Kovetta WordPress-tietoturva siirtämällä wp-config.php ei-julkiseen kansioon

Jos et ole vielä perehtynyt, anna minun esitellä sinulle wp-config.php tiedosto. Jos suoritat itse isännöimää WordPressiä.org-blogi, wp-config.php sisältää MySQL-tietokannan käyttäjänimen, MySQL-tietokannan salasanasi, WordPress-todennusavaimet ja muut arkaluontoiset tiedot. Näiden tietojen avulla hakkerit tai komentosarjat saavat pääsyn jokaiseen WordPress-blogin sisältöön ja antavat heille ilmaisen vapauden poistaa viestejäsi, lisätä haitallisia koodeja, käänteisiä laitonta porno-sivustoa tai muuta mitä he haluavat.

Oletuksena wp-config.php istuu samassa kansiossa kuin WordPress-blogiisi. Joten, jos blogisi kotisivu on osoitteessa mysite.com/blog, niin on myös wp-config.php. Se ei ole niin holtitonta kuin miltä näyttää .php-tiedostot ovat palvelinpuolen skriptit joita palvelin käsittelee. Kun etsit .php-tiedostoa, katsot tosiasiallisesti tiedoston tulostusta. Sama pätee lähdettä tarkasteltaessa. Ainoa tapa ladata .php-tiedoston raakakoodi on FTP: n kautta.

Mutta vain siksi, että et voi normaalisti käyttää .php-tiedostoa, ei tarkoita, että olet aina turvassa ...

Onnettomuuksia tapahtuu, ja haavoittuvuuksia on. Jos verkkopalvelimesi PHP-määritykset hajoavat, MIME-tyyppejäsi ei ole määritetty oikein tai Web-palvelimesi on muuten määritetty väärin, verkkosivusi saattaa lopulta näyttää tekstiä käsitellyn PHP-tuloksen sijasta. se on vain muutama esimerkki. Ja aivan kuten depansoituna lukion aikana pidetyssä paavinäyttelyssä, se vie vain sekunnin jakson ja ennen kuin saat takaisin heppurisi takaisin he ovat nähneet kaiken. Kyllä, he ovat nähneet kaiken.

Tässä groovyPost-sovelluksessa näytän sinulle kuinka pitääwp-config.php MySQL-tietokannan käyttäjänimien ja salasanojen kanssa turvallisia (r). Vaikka mikään verkkosivusto tai blogi ei ole kokonaan hakkeroitavissa, tämä nopea vinkki tekee WordPress-blogin hakkeroinnin vaikeammaksi mahdollisille tunkeilijoille kuin sivusto, joka ei ole ottanut näitä varotoimia. Yleensä vain se, että olet naapurisi turvallisempi, riittää estämään mahdollisen hakkerin pyrkimykset muulle kuin omalle sivustolle. Muista, että jos olet joskus metsässä ihmisryhmän kanssa ja karhu ilmestyy, sinun ei tarvitse juoksua nopeammin kuin karhu, vain nopeammin kuin muut ihmiset. (ja kaikki vitsaillen syrjään, karhuuiske on paras veto, jos olet todella oikeassa tilanteessa)

Wp-config.php-tiedoston siirtäminen

Oikeilla tiedostooikeuksilla ja oikeinmääritetyn web-palvelimen, wp-config.php-tiedoston pitämisen samassa julkisessa kansiossa kuin muun blogin pitäisi olla täysin kunnossa. Sivustosi suojaamisessa turvallisuus on kuitenkin sipulia (tai Ogre ilmeisesti); mitä enemmän kerroksia, sitä enemmän siitä saat.

WordPress Codex vahvistaa tämän näkemyksen jasuosittelee, että siirrät wp-config.php-tiedoston pois oletusasennuspaikasta. WordPress.org-itse ylläpitämien blogien avulla voit siirtää wp-config.php-tasoa yhden tason korkeammalle blogin juuresta. Se on kaikki hyvin ja hyvä, mutta useimpien verkkopalvelimien kohdalla, yksi taso yläpuolella blogisi juuresta on vielä public_html-kansio. Parasta on sijoittaa se kansioon, joka ei ole public_html- tai WWW-kansiosi alihakemisto. Tällä tavoin jonkun mahdollisuudet päästä siihen selaimen tai muun HTTP-sovelluksen kautta ovat käytännössä nollat.

Tässä on mitä teet:

Vaihe 1

Pääset WordPress.org-sivustoosi FTP-ohjelman kautta ja siirry päähakemistoon.

Vaihe 2

Lataa wp-config.php kiintolevyllesi.

WordPress turvallisuus

Vaihe 3

Nimeä se jollekin muulle kuin wp-config.php.

wp-config.php: n turvaaminen

Tee siitä jotain järjetöntä, joten joku kompastuu siihen (ehkä joku, joka on tunkeutunut jaettuun palvelimeesi SSH: n kautta) ei ehkä tunnista sitä mistä se on. Joten sen sijaan, että kutsumme sitä “off-site-WordPress-config.php” kutsu sitä "futurama-fan-fic.php.”

Vaihe 4

Lataa nimeltään wp-config.php-tiedosto kansioon public_html tai www-kansiosi yläpuolella. Henkilökohtaisesti olen luonut koko hakemiston ulkopuolisiin konfigurointitiedostoihin. Mutta on todennäköisesti turvallisempaa laittaa ne jonnekin satunnaisempiin.

Tärkeintä on laittaa se ulkopuolella sinun www tai public_html-kansio.

wp-config.php: n asettaminen www-sivuston ulkopuolelle

Vaihe 5

Avaa muistilehtiö tai toinen suosikki PHP-editori.

Wp-config.php piilottaminen

Luo uusi wp-config.php-tiedosto, joka sisältää vain seuraavan koodin:

<? Php
ovat ( ’/ home / usr / harrastukset / futurama-fan-fic.php’);
?>

Korvaa tässä hakemisto uudelleennimitetyn wp-config.php-tiedoston palvelimen sijainnilla. Huomaa, että tämä ei ole URL, vaan polku palvelimen sijaintiin nähden. Joten tekemällä siitä:

sisällytä (’www.omaverkkotunnus.com/sijainti/futurama-fan-fic.php’);

ei toimi.

Kuten olet todennäköisesti kerännyt, tämä tarkoittaa pohjimmiltaan "oikotie”Todellinen wp-config.php-tiedosto. Joten jos joku hakkeroi wp-config.php-tiedostosi WordPress-hakemistoon, he löytävät vain tiedoston, joka osoittaa toiseen tiedostoon.

Hauskanpitoa varten voit lisätä kommentin, jonka teksti on seuraava:

// kiitos Mario! Mutta prinsessamme on toisessa linnassa!

Vaihe 6

Lataa uusi wp-config.php-tiedosto WordPress-juurihakemistoon. Korvaa vanha (oletko varmistanut sen ensin, eikö niin?).

Wordpress.org Suojaus - Siirtävä Wp-Config.php

Vaihe 7

Se siitä! Siirry WordPress.org-blogin juuriin varmistaaksesi, että se toimi.

Jos saat virheen, jonka lukee:

Varoitus: sisällytä (/www.verkkotunnus.com/sijainti/futurama-fan-fic.php ') [function.include]: streamin avaaminen epäonnistui: tällaista tiedostoa tai hakemistoa ei löytynyt/home/usr/public_html/blog.com/wp-config.php verkossa 2

Kohtalokas virhe: Soita määrittelemättömälle toiminnolle wp () sisään /wp-blog-header.php verkossa 14

Sitten se tarkoittaa, että kirjoitit palvelimellesijainti väärin muokatussa wp-config.php-tiedostossa. Jos sinulla on vaikeuksia määrittää blogin absoluuttinen polku, luo .php-tiedosto, jonka seuraava koodi on se:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Tämä näyttää absoluuttisen polun missä tahansa hakemistossa tiedosto on, ja valaisee myös, kuinka liikkua public_html-kansion yläpuolella.

Jos saat virheilmoituksen, jonka lukee:

Ei näytä olevan wp-config.php tiedosto. Tarvitsen tätä ennen kuin voimme aloittaa. Tarvitsetko lisäapua? Me saimme sen. Voit luoda wp-config.php tiedosto web-käyttöliittymän kautta, mutta tämä ei toimi kaikissa palvelinasetuksissa. Turvallisin tapa on luoda tiedosto manuaalisesti.

Sitten se tarkoittaa, että wp-configia ei ole.php-tiedosto WordPress.org-juurihakemistossa. Tarkista vielä, että olet lähettänyt muokatun wp-config.php-tiedoston WordPress.org-juurihakemistoon tai sen yläpuolella olevaan kansioon ja nimettyyn wp-config.php-tiedostoon toiseen sijaintiin, eikä päinvastoin.

Ei

johtopäätös

Siirtää wp-config.php tehdä blogiisi luodinkestävä? Ainakaan. Mutta se on vain yksi vaihe, jonka voit tehdä verkkosivustosi tai blogin turvallisuuden parantamiseksi. Ja minulle se auttaa minua nukkumaan paremmin yöllä - aivan kuten laittamalla ylimääräinen ketju tai tapporuuvi ovelle.

merkintä: Ennen kuin siirrät tiedostorakennetta, varmista, että olet varmuuskopioinut asiat ja tuntea olosi mukavaksi tekemäsi kanssa. Voit poistaa WordPress-blogin vakavasti, jos poistat väärän asian. Sinua on varoitettu.

0

Samankaltaisia ​​artikkeleita

Jätä kommentti