Harden WordPress Security Ved at flytte wp-config.php til en ikke-offentlig mappe

I tilfælde af at du ikke har været bekendt endnu, så lad mig introducere dig til din wp-config.php fil. Hvis du kører en selvhostet WordPress.org-blog, din wp-config.php indeholder dit MySQL-database-brugernavn, din MySQL-database-adgangskode, dine WordPress-godkendelsesnøgler og andre følsomme oplysninger. Med disse oplysninger får en hacker eller script-kiddie adgang til ethvert stykke indhold på din WordPress-blog, hvilket giver dem frie tøjler til at slette dine indlæg, indsætte ondsindet kode, backlink til ulovlige pornosider eller hvad de ellers ønsker.

Som standard wp-config.php sidder i den samme mappe som din WordPress-blog. Så hvis hjemmesiden til din blog er på mysite.com/blog, så er din wp-config.php. Det er ikke så hensynsløst, som det ser ud, da .php-filer er scripts på serversiden der behandles af serveren. Når du ser på en .php-fil, ser du faktisk på output fra filen. Det samme gælder når du ser kilden. Den eneste måde at downloade råkoden til en .php-fil er via FTP.

Men bare fordi du normalt ikke kan få adgang til en .php-fil, betyder det ikke, at du altid er sikker ...

Ulykker sker, og der er sårbarheder. Hvis din webservers PHP-konfiguration nedbrydes, er dine MIME-typer ikke opsat korrekt, eller din webserver på anden måde er ukonfigureret, kan din webside ende med at tjene almindelig tekst i stedet for behandlet PHP-output; det er blot et par eksempler. Og ligesom at være depanderet under en pep-rally i gymnasiums auditorium, tager det kun et split sekund, og inden du kan få dine knickers tilbage på, har de set alt. Ja, de har set det hele.

I denne groovyPost viser jeg dig, hvordan du holderdin wp-config.php med dine MySQL-database brugernavne og adgangskoder sikkert (r). Selvom intet websted eller blog er 100% ikke-hackeligt, vil dette hurtige tip gøre hacking af din WordPress-blog vanskeligere for at være indtrængende end et websted, der ikke har taget disse forholdsregler. Normalt er det bare at være mere sikker end din nabo til at afskrække en vil-være hacker-indsats på et andet websted end dit eget. Husk, at hvis du nogensinde er i skoven med en gruppe mennesker, og en bjørn dukker op - behøver du ikke at løbe hurtigere end bjørnen, bare hurtigere end de andre mennesker. (og alt sammen hvis man spøger til side, er Bear mace det bedste valg, hvis du nogensinde virkelig er i denne situation)

Flytning af din wp-config.php fil

Med de rigtige filtilladelser og en korrektkonfigureret webserver, så din wp-config.php-fil skal holdes i den samme offentlige mappe som resten af din blog skulle være helt fint. Men når det kommer til at beskytte dit websted, er sikkerhed en løg (eller Ogre tilsyneladende); jo flere lag, jo mere af det har du.

WordPress Codex bekræfter denne følelse oganbefaler, at du flytter din wp-config.php væk fra dens standardinstallationsplacering. WordPress.org-hostede blogs giver dig mulighed for at flytte din wp-config.php op et niveau fra din blogs rod. Det er alt sammen godt og godt, men for de fleste webservere er et niveau op fra din blogrot stadig en public_html-mappe. Det er bedst at sætte den i en mappe, der ikke er en undermappe for din public_html- eller WWW-mappe. På den måde er chancerne for nogen at nå det via en webbrowser eller et andet HTTP-program næsten nul.

Sådan gør du:

Trin 1

Gå ind på dit WordPress.org-sted via et FTP-program og naviger til roden.

Trin 2

Download wp-config.php til din harddisk.

Trin 3

Omdøb det til noget andet end wp-config.php.

Gør det til noget nonsensisk, så en der snubler over det (måske en person, der har hacket ind på din delte server via SSH) måske ikke genkende det for, hvad det er. Så i stedet for at kalde det “off-site-wordpress-config.php” kald det "futurama-fan-fic.php.”

Trin 4

Upload din omdøbte wp-config.php-fil til en mappe over din public_html- eller www-mappe. Personligt oprettede jeg en hel mappe til konfigurationsfiler off-site. Men det er sandsynligvis mere sikkert at placere dem et mere tilfældigt sted.

Det vigtigste er at sige det uden for af din www eller public_html-mappe.

Trin 5

Åbn notepad eller din anden foretrukne PHP-editor.

Opret en ny wp-config.php-fil, der kun indeholder følgende kode:

<? Php
omfatter ( ’/ home / usr / hobbyer / Futurama-fan-fic.php’);
?>

Udskift kataloget her med serverplaceringen af din omdøbte wp-config.php-fil. Bemærk, at dette ikke er en URL, det er en sti i forhold til din serverplacering. Så gør det:

inkluderer (‘www.yourdomain.com/location/futurama-fan-fic.php’);

vil ikke virke.

Som du sandsynligvis har samlet, hvad dette vil gøre er i bund og grund at oprette en "genvej”Til din faktiske wp-config.php fil. Så hvis nogen hacker din wp-config.php-fil i dit WordPress-bibliotek, er alt, hvad de finder, en fil, der peger på en anden fil.

For sjovt kan det være en god idé at tilføje en kommentar, der lyder:

// Tak Mario! Men vores prinsesse er i en anden borg!

Trin 6

Upload din nye wp-config.php fil til din WordPress root. Overskriv den gamle (du sikkerhedskopierede det først, ikke?).

Wordpress.org Sikkerhedsflytning Wp-Config.php

Trin 7

Det er det! Naviger til din WordPress.org-blogrot for at sikre, at den fungerede.

Hvis du får en fejl, der lyder:

Advarsel: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: kunne ikke åbne stream: Ingen sådan fil eller bibliotek i/home/usr/public_html/blog.com/wp-config.php på linje 2

Fatal fejl: Opkald til udefineret funktion wp () i /wp-blog-header.php på linje 14

Så betyder det, at du indtastede serverenplacering forkert i din ændrede wp-config.php fil. Hvis du har problemer med at bestemme din blogs absolutte sti, skal du oprette en .php-fil med følgende kode i den:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Dette viser dig den absolutte sti for det bibliotek, filen findes i, og vil også belyse, hvordan du flytter over mappen public_html.

Hvis du får en fejlmeddelelse, der lyder:

Der ser ikke ud til at være en wp-config.php fil. Jeg har brug for dette, før vi kan komme i gang. Brug for mere hjælp? Vi har det. Du kan oprette en wp-config.php arkiveres via en webgrænseflade, men dette fungerer ikke for alle serveropsætninger. Den sikreste måde er manuelt at oprette filen.

Så betyder det, at der ikke er nogen wp-config.php-fil i din WordPress.org-rod. Dobbeltkontrol, at du uploade den ændrede wp-config.php til din WordPress.org-rod eller mappen lige over den og den omdøbte wp-config.php-fil til et andet sted i stedet for vice versa.

Konklusion

Flytter din wp-config.php gøre din blog skudsikker? Bestemt ikke. Men det er kun et af de trin, du kan tage for at gøre dit websted eller blog mere sikkert. Og for mig hjælper det mig med at sove bedre om natten - ligesom at sætte en ekstra kæde eller deadbolt på døren.

Bemærk: Inden du går rundt i din filstruktur, skal du sørge for at sikkerhedskopiere tingene og føle dig godt tilpas med det, du laver. Du kan alvorligt rodet din WordPress-blog, hvis du sletter den forkerte ting. Du er blevet advaret.