን ጊዜ ይበቃል፣ ነገር ግን WooCommerce መደብሮች ወይም በብዙ ቋንቋ የተሰሩ ጣቢያዎች 256M ሊያስፈልግ ይችላል። ነገር ግን ታሪክ ገደቡን በማያስፈልግ ሁኔታ ከፍ ማድረግ ተሳሳተ ማስተካከያ ብዙ ምንጭ አጠቃቀም እና የአገልጋይ አፈፃፀም መቀነስ ሊያስከትል ይችላል። ትክክለኛው ዋጋ የጣቢያው ትራፊክ፣ የማስተካከያዎች ብዛት እና የhosting ፓኬት ምንጮች በአንድነት አስተዋውቅ ይደረግ አለበት።

በተደጋጋሚ ታሪክ ስህተት ከሚታገሱ መቼት ገደቡን ማስጨመር ብቻ ሳይሆን የችግሩን ምንጭ ይፈልጉ። ከባድ ማስተካከያዎች፣ ያልታወቀ አጥናት ፍለጋዎች፣ አሮጌ PHP ስሪት ወይም ያልበቃ hosting ፓኬት ምክንያት ሊሆኑ ይችላሉ። አፈፃፀምና ደህንነት በአንድነት ይታዩ። በዚህ ጉዳይ WordPress ውጤት ኦፕቲማይዜሽን እና ከፍተኛ ውጤት ይዘት ጥቅሞች ይዘቶች በተፈጥሮ የውስጥ ግንኙነት ዕድል ይሰጣሉ።

የጊዜያዊ ፋይል አቀማችና የመስቀል ባህሪዎችን በደህና ይጠብቁ

በአንዳንድ hosting አካባቢዎች WordPress ጊዜያዊ ፋይሎች በሲስተም አቀማች በሚሰጡ ቦታዎች ይያዙ። ይህ አንዳንድ ጊዜ የተለመደ ነው፤ ነገር ግን በትክክል ያልተደረጉ ፋይል ፍቃድና ቦታዎች የደህንነት ሪስክ ሊያመጡ ይችላሉ። በwp-config.php WP_TEMP_DIR በመተካት WordPress ጊዜያዊ ፋይሎች የሚያገኙበት ቦታ ሊወሰን ይችላል።

ይህን ዘዴ ሲጠቀሙ፣ ቦታው ለpublic መዳረሻ ዘገው ያለው፣ የመጻፍ ፍቃድ በተቆጣጠረ ሁኔታ ላይ የሚገኝና በዚያ ሳይት የተጠቃሚው ብቻ የሚያደርስበት መሆንን ያረጋግጡ። በተለይ በፋይል መስቀል፣ የሚዲያ አያያዝ እና በተጨማሪ እቃ አዳዲስ ሲደርስ ጊዜ ጊዜያዊ ቦታዎች በብዙ ሁኔታ ይጠቀማሉ። በትክክል ያልተያዘ ጊዜያዊ አቀማች የመስቀል ስህተቶችን ወይም የፋይል ፍልሰት ሪስክን ሊያስከትል ይችላል።

ክሪስ ቦታና በርካታ ሳይት ደህንነት

WordPress በርካታ ሳይት በንዑስ ድር ስም ወይም በንዑስ ዳይሬክቶሪ አይነት የሚሰራ ፕሮጀክቶች ውስጥ ክሪስ ቦታና ሳይት URL እሴቶች በጣም ትክክለኛ እንዲሆኑ ይጠበቃሉ። የተሳሳተ ክሪስ ቦታ መግለጫ ስለሚያደርግ ኦትዩም በስር ድር ስሞች ውስጥ የማይጠበቅ እንዲሆን ወይም የግባ ዞር እንዲፈጠር ይችላል። ከደህንነት አንፃፃፃ ለእያንዳንዱ ሳይት አይነት ክሪስ ቦታ በሚካስ አካባቢ ብቻ ይገደብ ይገባል።

ለምሳሌ admin.example.com, shop.example.com እና blog.example.com ያሉ አይነቶች ውስጥ ክሪስ ቦታ በሁሉም ንዑስ ድር ስሞች ይሰራ ይችላል ወይም በተወሰነ ድር ስም ብቻ ይሆን ይችላል በተወካዩ ማስታወቂያ ይወሰናል። ከሚያስፈልጉ የላይ ክሪስ ቦታ የሚያስፋፋ አይነት በንዑስ ድር ስም የሚኖሩ የደህንነት ችግሮች ሌሎች አካባቢዎች ላይ የኦትዩም መግለጫን ያሳድጋል።

ብዙ ሳይት እየተጠቀሙ ከሆነ wp-config.php ውስጥ ያሉ multisite ማስቀመጫዎችን፣ domain mapping ማዋቀሪያዎችን እና SSL የማዋቀሪያዎችን በአንድነት ይመልከቱ። በዚህ አይነት ፕሮጀክቶች ውስጥ የድር ስምና SSL የማስተካከል ዕቅድ ምንም እንኳን አስፈላጊ ነው። ብዙ ዳርክ አስተዳደር እና ዋይድካርድ የSSL የማረጋገጫ መዋቅር ተያያዥ ሊሆኑ ይችላሉ።

wp-config.php ለማድረግ የሚስተካከል የደህንነት ዝርዝር

ከታች ያለውን ዝርዝር በዚህ WordPress ስፔስዎ ዘወትር ማረም ይችላሉ። አዳዲስ ተጨማሪዎች ሲጭኑ፣ ቤተሰብ ሲቀየር፣ ሰርቨር ሲያዝዙ እና የተግባራዊ ግባት ሙከራዎች ሲታዩ ይህን ዝርዝር ማመልከት የተሻለ ባህሪ ነው።

  • wp-config.php ፋይል በደህንነት ቦታ የተቀመጠ ቅጂ አለው?
  • የደህንነት ቁልፎችና salt እሴቶች በልዩ እና በየተለያዩ ናቸው?
  • DISALLOW_FILE_EDIT ተነሳባቸው?
  • WP_DEBUG በተዘጋባ ወይም በደህንነት log ሞድ ነው?
  • የአስተዳደር ፓነል በHTTPS በግድ ይከፈታል?
  • የውስጥ ዳታቤዝ ተጠቃሚው አልቅም ፈቃዶች የለውም?
  • የታቦል ቅድሚያ ከwp_ አንፃፃፅ አዲስ እንቅስቃሴዎች ላይ ተቀይሯል?
  • የፋይል ፍቃድ 777 ያሉ አደጋ እሴቶች አይደለም?
  • ራሱ ለራሱ የደህንነት የቅርብ እድሳት በቁጥጥር ይከፈታል?
  • በHostragons ማህደር መያዣ የSFTP፣ ምስክርነት እና SSL ትክክለኛ ተዘጋጅተዋል?

ብዙውን ጊዜ የሚፈጸሙ ስህተቶች እና የመድገሻ መንገዶች

wp-config.php ላይ በተደጋጋሚ የሚታየው ስህተት፣ ከኢንተርኔት የተገኘውን የኮድ ክፍል ምን ይሰራል የማውቀው አሳት መጨመር ነው። እያንዳንዱ WordPress ሳይት አንደኛ አሳይነት ሰርቨር፣ ቲማ፣ መታየት፣ ትራፊክ አያስተናግድም። ስለዚህ በአንድ ሳይት በችግር የሚሰራው ማስተካከያ፣ በሌላ ሳይት የኦቲሩም ችግር ወይም የአዘምን ስህተት ሊያስከትል ይችላል።

ሁለተኛው የሚታየው ስህተት፣ በሕይወት ላይ ባለው ሳይት debug ውጤትን ክፍት ትቶ መዉል ነው። ይህ የተጠቃሚ ልምድን ያጣምራልና ቴክኒክ መረጃ ሊወጣ ይችላል። ሶስተኛ ስህተት፣ wp-config.php የተገናኙትን ቅድሚያ በweb root ላይ wp-config-backup.php፣ wp-config-old.php እንደ ስም አትቀር። ይህ ፋይሎች በስህተት የሚታወቀው በserver ቅኝት በቀጥታ የታሰረ ጽሁፍ እንደ ሚያወርዱ ይችላሉ። ቅድሚያዎች በweb የማይደርስበት ቦታ ይቆይ።

አራተኛ ስህተት፣ የፋይል ፍቃድን ችግር ለመፍታት 777 ማድረግና ከዚያ ወደ አስተዋውቅ ቦታ አላውሉም። በአጭር ጊዜ ችግርን እንደሚያስተካክል ይታያል፣ ነገር ግን ከደኅንነት አቅጣጫ አደገኛ ነው። አምስተኛ ስህተት፣ SSL አልተጫነ በፊት FORCE_SSL_ADMIN አንቀሳቅስ፤ ይህ የማስተዳደር ፓነል ግንኙነት ችግር ሊያስከትል ይችላል።

የአርማው WordPress የደህንነት አካባቢን እንዴት ማቋቋም ይቻላል?

wp-config.php መደከም አስፈላጊ እርምጃ ቢሆንም በብቻው አጠቃላይ ደህንነት አያስገኝም። የፕሮፌሽናል ደህንነት አቅጣጫ በብዙ ደረጃ ይሰራ አለበት። የተሻሻለ የHostragons ማስተናገድ አይልዎም, የቅርብ የPHP ቅድመ ትክክለኛ ስሪት, የድህነት ድር መቆጣጠሪያ (WAF), ታመነ የSSL ማስተናገድ, የተደጋጋሚ ቅንብር, የአስተዳዳሪ መለያዎች መጠን መግለጫ, ሁለት ደረጃ መረጃ ማረጋገጫ, እና የlog ቅንብር በአንድ አቅጣጫ አይታዩ አለበት።

ለምሳሌ አደገኛ ሰው የመተግበሪያ ጉድለትን ለመጠቀም ሲሞክር WAF አካባቢ መጠየቂያውን ይያዛል። የተጠቃሚ የይለፍ ቃል ከተያዘ ሁለት ደረጃ ማረጋገጫ ይከላከላል። ፋይል ቅደም ቢቀየር ቅንብር በፍጥነት ይመለሳል። wp-config.php በዚህ ሰንሰለት ውስጥ በጣም አስፈላጊ የቅንብር እና የግዴታ ነጥብ ነው።

WordPress ሳይትዎን አዲስ ሲጀምሩ ከመጀመሪያው በደህንነት ላይ ያተኩሩ፡ ጠንካራ የድር ስም እና SSL እቅድ ያከናውኑ፣ ደህንነታዊ የማስተናገድ አገልግሎት ይምረጡ፣ የግምት የታቦል ቅድመ ትክክለኛውን ይቀይሩ፣ salt ቁልፎችን በተለየ ሁኔታ ይፍጠሩ፣ የፓኔል ፋይል አስተካካይ ይዘጋጁ፣ የተደጋጋሚ ቅንብር ያነቃቃሉ። እነዚህ መሰረታዊ እርምጃዎች በፊት ሊፈጠሩ የሚችሉ ብዙ ችግኞችን አስቀድሞ ይከላከላሉ።

ውሳኔ: ትንሽ ቅንብሮች በግልጽ ጥራት የሚያነሱ ደህንነት ተፅእኖ

WordPress wp-config.php ፋይል ላይ የሚቀርበው የሰራተኛ ደህንነት አዋጅ የተገባ እና ውጤታማ የሆኑ መድረኮችን ለመጠቀም ይፈቅዳሉ። እንደ ሳልት ቁልፎችን ማደስ፣ ፋይል አርከትን ማግደል፣ የዲበግ ውጤትን ማሰለጠን፣ SSL እንዲጠበቅ ማድረግ፣ የዳታቤዝ ፍቃዶችን ማቆለ፣ የፋይል ፍቃዶችን ማጥለቅ፤ ይህን ሁሉ በWordPress ሳይት ውስጥ ለበለጠ ውጤት የሚያመጡ አስፈላጊ እርምጃዎች ናቸው።

እነዚህን ቅንብሮች ሲተግቡ ቅልቅል አይደሉ፤ ቅድመ ቅጂ ይውሰዱ፣ ሁሉንም ቅንብር በአንድ ቅደም ቅል ይቀይሩ፣ እያንዳንዱ እርምጃ ይመርምሩ። ደህንነቱ የተረጋገጠ ማዋቀርና የአዳዲስ ኮምፒዩተር የሆስቲንግ መሠረት እና የተደጋጋሚ ጥገና በተያያዘ ሲያስተዳድሩ WordPress ሳይትዎ በጣም የተዘጋጀ ይሆናል። የተረጋገጠና የሚቆይ መሠረት አስታየት ከፈለጉ Hostragons የወርድፕሬስ ሆስቲንግ, SSL የማስረጃ ይዘት, ዶማይን ማስመዝገብ መፍትሄዎችን በጥሞአት ይመርምሩ፣ ለይቻዎ አገልግሎት መጀመሪያ ነጥብ ይምረጡ።

ብዙ ጊዜ የሚጠየቁ ጥያቄዎች

wp-config.php ፋይልን ማስተካከል ደህና ነው?

አዎ፣ በትክክል ቅደም በማድረግና ለውጦቹን በአስቸኳይ በመተግበር ደህና ነው። ነገር ግን አንድ ማንኛውም የጽሑፍ ስህተት የሳይት መዳረሻን ሊጎዳ ይችላል። ስለዚህ አንዳንዴ ፋይልንና የመረጃ ግኝቱን ቅደም ይውሰዱ፣ ከዚያም ቅንነቱን አንድ በአንድ በመሙያ ያስተካክሉ።

wp-config.php ፋይል ውስጥ ያሉት salt ቁልፎችን ካስቀየርሁ ምን ይደርሳል?

ሁሉም እየተጠቀሙ ያሉ የተጠቃሚ ውስጥ የተግባር ትዕዛዞች ይወጡ እና ተጠቃሚዎች እንደገና መግባት ይፈልጋሉ። ይህ ተግባር ውስጥ ያሉ መረጃዎችን አያጠፋም፣ የመረጃ ግኝቱንም አያበሳም። በተለይ ለአሳሳቢ መግቢያ፣ የአስተዳዳሪ መለያ አደጋ ወይም የደህንነት ግድያ በኋላ የሚመከር ፈጣን መንገድ ነው።

በቀጥታ WordPress ሳይት WP_DEBUG ክፍት እንደሆነ ይቅር?

አይደለም። በቀጥታ ሳይት WP_DEBUG ክፍት ከተቀመጠ የስህተት መልእክቶች ለተጎታዎች ቴክኒካዊ መረጃ ሊያወጡ ይችላሉ። የሚያስተዳድሩ መንገድ ስህተቶችን በመመልከት ላይ እንዳይታዩ ማድረግና በአትክትክት፣ ጊዜያዊ ፍላጎቶች ላይ በተቆጣጣሪ log በመጠቀም ነው።

DISALLOW_FILE_EDIT የእቃ እና የመርበኛ ማደሻዎችን ይቋረጣል?

አይደለም፣ DISALLOW_FILE_EDIT ማንኛውም በአስተዳዳሪ ፓነል ውስጥ ያለውን የፋይል አስተካካይ ብቻ ይዘጋል። የእቃና የመርበኛ ማደሻዎች በቀደም ያለው እንደተለመደው ይቀጥላሉ። ማደሻዎችን በሙሉ ለመዘጋት ሌላ የተገደበ ቅንነት ይፈልጋል።

wp-config.php የፋይል ፍቃድ ምን ሊሆን ይገባዋል?

በሰርቨር አውታረ መረብ ቅንነት መሠረት ይለዋዋጣል፣ ነገር ግን ዓላማው ፋይሉን በሚሰራበት በትንሹ ፍቃድ ማቆየት ነው። 777 በአንድ ሁኔታም አይጠቀምም። ብዙ አካባቢዎች 600፣ 440 ወይም 644 ይሰራሉ፤ ከመቀየር በኋላ ሳይትና ፓነል ያሟሟሉ።

ይህንን ጽሑፍ አጋራ፡

የHostragons ቡድን

ስለ ማስተናገጃ፣ ሰርቨሮች እና የጎራ ስሞች ከባለሙያ ቡድናችን የተውጣጡ ወቅታዊ መመሪያዎች። ለፕሮጀክትዎ ትክክለኛውን መፍትሄ አብረን እናግኝ።

እኛን ያግኙን