Harden WordPress Security Μεταφέροντας το wp-config.php σε μη δημόσιο φάκελο
Σε περίπτωση που δεν έχετε εξοικειωθεί ακόμα, επιτρέψτε μου να σας παρουσιάσω wp-config.php αρχείο. Εάν τρέχετε ένα WordPress που φιλοξενείται αυτόματα.org, το wp-config.php περιέχει το όνομα χρήστη της βάσης δεδομένων MySQL, τον κωδικό πρόσβασης της βάσης MySQL, τα κλειδιά ελέγχου ταυτότητας WordPress και άλλες ευαίσθητες πληροφορίες. Με αυτές τις πληροφορίες, ένας hacker ή script kiddie αποκτά πρόσβαση σε κάθε κομμάτι του περιεχομένου στο blog του WordPress, δίνοντάς τους τη δυνατότητα να διαγράψουν τις δημοσιεύσεις σας, να εισάγουν κακόβουλο κώδικα, να επιστρέψουν σε παράνομους πορνογραφικούς ιστότοπους ή οτιδήποτε άλλο θέλουν.
Από προεπιλογή, το wp-config.php βρίσκεται στον ίδιο φάκελο με το blog του WordPress. Έτσι, αν η αρχική σελίδα του ιστολογίου σας βρίσκεται στο mysite.com/blog, το wp-config.php σας. Αυτό δεν είναι τόσο απίστευτο όσο φαίνεται από τότε που υπάρχουν αρχεία .php σενάρια διακομιστή που υποβάλλονται σε επεξεργασία από το διακομιστή. Όταν εξετάζετε ένα αρχείο .php, εξετάζετε την έξοδο του αρχείου. Το ίδιο ισχύει και όταν βλέπετε την πηγή. Ο μόνος τρόπος για να κατεβάσετε τον ακατέργαστο κώδικα ενός αρχείου .php είναι μέσω FTP.
Αλλά, μόνο και μόνο επειδή δεν μπορείτε κανονικά να έχετε πρόσβαση σε ένα αρχείο .php δεν σημαίνει ότι είστε πάντα ασφαλείς ...
Παρουσιάζονται ατυχήματα και υπάρχουν τρωτά σημεία. Αν οι ρυθμίσεις παραμέτρων PHP του διακομιστή σας υποβαθμιστούν, οι τύποι MIME δεν έχουν ρυθμιστεί σωστά ή ο διακομιστής ιστού σας δεν έχει διαμορφωθεί σωστά, η ιστοσελίδα σας θα μπορούσε να καταλήξει να εμφανίζει απλό κείμενο αντί για επεξεργασμένη έξοδο PHP. αυτό είναι μόνο μερικά παραδείγματα. Και, ακριβώς όπως είναι απολυμένοι κατά τη διάρκεια ενός μαζικού αγώνα στο αμφιθέατρο του γυμνασίου, παίρνει μόνο ένα split-δευτερόλεπτο και πριν μπορέσετε να πάρετε τα πλεκτά σας πάλι για να έχουν δει τα πάντα. Ναι, έχουν δει όλα.
Σε αυτό το groovyPost, θα σας δείξω πώς να κρατήσετετο wp-config.php με τα ονόματα χρηστών της βάσης δεδομένων MySQL και τους κωδικούς πρόσβασης ασφαλείς (r). Παρόλο που κανένας ιστοχώρος ή ιστολόγιο δεν είναι 100% αδιαχώριστος, αυτή η γρήγορη συμβουλή θα κάνει το hacking του blog σας WordPress πιο δύσκολο για τους ενδεχόμενους εισβολείς από έναν ιστότοπο που δεν έχει λάβει αυτές τις προφυλάξεις. Συνήθως απλά είναι πιο ασφαλής από ό, τι ο γείτονάς σας είναι αρκετός για να αποτρέψει τις προσπάθειες ενός επιφυλακτικού χάκερ σε έναν ιστότοπο διαφορετικό από τον δικό σας. Θυμηθείτε, αν είστε ποτέ στο δάσος με μια ομάδα ανθρώπων και μια αρκούδα εμφανίζεται - δεν χρειάζεται να τρέχετε ταχύτερα από την αρκούδα, ακριβώς ταχύτερα από τους άλλους ανθρώπους. (και όλοι αστεία στην άκρη, Bear mace είναι το καλύτερο στοίχημά σας, εάν είστε ποτέ πραγματικά στην κατάσταση αυτή)
Μετακίνηση του αρχείου wp-config.php
Με τα σωστά δικαιώματα αρχείων και ένα σωστόδιαμορφωμένο διακομιστή ιστού, διατηρώντας το αρχείο wp-config.php στον ίδιο δημόσιο φάκελο με το υπόλοιπο του ιστολογίου σας θα πρέπει να είναι τέλεια. Αλλά, όταν πρόκειται για την προστασία της ιστοσελίδας σας, η ασφάλεια είναι ένα κρεμμύδι (ή Ogre προφανώς); τα περισσότερα στρώματα, τόσο περισσότερο έχετε.
Ο κώδικας WordPress επιβεβαιώνει αυτό το συναίσθημα καισυνιστά να μετακινήσετε το wp-config.php σας μακριά από την προεπιλεγμένη θέση εγκατάστασης. Το WordPress.org που φιλοξενεί τα blog σας επιτρέπει να μεταφέρετε το wp-config.php μέχρι ένα επίπεδο από τη ρίζα του ιστολογίου σας. Όλα αυτά είναι καλά και καλά, αλλά για τους περισσότερους διακομιστές ιστού, ένα επίπεδο επάνω από τη ρίζα του ιστολογίου σας είναι ακόμη ένα φάκελο public_html. Είναι καλύτερο να βάζετε σε ένα φάκελο που δεν είναι υποκατάλογος του public_html ή του φάκελου WWW. Με αυτόν τον τρόπο, οι πιθανότητες κάποιος να την φτάσει μέσω ενός προγράμματος περιήγησης ιστού ή οποιασδήποτε άλλης εφαρμογής HTTP είναι ουσιαστικά μηδενική.
Εδώ κάνετε τι κάνετε:
Βήμα 1
Αποκτήστε πρόσβαση στον ιστότοπό σας στο WordPress.org μέσω ενός προγράμματος FTP και μεταβείτε στη ρίζα.
Βήμα 2
Κατεβάστε wp-config.php στον σκληρό σας δίσκο.
Βήμα 3
Μετονομάστε το σε κάτι άλλο από το wp-config.php.
Κάνε κάτι κάτι ανόητο, έτσι κάποιος που σκοντάφτει πάνω του (ίσως κάποιος που έχει πειραχτεί στον κοινόχρηστο διακομιστή σας μέσω SSH) ίσως να μην το αναγνωρίσει αυτό που είναι. Έτσι, αντί να το ονομάσουμε "off-site-wordpress-config.php " κάλεσε το "futurama-fan-fic.php. "
Βήμα 4
Μεταφορτώστε το μετονομάστηκε σε wp-config.php σε ένα φάκελο πάνω από το φάκελο public_html ή www. Προσωπικά, δημιούργησα έναν ολόκληρο κατάλογο για αρχεία ρυθμίσεων εκτός τόπου. Αλλά ίσως είναι ασφαλέστερο να τα βάλεις κάπου τυχαία.
Το πιο σημαντικό είναι να το πούμε εξω απο από σας www ή public_html.
Βήμα 5
Ανοίξτε το σημειωματάριο ή τον άλλο αγαπημένο σας επεξεργαστή PHP.
Δημιουργήστε ένα νέο αρχείο wp-config.php που περιέχει μόνο τον ακόλουθο κώδικα:
<? php
περιλαμβάνουν ('/ home / usr / hobbies / futurama-fan-fic.php').
?>
Αντικαταστήστε τον κατάλογο εδώ με τη θέση διακομιστή του αρχείου σας με το όνομα wp-config.php. Σημειώστε ότι αυτό δεν είναι μια διεύθυνση URL, είναι μια διαδρομή σχετικά με τη θέση του διακομιστή σας. Έτσι, κάνοντας το:
συμπεριλάβετε («www.yourdomain.com/location/futurama-fan-fic.php»);
δεν θα δουλέψει.
Όπως ίσως έχετε συγκεντρώσει, αυτό που θα κάνει είναι ουσιαστικά να δημιουργήσετε ένα "συντομότερος τρόπος"Στο πραγματικό αρχείο wp-config.php. Έτσι, αν κάποιος hack σας wp-config.php αρχείο στον κατάλογο WordPress σας, όλα θα βρουν είναι ένα αρχείο που δείχνει σε ένα άλλο αρχείο.
Για διασκέδαση, ίσως θελήσετε να προσθέσετε ένα σχόλιο που διαβάζει:
// Σας ευχαριστώ Mario! Αλλά η πριγκίπισσα μας βρίσκεται σε άλλο κάστρο!
Βήμα 6
Μεταφορτώστε το νέο αρχείο wp-config.php στη ρίζα του WordPress. Αντικαταστήστε την παλιά (το στήριξα πρώτα, έτσι;).
Βήμα 7
Αυτό είναι! Μεταβείτε στη ρίζα του ιστολογίου του WordPress.org για να βεβαιωθείτε ότι λειτούργησε.
Εάν λάβετε ένα σφάλμα που διαβάζει:
Προειδοποίηση: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: απέτυχε να ανοίξει ροή: Δεν υπάρχει τέτοιο αρχείο ή κατάλογος σε/home/usr/public_html/blog.com/wp-config.php σε απευθείας σύνδεση 2
Μοιραίο λάθος: Κλήση στη μη καθορισμένη λειτουργία wp () στο /wp-blog-header.php σε απευθείας σύνδεση 14
Τότε σημαίνει ότι πληκτρολογήσατε στον serverλάθος τοποθεσία στο τροποποιημένο αρχείο wp-config.php. Αν αντιμετωπίζετε πρόβλημα με τον καθορισμό της απόλυτης διαδρομής του ιστολογίου σας, δημιουργήστε ένα αρχείο .php με τον ακόλουθο κώδικα:
<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>
Αυτό θα σας δείξει την απόλυτη διαδρομή για οποιονδήποτε κατάλογο βρίσκεται στο αρχείο και θα φωτίσει επίσης τον τρόπο μετακίνησης πάνω από το φάκελο public_html.
Εάν λάβετε ένα μήνυμα σφάλματος που αναφέρει:
Δεν φαίνεται να υπάρχει wp-config.php αρχείο. Το χρειάζομαι για να μπορέσουμε να ξεκινήσουμε. Χρειάζεστε περισσότερη βοήθεια; Το έχουμε. Μπορείτε να δημιουργήσετε ένα wp-config.php αρχείο μέσω μιας διεπαφής ιστού, αλλά αυτό δεν λειτουργεί για όλες τις ρυθμίσεις διακομιστή. Ο ασφαλέστερος τρόπος είναι να δημιουργήσετε το αρχείο με μη αυτόματο τρόπο.
Τότε σημαίνει ότι δεν υπάρχει wp-config.αρχείο php στη ρίζα του WordPress.org. Ελέγξτε ξανά ότι ανεβάσατε το τροποποιημένο wp-config.php στη ρίζα του WordPress.org ή στο φάκελο ακριβώς πάνω από αυτό και το μετονομασμένο αρχείο wp-config.php σε άλλη τοποθεσία, αντί για το αντίστροφο.
συμπέρασμα
Θα μετακινήσει το wp-config.php κάνει το blog σας αλεξίσφαιρο; Σίγουρα όχι. Αλλά είναι μόνο ένα από τα βήματα που μπορείτε να κάνετε για να κάνετε τον ιστότοπο ή το ιστολόγιό σας πιο ασφαλές. Και για μένα, με βοηθά να κοιμάμαι καλύτερα το βράδυ - σαν να βάζω μια επιπλέον αλυσίδα ή ένα αδιέξοδο στην πόρτα.
Σημείωση:Πριν ξεκινήσετε τη διαμόρφωση του αρχείου σας, βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας και αισθάνεστε άνετα με αυτό που κάνετε. Θα μπορούσατε να βλάψετε σοβαρά το blog σας στο WordPress εάν διαγράψετε το λάθος. Σας προειδοποιήθηκε.
![Προσαρμογή της σελίδας σύνδεσης WordPress [Quick-Tip]](/images/geek-stuff/customize-wordpress-login-page-quick-tip.png)
Αφήστε ένα σχόλιο