Ojačajte sigurnost WordPress premještanjem wp-config.php u mapu koja nije javna

U slučaju da vas još nisu upoznali, dopustite mi da vam predstavim vašu wp-config.php datoteka. Ako imate pokrenut WordPress s vlastitim hostom.org blog, vaš wp-config.php sadrži vaše korisničko ime MySQL baze podataka, vašu lozinku za bazu podataka MySQL, vaše ključeve za provjeru autentičnosti WordPress i ostale osjetljive podatke. S ovim informacijama hakerski ili skriptu klinac dobiva pristup svim dijelovima sadržaja na vašem WordPress blogu, omogućavajući im da besplatno obrišu svoje postove, ubacuju zlonamjerni kôd, povratne veze na ilegalne porno web stranice ili sve drugo što žele.

Wp-config.php sjedi u istoj mapi kao i vaš WordPress blog. Dakle, ako je početna stranica vašeg bloga na mysite.com/blog, to je vaš wp-config.php. To nije tako nepromišljeno kao što se čini .php datoteke skripte na strani poslužitelja koje obrađuje poslužitelj. Kada gledate .php datoteku, zapravo gledate na izlaz datoteke. Isto vrijedi i kad pogledate izvor. Jedini način za preuzimanje sirovog koda datoteke .php je putem FTP-a.

No, to što jednostavno ne možete pristupiti .php datoteci ne znači da ste uvijek sigurni ...

Događaji se događaju, a ranjivosti postoje. Ako se konfiguracija PHP-a vašeg web poslužitelja pokvari, vaše MIME vrste nisu postavljene pravilno ili je vaš web poslužitelj pogrešno konfiguriran, web stranica može poslužiti običnim tekstom umjesto obrađenog PHP izlaza; to je samo nekoliko primjera. I baš kao što su postavljeni tijekom skupa u srednjoškolskom gledalištu, potrebna je samo djelić sekunde i prije nego što uspijete vratiti svoje majice, vidjeli su sve. Da, sve su to vidjeli

U ovom groovyPostalu pokazat ću vam kako se treba čuvativaš sigurni korisnička imena i zaporke baze podataka MySQL baze podataka (r). Iako nijedna web stranica ili blog nije 100-postotni, ovaj kratki savjet će otežati hakiranje vašeg WordPress bloga potencijalnim uljezima nego web-lokacija koja nije poduzela ove mjere opreza. Obično je samo sigurnija sigurnost od vašeg susjeda dovoljna da spriječite napore potencijalnog hakera na web lokaciji koja nije vaša. Zapamtite, ako ste ikada u šumi sa grupom ljudi i medvjed se pokaže - ne morate trčati brže od medvjeda, samo brže od ostalih ljudi. (a svi se šale na stranu, medvjeđi mace je vaš najbolji kladionik ako ste ikada zaista u toj situaciji)

Premještanje datoteke wp-config.php

Uz ispravna dopuštenja za datoteke i ispravnokonfiguriran web poslužitelj, održavanje vaše wp-config.php datoteke u istoj javnoj mapi kao i ostatak vašeg bloga bi trebalo biti savršeno u redu. Ali kada je u pitanju zaštita vaše web stranice, sigurnost je luk (ili Ogre prividno); što više slojeva to više imaš.

WordPress Codex potvrđuje ovo mišljenje ipreporučuje da svoj wp-config.php odmaknete od zadanog mjesta instalacije. WordPress.org blogovi s vlastitim hostom omogućuju vam da pomaknite svoj wp-config.php na jednoj razini od korijena vašeg bloga. To je sve dobro i dobro, ali za većinu web poslužitelja jedna je razina viša od vašeg korijena bloga još mapa public_html. Najbolje je da je stavite u mapu koja nije poddirektoriju javne_html ili WWW mape. Na taj način su šanse da ga netko dođe putem web preglednika ili bilo koje druge HTTP aplikacije gotovo ništave.

Evo što radite:

Korak 1

Pristupite svom mjestu WordPress.org putem FTP programa i pomaknite se do korijena.

Korak 2

Preuzmite wp-config.php na tvrdi disk.

3. korak

Preimenujte to u nešto drugo nego wp-config.php.

Učinite to nečim besmislenim, pa će se neko ko se okomiti na njega (možda netko ko je upao na vaš zajednički poslužitelj putem SSH-a) možda ga ne prepoznaju po onome što jest. Dakle, umjesto da ga zovete "off-stranica-wordpress-config.php” nazovite to "futurama-fan-fic.php„.

4. korak

Pošaljite preimenovani wp-config.php datoteku u mapu iznad vašeg public_html ili www mape. Osobno sam stvorio cijeli direktorij za konfiguracijske datoteke izvan web mjesta. Ali vjerovatno je sigurnije staviti ih negdje više nasumično.

Najvažnije je to staviti izvan tvojih www ili javnu_html mapu.

5. korak

Otvorite bilježnicu ili vaš omiljeni uređivač PHP-a.

Napravite novu wp-config.php datoteku koja sadrži samo sljedeći kôd:

<? Php
uključuju ( „/ home / usr / hobije / Futurama-fan-fic.php”);
?>

Zamijenite direktorij ovdje sa serverom lokacije vaše preimenovane datoteke wp-config.php. Imajte na umu da ovo nije URL, to je put u odnosu na lokaciju vašeg poslužitelja. Dakle, stvaranje:

uključuju (‘www.yourdomain.com/location/futurama-fan-fic.php’);

neće raditi.

Kao što ste se vjerojatno okupili, ovo što će učiniti u osnovi je stvaranje „prečac"Na vašu stvarnu wp-config.php datoteku. Dakle, ako netko hakira vašu wp-config.php datoteku u vašem WordPress direktoriju, sve što će pronaći je datoteka koja upućuje na drugu datoteku.

Radi zabave, možete dodati komentar koji glasi:

// Hvala Mario! Ali naša princeza je u drugom dvorcu!

Korak 6

Učitajte svoju novu wp-config.php datoteku u svoj WordPress korijen. Prepiši stari (podupirali ste ga prvo, zar ne?).

Wordpress.org Sigurnost - Premještanje Wp-Config.php

Korak 7

To je to! Dođite do vašeg korijena bloga WordPress.org da biste osigurali da on radi.

Ako se pojavi pogreška koja glasi:

Upozorenje: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: nije uspio otvoriti stream: Nema takve datoteke ili mape u/home/usr/public_html/blog.com/wp-config.php na liniji 2

Fatalna greška: Poziv na nedefiniranu funkciju wp () u /wp-blog-header.php na liniji 14

To znači da ste upisali poslužiteljlokacija je pogrešno promijenjena u wp-config.php datoteci. Ako imate problema s određivanjem apsolutnog puta bloga, napravite .php datoteku sa sljedećim kodom:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

To će vam pokazati apsolutnu putanju za mapu u kojoj se datoteci nalazi, a također će vam pokazati kako se treba kretati iznad mape public_html.

Ako dobijete poruku o pogrešci koja glasi:

Čini se da ne postoji wp-config.php datoteka. Trebam ovo prije nego što započnemo. Trebate više pomoći? Shvatili smo. Možete stvoriti wp-config.php datoteku putem web sučelja, ali to ne funkcionira za sve postavke poslužitelja. Najsigurniji način je ručno stvaranje datoteke.

To znači da nema wp-config.php datoteku u vašem korijenu WordPress.org. Dvaput provjerite jeste li prebacili izmijenjeni wp-config.php u svoj korijen WordPress.org ili mapu neposredno iznad njega i preimenovali datoteku wp-config.php na drugo mjesto, a ne obrnuto.

Zaključak

Premještanje vaše wp-config.php učiniti vaš blog nepromočivim? Sigurno ne. Ali to je samo jedan od koraka koje možete poduzeti kako biste učinili svoju web lokaciju ili blog sigurnijom. A za mene mi pomaže da bolje spavam noću - baš kao i stavljanje dodatnog lanca ili zavoja na vrata.

Bilješka: Prije nego što pregledate strukturu datoteka, osigurajte da napravite sigurnosnu kopiju i osjećajte se ugodno u onome što radite. Možete ozbiljno zabrljati svoj WordPress blog ako izbrišete pogrešnu stvar. Upozorili ste