موضوع دیگری که برای افزایش امنیت سایت مهم است، بستن توابع خطرناک PHP است. این آموزش برای هاست دایرکت ادمین است. با بررسی راه کار های پیشگیری از هک شدن سایت به این نتیجه می رسیم که برخی تغییرات باید در هاست برای افزایش امنیت وردپرس انجام شود. در مقاله افزایش امنیت هاست بخش هایی از این مورد را آموزش داده ایم و امروز نیز بخش دیگری را که با عنوان بستن توابع خطرناک PHP در دایرکت ادمین است.
سایت کانفیگ وردپرس، ارائه دهنده خدمات پاکسازی سایت هک شده در تلاش است تا تمام روش هایی که باعث افزایش امنیت سایت کاربران می شود را معرفی نماید. باما در ادامه همراه باشید.
آنچه در این مقاله می خوانید :
آموزش بستن توابع خطرناک PHP در دایرکت ادمین
برای هک کردن سیستم های مدیریت محتوایی که از زبان برنامه نویسی PHP استفاده کرده اند، توابعی وجود دارد که ما در این پست آموزش بستن توابع خطرناک PHP در هاست دایرکت ادمین را مورد بررسی قرار داده ایم. باید توابع مهم و خطرناک php را بست تا حداقل از این روش امکان هک سایت وجود نداشته باشد.
نکته: بسیاری از توابع php برای عملکرد صحیح وردپرس نباید در لیست disable_functions قرار بگیرد و مسدود شود. با بررسی اسناد وردپرس به توابع مهم و مورد نیاز وردپرس دسترسی پیدا کنید.
در لیست disable_functions تنها توابعی باید قرار بگیرد و به معنای دیگر مسدود شود که به واسطه آنها امکان هک و نفوذ به سایت ها فراهم می شود. در این مقاله بصورت کامل بستن توابع خطرناک PHP در دایرکت ادمین را آموزش داده ایم.
روش دسترسی به فایل کانفیگ PHP در SSH
برای بستن توابع خطرناک php باید به SSH وارد شد. در صورتی که روش وارد شدن به SSH در هاست دایرکت ادمین را نمی دانید، همین متن را در گوگل کپی کرده و از نتایج آن مطلع شوید. بعد از وارد شدن به SSH باید دستور php -i | grep php.ini به منظور پیدا کردن مسیر فایل php.ini وارد نمایید.
به جهت اینکه محتوای فایل کانفیگ PHP را که در فایل php.ini قرار دارد، روش بالا انجام می شود.
برای ویرایش این فایل در صورت تمایل از دستور زیر استفاده نمایید:
nano /usr/local/php74/lib/php.ini
توجه داشته باشید که احتمالاً مسیر فایل php.ini سرور شما با مسیر ذکر شده در بالا، یکسان نباشد. شما باید مسیر بدست آمده برای سرورتان را با مقدار nano /usr/local/php74/lib/php.ini جایگزین نمایید.
yum install nano
در صورتی که در مراحل نصب از شما سوالی پرسیده شد با عبارت y به آن پاسخ تایید بدهید.
ویرایش فایل php.ini و مشاهده لیست disable_functions
در بالا عرض شد که برای مشاهده محتوای فایل php.ini با دستور nano /usr/local/php74/lib/php.ini می توانید این کار را انجام دهید. در نظر داشته باشید که برای مسدود کردن توابع خطرناک php، باید لیست توابع مدنظر را جهت مسدود سازی در مقابل عبارت disable_functions در فایل php.ini قرار دهید.
برای جستجو بین کدهای موجود، کافیست که فقط کلید ترکیبی ctrl+w را فشار داده و عبارت disable_functions را وارد و کلید Enter را بزنید. پس از اینکار با تصویر زیر روبرو می شوید.
این تغییرات را زمانی انجام دهید که لیست اختصاصی برای توابع خطرناک در اختیار دارید، در غیر این صورت بهتر است تغییرات خود را در این بخش به حالت قبل برگردانده و هیچگونه دستکاری در این بخش بسیار مهم انجام ندهید.
پیشنهاد برای بستن توابع خطرناک PHP
با وارد کردن دستورات زیر، به ترتیب در کنترل پنل هاست دایرکت ادمین، تنظیمات امنیتی لازم بر روی php فعال در سرور شما اعمال می گردد.
cd /usr/local/directadmin/custombuild ./build update ./build secure_php
دقت داشته باشید که هر کدام از خط های بالا باید به ترتیب و جداگانه وارد شود.
- با دستور اول به مسیر کانفیگ و تنظیمات هدایت می شوید.
- دستور دوم فایل کافیگ بروز از منابع دایرکت ادمین بر روی سرور ذخیره می شود.
- دستور سوم، عملیات امن سازی php اجرا و تکمیل می شود.
قابل توجه کاربرانی که تازگی دایرکت ادمین را نصب کرده اید: توابع اشاره شده بصورت خودکار بر روی فایل php.ini برای disable_functions تنظیم شده است و شما پس از وارد کردن دستور آخر یعنی ./build secure_php با پیغام PHP has been secured روبرو می شوید. این پیغام به معنی این است که php شما امن است و این تنظیمات قبلاً انجام شده است.
معمولاً روش پیشنهادی در زمانی که ورژن جدیدی از PHP ارائه می شود لازم است که انجام شود.
نکته آخر بستن توابع خطرناک PHP
همیشه همه کارها از سمت سرور نیست و یا شاید شما از اصطلاحات بکار برده شده بالا حتی اطلاع نداشته باشید. روش های افزایش امنیت وردپرس خلاصه در این چندکار نیست و بصورت کامل ما در مقاله ای با عنوان معرفی کاملترین روشهای بالا بردن امنیت وردپرس مهم ترین نکات را بیان کرده ایم.
2 دیدگاه. ارسال دیدگاه جدید
با سلام
من مجبورم تابع shell_exec در سرور فعال کنم که جز توابع خطرناک است
چه طور می توانم در کنار این کار امنیت سایتم را بالا ببرم؟
سلام وقت شما بخیر جناب محمد.
با رعایت نکات امنیتی که در کاملترین روشهای بالا بردن امنیت وردپرس است، این تابع را در سرور خود باز کنید.
بهتر است در صورت تمایل از خدمات تخصصی افزایش امنیت وردپرس استفاده نمایید تا در این خدمات موارد لازم امنیتی برای شما لحاظ شود تا سایت شما به هیچ شکل قابل هک نباشد.
با تشکر.