Затвърдете защитата на WordPress, като преместите wp-config.php в непублична папка

В случай, че още не сте се запознали, нека ви запозная с вашите wp-config.php файл. Ако стартирате самостоятелно хостван WordPress.org блог, вашето wp-config.php съдържа вашето потребителско име на MySQL база данни, вашата парола за база данни MySQL, вашите ключове за удостоверяване на WordPress и друга чувствителна информация. С тази информация дете на хакер или скрипт получава достъп до всяко парче съдържание във вашия блог на WordPress, като им дава безплатно възнаграждение за изтриване на вашите публикации, вмъкване на злонамерен код, обратна връзка към незаконни порно сайтове или каквото друго искат.

По подразбиране, wp-config.php седи в същата папка като вашия блог за WordPress. Така че, ако началната страница на вашия блог е в mysite.com/blog, то и вашият wp-config.php. Това не е толкова безразсъдно, колкото изглежда, тъй като .php файловете са скриптове от страна на сървъра които се обработват от сървъра. Когато гледате .php файл, всъщност гледате изхода на файла. Същото важи и при преглед на източника. Единственият начин да изтеглите суровия код на .php файл е чрез FTP.

Но това, че обикновено не можете да получите достъп до .php файл, не означава, че винаги сте в безопасност ...

Случват се инциденти и съществуват уязвимости. Ако PHP конфигурацията на вашия уеб сървър се разпадне, вашите MIME типове не са настроени правилно или уеб сървърът ви е неправилно конфигуриран, вашата уеб страница може да се покаже обикновен текст вместо обработен PHP изход; това са само няколко примера. И също като да бъдете уволнен по време на пилинг в гимназиалната зала, отнема само една секунда и преди да успеете да си върнете кецовете, те са видели всичко. Да, те са го виждали всички.

В тази groovyPost ще ви покажа как да се запазитевашият wp-config.php с вашите потребителски имена и пароли в базата данни MySQL (r). Въпреки че нито един уебсайт или блог не може да бъде хакерски, този бърз съвет ще направи хакването на вашия WordPress блог по-трудно за потенциалните натрапници, отколкото сайт, който не е взел тези предпазни мерки. Обикновено само да сте по-сигурни от съседа си е достатъчно, за да възпирате усилията на евентуален хакер към сайт, различен от вашия собствен. Не забравяйте, че ако някога сте в гората с група хора и мечка се покаже - не е нужно да бягате по-бързо от мечката, само по-бързо от другите хора. (и всички се шегуват настрана, Bear mace е най-добрият ви залог, ако някога наистина сте в тази ситуация)

Преместване на вашия wp-config.php файл

С правилните разрешения за файлове и правилноконфигуриран уеб сървър, поддържането на вашия wp-config.php файл в същата публична папка като останалата част от вашия блог трябва да бъде напълно добре. Но що се отнася до защитата на уебсайта ви, сигурността е лук (или Огре явно); колкото повече слоеве, толкова повече от него имате.

WordPress Codex потвърждава това чувство ипрепоръчва да преместите wp-config.php от неговото място за инсталиране по подразбиране. Самостоятелно хостваните блогове на WordPress.org ви позволяват да преместите wp-config.php нагоре на едно ниво от корена на вашия блог. Това е всичко добре и добре, но за повечето уеб сървъри това е едно ниво нагоре от корена на блога ви все още папка public_html. Най-добре е да го поставите в папка, която не е поддиректория на вашата папка public_html или WWW. По този начин шансовете някой да го достигне чрез уеб браузър или което и да е друго HTTP приложение на практика са нулеви.

Ето какво правите:

Етап 1

Достъп до вашия сайт WordPress.org чрез FTP програма и отворете корен.

Стъпка 2

Изтеглете wp-config.php на вашия твърд диск.

Стъпка 3

Преименувайте го на нещо различно от wp-config.php.

Направете го нещо безсмислено, така че някой, който се спъне в него (може би някой, който е хакнал в споделения ви сървър чрез SSH) може да не го разпознае за това, което е. Така че, вместо да го наричате „извън площадката-WordPress-config.php " наречете го „futurama-fan-fic.php. "

Стъпка 4

Качете преименувания си wp-config.php файл в папка над вашата папка public_html или www. Лично аз създадох цяла директория за конфигурационни файлове извън сайта. Но вероятно е по-безопасно да ги поставите някъде по-случайни.

Най-важното е да го сложите извън твой WWW или папка public_html.

Стъпка 5

Отворете бележника или другия си любим редактор на PHP.

Създайте нов файл wp-config.php, който съдържа само следния код:

<? PHP
включват ( "/ Начало / ЮЕсАр / хобита / Futurama-фен-fic.php ');
?>

Заменете директорията тук с местоположението на сървъра на вашия преименуван файл wp-config.php. Обърнете внимание, че това не е URL адрес, а път към местоположението на вашия сървър. И така, правейки го:

включва (‘www.yourdomain.com/location/futurama-fan-fic.php’);

няма да работи.

Както вероятно сте се събрали, това, което ще направите, е по същество да създадете „пряк път“Към вашия действителен файл wp-config.php. Така че, ако някой не хакне вашия wp-config.php файл във вашата WordPress директория, всичко, което ще намери, е файл, сочещ към друг файл.

За забавление може да искате да добавите коментар, който гласи:

// Благодаря ти Марио! Но нашата принцеса е в друг замък!

Стъпка 6

Качете новия си wp-config.php файл във вашия WordPress root. Презапишете стария (първо сте го подкрепили, нали?).

Wordpress.org Сигурност - Преместване на Wp-Config.php

Стъпка 7

Това е! Отворете корена на блога си WordPress.org, за да се уверите, че той работи.

Ако получите грешка, която гласи:

Внимание: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: неуспешно отваряне на поток: Няма такъв файл или директория в/home/usr/public_html/blog.com/wp-config.php онлайн 2

Фатална грешка: Обадете се на неопределена функция wp () в /wp-blog-header.php онлайн 14

Тогава това означава, че сте въвели в сървъраместоположението е грешно във вашия модифициран файл wp-config.php. Ако имате проблеми с определянето на абсолютния път на вашия блог, създайте .php файл със следния код в него:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Това ще ви покаже абсолютния път за каквато и директория да е файла и също така ще освети как да се придвижите над папката public_html.

Ако получите съобщение за грешка, което гласи:

Изглежда, че няма wp-config.php файл. Имам нужда от това, преди да можем да започнем. Нуждаете се от повече помощ? Схванахме го. Можете да създадете wp-config.php файл през уеб интерфейс, но това не работи за всички настройки на сървъра. Най-сигурният начин е ръчно да създадете файла.

Тогава това означава, че няма wp-config.php файл във вашия WordPress.org root. Проверете двукратно, че сте качили променения wp-config.php в своя WordPress.org root или папката точно над него и преименувания wp-config.php файл на друго място, а не обратното.

заключение

Ще преместите вашия wp-config.php направи вашия блог устойчив? Със сигурност не. Но това е само една от стъпките, които можете да предприемете, за да направите уебсайта или блога си по-сигурни. И за мен ми помага да спя по-добре през нощта - също като да поставя допълнителна верига или колан на вратата.

Забележка: Преди да започнете да преглеждате файловата си структура, уверете се, че архивирате нещата и се чувствате удобно с това, което правите. Бихте могли сериозно да объркате вашия блог за WordPress, ако изтриете грешно нещо. Били сте предупредени