Zabezpečte zabezpečení WordPress přesunutím souboru wp-config.php do neveřejné složky
Pokud jste ještě nebyli seznámeni, dovolte mi, abych vás představil wp-config.php soubor. Pokud provozujete WordPress s vlastním hostitelem.org blog, váš wp-config.php obsahuje vaše uživatelské jméno pro databázi MySQL, vaše heslo k databázi MySQL, autentizační klíče WordPress a další citlivé informace. Díky těmto informacím získá hacker nebo dítě ve skriptu přístup ke všem částem obsahu na svém blogu WordPress, což jim umožňuje bezplatnou podporu při mazání vašich příspěvků, vkládání škodlivého kódu, zpětný odkaz na nelegální porno stránky nebo cokoli jiného, co chtějí.
Ve výchozím nastavení wp-config.php sedí ve stejné složce jako váš blog WordPress. Pokud je tedy domovská stránka vašeho blogu na adrese mysite.com/blog, platí to také pro váš wp-config.php. To není tak bezohledné, jak se zdá, protože soubory .php jsou skripty na straně serveru které jsou zpracovány serverem. Když se díváte na soubor .php, vlastně se díváte na výstup souboru. Totéž platí pro zobrazení zdroje. Jediným způsobem, jak stáhnout nezpracovaný kód souboru .php, je přes FTP.
Ale to, že normálně nemáte přístup k souboru .php, neznamená, že jste vždy v bezpečí ...
K nehodám dochází a existují zranitelnosti. Pokud dojde ke zhroucení konfigurace PHP vašeho webového serveru, typy MIME nejsou správně nastaveny nebo je váš webový server jinak nesprávně nakonfigurován, vaše webová stránka by mohla namísto zpracovaného výstupu PHP skončit zobrazováním prostého textu; to je jen několik příkladů. A stejně jako to, že je ukradeno během rallye v posluchárně na střední škole, trvá to jen zlomek vteřiny a než budete moci své kalhotky dostat zpět, uvidí všechno. Jo, viděli to všechno.
V tomto groovyPostu vám ukážu, jak si udržetvaše wp-config.php s uživatelskými jmény a hesly databáze MySQL v bezpečí (r). Přestože žádný web nebo blog není stopercentně neomylný, tento rychlý tip způsobí, že hackování vašeho blogu WordPress bude pro případné vetřelce obtížnější než web, který tato opatření nepřijal. Obvykle stačí být bezpečnější než váš soused, aby odradil případné hackerské úsilí od jiných než vašich vlastních stránek. Pamatujte, že pokud jste někdy v lese se skupinou lidí a objevuje se medvěd - nemusíte běžet rychleji než medvěd, jen rychleji než ostatní. (a všechny vtipky stranou, Bear mace je vaše nejlepší sázka, pokud jste někdy opravdu v této situaci)
Přesunutí vašeho souboru wp-config.php
Se správnými oprávněními k souborům a správněnakonfigurovaný webový server, udržování vašeho souboru wp-config.php ve stejné veřejné složce jako zbytek vašeho blogu by mělo být naprosto v pořádku. Ale pokud jde o ochranu vašeho webu, zabezpečení je cibule (nebo Ogre zřejmě); čím více vrstev, tím více toho máte.
WordPress Codex potvrzuje tento sentiment adoporučuje přesunout váš wp-config.php z jeho výchozího umístění instalace. Blogy hostované na WordPress.org vám umožňují přesunout váš wp-config.php o jednu úroveň výše z kořenového adresáře vašeho blogu. To je vše v pořádku a dobré, ale u většiny webových serverů je o úroveň vyšší od kořene vašeho blogu ještě pořád public_html složka. Nejlepší je umístění do složky, která není podadresářem vaší složky public_html nebo WWW. Šance, že se toho někdo dostane přes webový prohlížeč nebo jakoukoli jinou aplikaci HTTP, je takřka nulová.
Postupujte takto:
Krok 1
Přejděte na svůj web WordPress.org pomocí programu FTP a přejděte do kořenového adresáře.
Krok 2
Stáhněte si wp-config.php na pevný disk.

Krok 3
Přejmenujte ji na něco jiného než wp-config.php.

Ať je to něco nesmyslného, takže někdo, kdo na něj zakopne (snad někdo, kdo se vloupal na váš sdílený server přes SSH) možná neuznává to, o co jde. Takže místo toho, abychom to nazvali „off-site-wordpress-config.php “ nazvat to „futurama-fan-fic.php. “
Krok 4
Nahrajte svůj přejmenovaný wp-config.php soubor do složky nad vaší public_html nebo www složkou. Osobně jsem vytvořil celý adresář pro off-site konfigurační soubory. Pravděpodobně je však bezpečnější umístit je někam náhodněji.
Nejdůležitější je dát to mimo z vašeho www nebo public_html.

Krok 5
Otevřete poznámkový blok nebo svůj oblíbený editor PHP.

Vytvořte nový soubor wp-config.php, který obsahuje pouze následující kód:
<? php
include (‘/ home / usr / hobby / futurama-fan-fic.php’);
?>
Zde nahraďte adresář serverovým umístěním přejmenovaného souboru wp-config.php. Upozorňujeme, že se nejedná o adresu URL, jedná se o cestu vzhledem k umístění vašeho serveru. Takže:
zahrnout („www.yourdomain.com/location/futurama-fan-fic.php“);
to nebude fungovat.
Jak jste se pravděpodobně shromáždili, bude to v zásadě vytvářet „zkratka“Do vašeho skutečného souboru wp-config.php. Pokud tedy někdo ve vašem adresáři WordPress hackne váš soubor wp-config.php, najde pouze soubor směřující do jiného souboru.
Pro větší radost můžete přidat komentář, který zní:
// Děkuji Mario! Ale naše princezna je v jiném zámku!
Krok 6
Nahrajte nový soubor wp-config.php do kořenového adresáře WordPress. Přepsat starý (Nejdříve jsi to zálohoval, že?).

Krok 7
A je to! Přejděte do kořenového adresáře blogu WordPress.org a ujistěte se, že funguje.
Pokud se zobrazí chyba, která zní:
Varování: include (/www.yourdomain.com/location/futurama-fan-fic.php ’) [function.include]: nepodařilo se otevřít stream: žádný takový soubor nebo adresář v/home/usr/public_html/blog.com/wp-config.php na lince 2
Fatální chyba: Volání na nedefinovanou funkci wp () v /wp-blog-header.php na lince 14
To znamená, že jste zadali servernesprávné umístění v upraveném souboru wp-config.php. Pokud máte potíže s určením absolutní cesty svého blogu, vytvořte soubor .php s následujícím kódem:
<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>
To vám ukáže absolutní cestu pro libovolný adresář, ve kterém je soubor, a také osvětlí, jak se pohybovat nad složkou public_html.
Pokud se zobrazí chybová zpráva, která zní:
Zdá se, že to není wp-config.php
soubor. Potřebuji to, než začneme. Potřebujete další pomoc? Máme to. Můžete vytvořit wp-config.php
soubor přes webové rozhraní, ale to nefunguje pro všechna nastavení serveru. Nejbezpečnějším způsobem je ruční vytvoření souboru.
Pak to znamená, že neexistuje žádný wp-config.php soubor v kořenovém adresáři WordPress.org. Zkontrolujte, zda jste upravený soubor wp-config.php nahráli do svého kořenového adresáře WordPress.org nebo do složky těsně nad ním a přejmenovaného souboru wp-config.php na jiné místo než naopak.

Závěr
Pohybuje se vaše WP-config.php, aby váš blog neprůstřelný? Rozhodně ne. Je to však jen jeden z kroků, které můžete učinit, aby byl web nebo blog bezpečnější. A pro mě to pomáhá v noci lépe spát - jako když na dveře přidám další řetěz nebo mrtvý kolík.
Poznámka: Než se začnete zabývat strukturou souborů, ujistěte se, že věci zálohujete a cítíte se dobře s tím, co děláte. Pokud smažete špatnou věc, můžete si vážně pokazit blog WordPress. Byli jste varováni.
Zanechat komentář