Fortalezca la seguridad de WordPress moviendo wp-config.php a una carpeta no pública
En caso de que aún no se haya familiarizado, permítame presentarle su wp-config.php archivo. Si ejecuta un WordPress autohospedado.org blog, su wp-config.php contiene su nombre de usuario de la base de datos MySQL, su contraseña de la base de datos MySQL, sus claves de autenticación de WordPress y otra información confidencial. Con esta información, un niño pirata informático o script obtiene acceso a cada contenido en su blog de WordPress, dándole rienda suelta para eliminar sus publicaciones, insertar código malicioso, vincular a sitios ilegales de pornografía o lo que sea que quieran.
Por defecto, wp-config.php se encuentra en la misma carpeta que tu blog de WordPress. Entonces, si la página de inicio de su blog está en mysite.com/blog, también lo está su wp-config.php. Eso no es tan imprudente como parece, ya que los archivos .php son scripts del lado del servidor que son procesados por el servidor. Cuando está mirando un archivo .php, en realidad está mirando la salida del archivo. Lo mismo ocurre cuando ves la fuente. La única forma de descargar el código sin formato de un archivo .php es a través de FTP.
Pero, solo porque normalmente no puede acceder a un archivo .php no significa que siempre esté seguro ...
Los accidentes suceden y existen vulnerabilidades. Si la configuración de PHP de su servidor web falla, sus tipos MIME no están configurados correctamente, o si su servidor web está mal configurado, su página web podría terminar sirviendo texto plano en lugar de la salida procesada de PHP; eso es solo algunos ejemplos. Y, al igual que cuando te dejaste sin ropa durante un mitin en el auditorio de la escuela secundaria, solo lleva una fracción de segundo y antes de que puedas recuperar tus bragas, lo han visto todo. Sí, lo han visto todo.
En este groovyPost, te mostraré cómo mantenersu wp-config.php con sus nombres de usuario y contraseñas de la base de datos MySQL safe (r). Si bien ningún sitio web o blog es 100% no pirateable, este consejo rápido hará que piratear su blog de WordPress sea más difícil para los posibles intrusos que un sitio que no ha tomado estas precauciones. Por lo general, ser más seguro que tu vecino es suficiente para disuadir los esfuerzos de un posible pirata informático en un sitio que no sea el tuyo. Recuerde, si alguna vez está en el bosque con un grupo de personas y aparece un oso, no tiene que correr más rápido que el oso, solo que más rápido que las otras personas. (y bromeando a un lado, Bear mace es tu mejor apuesta si alguna vez estás realmente en esa situación)
Mover su archivo wp-config.php
Con los permisos de archivo correctos y correctamenteservidor web configurado, mantener su archivo wp-config.php en la misma carpeta pública que el resto de su blog debería estar perfectamente bien. Pero, cuando se trata de proteger su sitio web, la seguridad es una cebolla (o ogro aparentemente); Cuantas más capas, más tienes.
El Codex de WordPress afirma este sentimiento yrecomienda que mueva su wp-config.php fuera de su ubicación de instalación predeterminada. Los blogs autohospedados de WordPress.org le permiten mover su wp-config.php un nivel desde la raíz de su blog. Eso está muy bien, pero para la mayoría de los servidores web, un nivel superior a la raíz de tu blog es todavía una carpeta public_html. Es mejor colocarlo en una carpeta que no sea un subdirectorio de su carpeta public_html o WWW. De esa manera, las posibilidades de que alguien llegue a través de un navegador web o cualquier otra aplicación HTTP es prácticamente nula.
Esto es lo que haces:
Paso 1
Acceda a su sitio de WordPress.org a través de un programa FTP y navegue hasta la raíz.
Paso 2
Descargue wp-config.php en su disco duro.

Paso 3
Cambie el nombre a otro que no sea wp-config.php.

Conviértalo en algo sin sentido, para que alguien que tropiece con él (tal vez alguien que ha pirateado su servidor compartido a través de SSH) podría no reconocerlo por lo que es. Entonces, en lugar de llamarlo "fuera de sitio-wordpress-config.php " llámalo "futurama-fan-fic.php. "
Paso 4
Sube tu wp-config renombrada.archivo php a una carpeta sobre su carpeta public_html o www. Personalmente, creé un directorio completo para archivos de configuración fuera del sitio. Pero probablemente sea más seguro ubicarlos en un lugar más aleatorio.
Lo más importante es ponerlo fuera de de tu www o carpeta public_html.

Paso 5
Abra el bloc de notas o su otro editor PHP favorito.

Cree un nuevo archivo wp-config.php que contenga solo el siguiente código:
<? php
include ("home / usr / hobbies / futurama-fan-fic.php");
?>
Reemplace el directorio aquí con la ubicación del servidor de su archivo wp-config.php renombrado. Tenga en cuenta que esta no es una URL, es una ruta relativa a la ubicación de su servidor. Entonces, haciéndolo:
include ("www.yourdomain.com/location/futurama-fan-fic.php");
no trabajará.
Como probablemente haya reunido, lo que esto hará es esencialmente crear un "atajo"A su archivo actual wp-config.php. Entonces, si alguien piratea su archivo wp-config.php en su directorio de WordPress, todo lo que encontrará es un archivo que apunta a otro archivo.
Por diversión, es posible que desee agregar un comentario que lea:
// ¡Gracias Mario! ¡Pero nuestra princesa está en otro castillo!
Paso 6
Sube tu nuevo archivo wp-config.php a tu raíz de WordPress. Sobrescribir el anterior (lo respaldaste primero, ¿verdad?)

Paso 7
¡Eso es! Navegue a la raíz de su blog de WordPress.org para asegurarse de que funcionó.
Si obtiene un error que dice:
Advertencia: include (/www.yourdomain.com/location/futurama-fan-fic.php ’) [function.include]: no se pudo abrir la secuencia: No existe tal archivo o directorio en/home/usr/public_html/blog.com/wp-config.php en linea 2
Error fatal: Llamada a la función indefinida wp () en /wp-blog-header.php en linea 14
Entonces significa que escribiste en el servidorubicación incorrecta en su archivo wp-config.php modificado. Si tiene problemas para determinar la ruta absoluta de su blog, cree un archivo .php con el siguiente código:
<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>
Esto le mostrará la ruta absoluta para cualquier directorio en el que se encuentre el archivo y también le mostrará cómo moverse sobre la carpeta public_html.
Si recibe un mensaje de error que dice:
No parece haber un wp-config.php
archivo. Necesito esto antes de que podamos comenzar. Necesitas más ayuda? Lo conseguimos. Puedes crear un wp-config.php
archivo a través de una interfaz web, pero esto no funciona para todas las configuraciones de servidor. La forma más segura es crear manualmente el archivo.
Entonces significa que no hay wp-config.archivo php en su raíz de WordPress.org. Vuelva a verificar que cargó el wp-config.php modificado en su raíz de WordPress.org o en la carpeta justo encima y el archivo renombrado wp-config.php en otra ubicación, en lugar de viceversa.

Conclusión
Moverá tu wp-config.php hace tu blog a prueba de balas? Ciertamente no. Pero es solo uno de los pasos que puede seguir para hacer que su sitio web o blog sea más seguro. Y para mí, me ayuda a dormir mejor por la noche, al igual que poner una cadena o cerrojo adicional en la puerta.
Nota: Antes de comenzar a revisar su estructura de archivos, asegúrese de hacer una copia de seguridad y sentirse cómodo con lo que está haciendo. Podría arruinar seriamente su blog de WordPress si elimina algo incorrecto. Has sido advertido.
Deja un comentario