سلام? امیدم و دوباره اومدم تا ی نکته دیگه رو بهتون بگم
اول از همه باید بهتون بگم که باید وردپرس و افزونه ها و حتی تم هایی که استفاده میکنید رو به روز نگه دارید. چون مدام داره باگ ها و راه های نفوذی توشون پیدا میشه و توسعه دهنده ها هم به سرعت در حال رفع اونا هستن. پس نکته ای که همیشه باید رعایت کرد و انجامش داد اینه که همیشه همه چی رو بروز نگه داریم.
شخصی که مدت ها پیش براش وب سایتی را راه اندازی کرده بودم با من تماس گرفت تا ببینه چه اتفاقی برای وب سایت شون افتاده که من از سایت بازدید کردم و بلافاصله متوجه شدم که وردپرس آنها هک شده. اونا شدیدا شکه شدن چون گفتن تنظیمات امنیتی اونا مانند مجوزهای دایرکتوری و فایل روی سرورشان فقط خواندنیه.
اینکه شما بیاین و فایل های هاست یا سرورتون رو به صورتی تنظیم کنید که فقط دسترسی خواندن داشته باشن می تونه برای ایمن نگه داشتن سایت شما مفید باشه، اما مانع از اون میشه که بتونید هسته وردپرس و افزونه های و قالب هایی که استفاده کردین رو به راحتی آپدیت کنید و من این را به عنوان یک مشکل بزرگتر از مجوزهای دایرکتوری و فایل می بینم.
خب بالاتر دیدین که مشتری مورد نظر اومده بود و دسترسی فقط خواندن رو به وردپرسش داده بود با این تصور که چون نمیشه فایل هارو تغییر یا ویرایش کردن پس حتما نمیشه هکش هم کرد اما این تصور اشتباهه چون ممکنه بعد از مدتی چون نسخه خودتون رو آپدیت نکردین، ی مشکلی امنیتی توش پیدا بشه و به وسیله همون مورد حمله و هک قرار بگیره.
مشکل دسترسی خواندن به وردپرس
خب حالا سوالی که پیش میاد اینه که پس من چطوری هم دسترسی فقط خواندن رو به فایل هام بدم و از طرفی بتونم خیلی راحت تر آپدیتم رو انجام بدم؟
سوال خوبیه ولی قبلش باید اول ببینیم که اگه ما دسترسی فقط خواندن رو به فایل ها بدیم چه مشکلی به وجود میاد.
وقتی که ما دسترسی فقط خواندنی رو به وردپرسمون بدیم اونوقت زمانی که ما بخوایم یک بروزرسانی رو داخل وردپرسمون انجام بدیم به مشکل میخوریم. چون وردپرس نیاز داره که یکسری از فایل هارو ایجاد کنه، یکسری رو ویرایش و شاید یکسری رو لازم داشته باشه که حذف کنه و چون این دسترسی هارو نداره، از ما درخواست اطلاعات حساب ftp رو میخواد تا با استفاده از اون این کارو انجام بده، یعنی بیاد و با استفاده از اکانت ftp فایل هارو مدیریت کنه چون خودش فقط دسترسی خواندن رو داره.
مگه مشکل اکانت ftp چیه؟
خب شاید باز ی سوال پیش بیاد که خب مگه مشکلش چیه که وردپرس بیاد و از ما اطلاعات اکانت ftp رو بخواد؟
درجواب باید گفت که هیچ اشکالی نداره ولی شاید به دلایلی که در زیر میگم شما نتونید اکانت ftp رو در اختیار وردپرس بذارین:
۱. حالشو نداشته باشید
شاید شما در اون زمان که میخوان آپدیت کنید و به یکباره با پیغام اطلاعات حساب ftp مواجه میشین، حالش رو نداشته باشین که بیاین و برای ی آپدیت ساده که میتونه با ی کلیک انجام بده این همه چیز وارد کنید.
۲. اصلا اکانت ftp نداشته باشید
خب اتفاق دیگه ای که میتونه بیوفته اینه که ممکنه اصلا شما در اون لحظه اکانت ftp نداشته باشید و ایجاد اونم براتون زمان بر باشه.
۳. دسترسی ساخت اکانت نداشته باشید
ممکنه شما از شرکتی سرور یا هاستتون رو خریده باشید که به شما دسترسی ftp رو ندادن و شما اصن نمیتونید از این سرویس استفاده کنید.
۴. دوست نداشته باشید
بلاخره اگر شما اکانت هم داشته باشید و اطلاعاتش رو هم بدونید، باز شاید دلتون نخواد که اون اطلاعات توی وردپرستون هم وجود داشته باشه و ممکنه با حمله بعدی، به جز اینکه اطلاعات وردپرس رو از دست میدین ممکنه اطلاعات اکانت ftp رو هم از دست بدین و این ممکنه در بعضی مواقع براتون خیلی گرون تموم بشه.
پس اگه جزو یکی از اون ۴ دسته بالا باشید، دلتون میخواد که از اکانت ftp استفاده نکنید و به سادگی عملیات های بروزرسانی رو انجام بدین. پس با من همراه باشید تا با ی خط کد مشکلتون رو حل کنم. (بله درست خوندی، ی خط کد)
چاره کار چیه؟
به به به. رسیدیم به حل مشکل. خب برای حل این مشکل ما چندتا راه داریم ?
من ی اشاره به همشون میکنم ولی آخریه از همه راحت تره و مثل آب خوردن کارت راه میوفته.
روش اول: ثبت جزئیات اکانت ftp در wp-config
توی این روش شما میرید و اطلاعات اکانت ftp رو داخل بخش مشخصی که توی فایل wp-config وجود داره، وارد میکنی و دیگه ازت اطلاعات درخواست نمیشه.
نکته: به نظر من که اصلا حرکت جالبی نیست چون دوباره که به سایت حمله بشه خب اطلاعات ftp رو هم سرقت میکنن دیگه پس بیخیال این روش
روش دوم: تغییر دسترسی پوشه wp-content
به ۷۷۲
ی حرکت دیگه ای که میشه زد هم اینه که برین و دسترسی پوشه wp-content رو از ۶۴۴ یا ۷۵۵ پیشفرض به ۷۷۲ تغییر بدین.
نکته: خب چیزی که توی این روش هم مشخصه اینه که ممکنه کسی دانش کافی برای تغییر این دسترسی هارو نداشته باشه و نتونه این کارو انجام بده پس اگه حرفه ای نیستین این روشم بیخیال بریم سراغ آخرین روش
روش سوم: اضافه کردن ثابت FS_METHOD به wp-config (پیشنهادی)
ببین این دیگه هلووو. خیییلی سادس. شما تنها کاری که قراره انجام بدین اینه که فایل wp-config.php رو در مسیر اصلی (root) وردپرستون پیداش کنید و بازش کنید بعد یک خط کد زیر رو به آخر آخرش اضافه کنید و ذخیره کنید و تامام?
define('FS_METHOD','direct');
این حرکت شما همه فایل هاتون دسترسی فقط خواندن رو دارد در صورتی که به سادگی میتونید روی وردپرستون عملیات نصب و حذف و بروزرسانی هر چیزی رو انجام بدین.
امیدوارم این مقاله هم واستون مفید بوده باشه و حالشو برده باشید. اگه حال کردین باهاش لایک و کامنت فراموش نشه و اگه دیدی ممکنه برای دوستان مفید باشه حتما واسشون بفرست?❤️
منبع: seowerkz