تصلب الأمن وورد من خلال نقل wp-config.php إلى مجلد غير عام

في حال لم تكن قد تعرفت بعد ، اسمح لي بتقديمك إلى wp-config.php ملف. إذا قمت بتشغيل WordPress مستضافة ذاتيًا.org blog ، يحتوي wp-config.php على اسم مستخدم قاعدة بيانات MySQL وكلمة مرور قاعدة بيانات MySQL ومفاتيح مصادقة WordPress وغيرها من المعلومات الحساسة. باستخدام هذه المعلومات ، يحصل المتسلل أو البرنامج النصي على حق الوصول إلى كل جزء من المحتوى على مدونة WordPress ، مما يمنحهم حرية حذف مشاركاتك ، أو إدراج رمز ضار ، أو رابط خلفي لمواقع إباحية غير قانونية ، أو أي شيء آخر يريدونه.

افتراضيا ، الفسفور الابيض التكوين.يجلس php في نفس المجلد مثل مدونة WordPress الخاصة بك. لذلك ، إذا كانت الصفحة الرئيسية لمدونتك على mysite.com/blog ، فستكون كذلك على wp-config.php. هذا ليس متهورًا كما يبدو منذ ملفات .php البرامج النصية من جانب الخادم التي تتم معالجتها بواسطة الخادم. عندما تنظر إلى ملف .php ، فأنت تنظر فعليًا إلى إخراج الملف. الشيء نفسه ينطبق عند عرض المصدر. الطريقة الوحيدة لتنزيل الكود الخام لملف .php هي عبر FTP.

ولكن فقط لأنك لا تستطيع الوصول إلى ملف .php عادة لا يعني أنك دائمًا آمن ...

الحوادث تحدث ، ونقاط الضعف موجودة. إذا تعطل تكوين PHP لخادم الويب الخاص بك ، لم يتم إعداد أنواع MIME الخاصة بك بشكل صحيح ، أو تم تكوين خادم الويب الخاص بك بطريقة أخرى ، فقد تنتهي صفحة الويب الخاصة بك بتقديم نص عادي بدلاً من إخراج PHP المعالج ؛ هذا مجرد أمثلة قليلة. وتمامًا كما لو كنت مرتبكًا أثناء تجمع حاشد في قاعة المدرسة الثانوية ، فإن الأمر لا يستغرق سوى ثانية واحدة وقبل أن تتمكن من استعادة كلائك مرة أخرى رأوا كل شيء. نعم ، لقد رأوا كل شيء.

في هذا groovyPost ، سأريك كيفية الاحتفاظ بهاwp-config.php الخاص بك مع قاعدة بيانات MySQL أسماء المستخدمين وكلمات المرور آمنة (ص). على الرغم من أنه لا يمكن اختراق موقع ويب أو مدونة بنسبة 100٪ ، فإن هذه النصيحة السريعة ستجعل اختراق مدونة WordPress الخاصة بك أكثر صعوبة بالنسبة للمتطفلين المحتملين مقارنة بالموقع الذي لم يتخذ هذه الاحتياطات. عادةً ما تكون مجرد كونك أكثر أمانًا من جارك كافية لردع جهود متسلل محتمل إلى موقع آخر غير موقعك. تذكر أنه إذا كنت في الغابة مع مجموعة من الأشخاص وتظهر دبًا ، فلن تضطر إلى الجري أسرع من الدب ، بل أسرع من الآخرين. (وكل المزاح جانبا ، دب صولجان هو أفضل رهان إذا كنت حقا في هذه الحالة)

نقل ملف wp-config.php الخاص بك

مع أذونات الملف الصحيح وبشكل صحيحخادم الويب المكوّن ، والحفاظ على ملف wp-config.php في نفس المجلد العمومي مثل بقية مدونتك يجب أن يكون جيدًا تمامًا. ولكن عندما يتعلق الأمر بحماية موقع الويب الخاص بك ، فإن الأمن هو بصل (أو الغول على ما يبدو) ؛ لمزيد من الطبقات ، وأكثر من ذلك حصلت عليه.

ووردبرس] الدستور يؤكد هذا الشعور وتوصي بنقل wp-config.php الخاص بك عن موقع التثبيت الافتراضي الخاص به. تسمح لك مدونات WordPress.org ذاتية الاستضافة بنقل wp-config.php الخاص بك لأعلى من مستوى جذر مدونتك. كل هذا جيد وجيد ، ولكن بالنسبة لمعظم خوادم الويب ، هناك مستوى واحد أعلى من جذر مدونتك ما يزال مجلد public_html. من الأفضل وضعه في مجلد ليس دليلًا فرعيًا لمجلد public_html أو WWW. بهذه الطريقة ، تكون فرص وصول شخص ما عبر متصفح ويب أو أي تطبيق HTTP آخر لا شيء تقريبًا.

إليك ما تفعله:

الخطوة 1

قم بالوصول إلى موقع WordPress.org الخاص بك عبر برنامج FTP وانتقل إلى الجذر.

الخطوة 2

قم بتنزيل wp-config.php على القرص الصلب الخاص بك.

الخطوه 3

تسميته إلى شيء آخر غير wp-config.php.

اجعله شيئًا لا معنى له ، لذا تعثر عليه (ربما شخص اخترق خادمك المشترك عبر SSH) قد لا تتعرف على ما هو عليه. لذلك ، بدلاً من تسميتها "خارج الموقع، وورد-config.php ل" نسميها "futurama-fan-fic.php".

الخطوة 4

قم بتحميل wp-config الخاص بك.ملف php إلى مجلد أعلى public_html أو مجلد www. شخصيا ، قمت بإنشاء دليل كامل لملفات التكوين خارج الموقع. لكن من المحتمل أن يكون وضعهم أكثر عشوائية في مكان ما.

الشيء الأكثر أهمية هو وضعه في الخارج من الخاص بك شبكة الاتصالات العالمية أو مجلد public_html.

وضع wp-config.php خارج شبكة الاتصالات العالمية

الخطوة 5

فتح المفكرة أو غيرها من محرر PHP المفضلة لديك.

قم بإنشاء ملف wp-config.php جديد يحتوي على الكود التالي فقط:

<؟ PHP
تشمل ( '/ الوطن / البيرة / هوايات / فوتثرما-مروحة fic.php')؛
؟>

استبدل الدليل هنا بموقع الخادم الخاص بملف wp-config.php الذي تمت إعادة تسميته. لاحظ أن هذا ليس عنوان URL ، إنه مسار يتعلق بموقع الخادم الخاص بك. لذلك ، مما يجعلها:

تشمل ("www.yourdomain.com/location/futurama-fan-fic.php") ؛

لن يعمل.

بما أنك ربما تكون قد اجتمعت ، فإن ما سيفعله هذا هو إنشاء "الاختصار"إلى ملف wp-config.php الفعلي. لذلك ، إذا قام شخص ما باختراق ملف wp-config.php في دليل WordPress ، فكل ما سيجده هو ملف يشير إلى ملف آخر.

للمتعة ، قد ترغب في إضافة تعليق ما يلي:

// شكرا ماريو! لكن اميرتنا قي قلعة أخرى!

الخطوة 6

قم بتحميل ملف wp-config.php الجديد إلى جذر WordPress الخاص بك. الكتابة القديمةقمت بنسخها أولاً ، أليس كذلك؟).

الخطوة 7

هذا هو! انتقل إلى جذر مدونة WordPress.org لضمان نجاحها.

إذا حصلت على خطأ يقرأ:

تحذير: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: فشل في فتح الدفق: لا يوجد ملف أو دليل في/home/usr/public_html/blog.com/wp-config.php عبر الانترنت 2

خطأ فادح: دعوة إلى وظيفة غير محددة wp () في /wp-blog-header.php عبر الانترنت 14

ثم فهذا يعني أنك كتبت في الخادمالموقع غير صحيح في ملف wp-config.php الذي تم تعديله. إذا كنت تواجه مشكلة في تحديد المسار المطلق لمدونتك ، فقم بإنشاء ملف .php مع الكود التالي فيه:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

سيوضح لك هذا المسار المطلق لأي دليل موجود بالملف وسيُضيء أيضًا كيفية التحرك أعلى مجلد public_html.

إذا تلقيت رسالة خطأ تقرأ:

لا يبدو أن هناك wp-config.php ملف. أحتاج هذا قبل أن نبدأ. هل تريد المزيد من المساعدة؟ حصلنا عليه. يمكنك إنشاء wp-config.php الملف من خلال واجهة ويب ، ولكن هذا لا يعمل مع جميع إعدادات الخادم. الطريقة الأكثر أمانًا هي إنشاء الملف يدويًا.

ثم يعني أنه لا يوجد wp-config.ملف php في جذر WordPress.org. تحقق مرة أخرى من أنك قمت بتحميل wp-config.php المعدّل على جذر WordPress.org أو المجلد الموجود فوقه وملف wp-config.php المعاد تسميته إلى موقع آخر ، بدلاً من العكس.

خاتمة

سوف تتحرك بك الفسفور الابيض.فب جعل بلوق الخاص بك الرصاص؟ بالتاكيد لا. لكنها مجرد خطوة واحدة من الخطوات التي يمكنك اتخاذها لجعل موقع الويب الخاص بك أو المدونة أكثر أمانًا. بالنسبة لي ، يساعدني ذلك على النوم بشكل أفضل في الليل - تمامًا مثل وضع سلسلة إضافية أو فتلة على الباب.

ملحوظة: قبل أن تتهاوى حول بنية ملفك ، تأكد من عمل نسخة احتياطية من الأمور وتشعر بالراحة فيما تفعله. هل يمكن أن تصل إلى مدونتك ووردبريس على محمل الجد إذا حذفت الشيء الخطأ. لقد تم تحذيرك.