wp-config.php fayli WordPress saytining yuragi hisoblanadi. Bu faylda ma'lumotlar bazasiga ulanish ma'lumotlari, autentifikatsiya kalitlari va boshqa kritik konfiguratsiyalar saqlanadi. Agar buzg'unchi bu faylni qo'lga kiritsa, butun sayt va ma'lumotlar bazasi ustidan to'liq nazoratga ega bo'ladi. Shuning uchun wp-config.php himoyasi WordPress xavfsizligining markaziy elementi hisoblanadi. Sayt.uz mijozlari WordPress'ni o'rnatganda bu fayl avtomatik ravishda himoyalangan tarzda sozlanadi.
wp-config.php nima saqlaydi
Bu fayl WordPress ishlashi uchun zarur bo'lgan kritik ma'lumotlarni o'z ichiga oladi. DB_NAME, DB_USER, DB_PASSWORD, DB_HOST โ ma'lumotlar bazasiga ulanish parametrlari. AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY va boshqa secret keys โ cookie va sessiyalarni shifrlash uchun. $table_prefix โ ma'lumotlar bazasi jadval prefiksi. WP_DEBUG va boshqa konfiguratsiyalar. Bu ma'lumotlarning har biri buzg'unchi uchun juda qimmatli, chunki ular birgalikda saytni to'liq nazorat qilish imkonini beradi.
.htaccess orqali to'g'ridan-to'g'ri kirishni bloklash
Birinchi himoya qatlami โ bu faylga brauzer orqali to'g'ridan-to'g'ri kirishni bloklash. WordPress papkasidagi .htaccess fayliga quyidagi qoidalarni qo'shing:
<files wp-config.php>
order allow,deny
deny from all
</files>
Bu qoida wp-config.php fayliga HTTP so'rovlarini butunlay rad etadi. Endi hech kim brauzerga site.uz/wp-config.php yozib bu faylni o'qiy olmaydi. Bu qoidalar Nginx serverlari uchun ham mavjud โ server konfiguratsiyasida location blokida deny all qoidasini qo'shish mumkin.
Fayl ruxsatlarini 600 yoki 400 qilish
wp-config.php fayli uchun standart 644 ruxsati yetarli emas. Bu fayl uchun 600 (faqat egasiga o'qish va yozish) yoki yanada qattiqroq 400 (faqat egasiga o'qish) ruxsati o'rnatilishi tavsiya etiladi. SSH orqali buni quyidagi buyruq bilan amalga oshirish mumkin: chmod 600 wp-config.php. Bunday cheklov boshqa hosting foydalanuvchilari yoki zararli scriptlar tomonidan bu fayl o'qilishining oldini oladi. WordPress fayl ishlash uchun bunday qattiq ruxsatlarda ham normal ishlaydi.
Faylni papkadan yuqoriga ko'chirish
WordPress'ning yana bir foydali xususiyati โ wp-config.php fayli web-root papkadan tashqarida bo'lishi mumkin. Standart joylashuv /home/user/public_html/wp-config.php bo'lsa, uni /home/user/wp-config.php ga ko'chirish mumkin. Bu holatda fayl umuman brauzer orqali kirib bo'lmaydigan joyda bo'ladi. WordPress avtomatik ravishda papkadan yuqoridagi wp-config.php faylini topadi. Bu juda kuchli himoya usuli, lekin barcha hosting muhitlarida ishlamaydi โ Sayt.uz hostingida bu to'liq qo'llab-quvvatlanadi.
WordPress secret keys yangilash
wp-config.php fayldagi AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY, AUTH_SALT, SECURE_AUTH_SALT, LOGGED_IN_SALT, NONCE_SALT โ bu kalitlar WordPress cookie'larini va sessiyalarini shifrlash uchun ishlatiladi. Agar sizning saytingiz hech qachon bu kalitlarni o'zgartirmagan bo'lsa yoki ular default qiymatlarda qolgan bo'lsa, jiddiy xavf bor. api.wordpress.org/secret-key/1.1/salt/ saytidan yangi tasodifiy kalitlarni olib, ularni faylga ko'chiring. Buni vaqti-vaqti bilan (yiliga bir marta) yangilab turish tavsiya etiladi.
Sayt.uz amaliyot
Sayt.uz hostingida WordPress avtomatik o'rnatish jarayonida wp-config.php himoyasi to'liq sozlanadi. Fayl ruxsati 600 ga o'rnatiladi, .htaccess bloklash qoidalari qo'shiladi va kuchli random secret keys yaratiladi. Mijoz kabinetida "WordPress xavfsizligi" bo'limidan bu sozlamalarning holatini ko'rish va kerak bo'lsa qayta sozlash mumkin. Bizning xavfsizlik tizimi muntazam ravishda wp-config.php faylining holatini tekshirib turadi va agar sozlamalar buzilgan bo'lsa, mijozni xabardor qiladi.
DB_USER uchun cheklangan huquqlar
wp-config.php himoyasi bilan birga, undagi ma'lumotlar bazasi foydalanuvchisining huquqlarini ham cheklash kerak. WordPress uchun ma'lumotlar bazasi foydalanuvchisi SELECT, INSERT, UPDATE, DELETE va CREATE TABLE huquqlariga ega bo'lishi yetarli. GRANT, DROP DATABASE, SUPER kabi xavfli huquqlarni berish shart emas. Agar buzg'unchi wp-config.php ni o'qisa va paroldan foydalansa ham, cheklangan huquqlar tufayli faqat shu saytning jadvallari bilan ishlay oladi, boshqa bazalarni o'qiy olmaydi.