A WordPress biztonság megszilárdítása azáltal, hogy a wp-config.php fájlt nem nyilvános mappába helyezi
Ha még nem ismertél meg, hadd mutassam meg önöket wp-config.php fájlt. Ha önálló hostolt WordPress-t futtat.org blog, a wp-config.php tartalmazza a MySQL adatbázis felhasználónevét, a MySQL adatbázis jelszavát, a WordPress hitelesítési kulcsokat és egyéb érzékeny információkat. Ezzel az információval a hackerek vagy a forgatókönyvekkel ellátott kölyök hozzáférést biztosít a WordPress blog minden tartalmához, szabadon engedve számukra a hozzászólások törlését, a rosszindulatú kód beillesztését, az illegális pornó webhelyekre mutató linket vagy bármi mást.
Alapértelmezés szerint a wp-config.A php ugyanabban a mappában található, mint a WordPress blog. Tehát, ha a blogod honlapja a mysite.com/blog, akkor a wp-config.php is. Ez nem olyan vétlen, mint amilyennek látszik, mivel a .php fájlok szerveroldali szkriptek amelyeket a szerver dolgoz fel. Amikor egy .php fájlt keres, akkor valójában a fájl kimenetét nézi. Ugyanez vonatkozik a forrás megnézésére. A .php fájl nyers kódjának letöltésének egyetlen módja az FTP.
De az a tény, hogy általában nem tud hozzáférni a .php fájlhoz, nem azt jelenti, hogy mindig biztonságban vagy ...
Balesetek történnek, és sebezhetőségek vannak. Ha a webszerver PHP-konfigurációja meghibásodik, a MIME-típusok nem vannak megfelelően beállítva, vagy a webszerver egyéb módon tévesen van konfigurálva, akkor weboldala egyszerű szöveges formában szolgálhat a feldolgozott PHP-kimenet helyett; ez csak néhány példa. És csakúgy, mint a középiskolai előadóterem peptili összegyűjtésekor, de csak egy másodperc van egy másodpercig, és mielőtt visszaadhatná a kötőjedet, már láttak mindent. Igen, mindent láttak.
Ebben a groovyPostban megmutatom, hogyan kell megtartania wp-config.php a MySQL adatbázis felhasználóneveivel és jelszavaival biztonságos (r). Bár egyetlen webhely vagy blog sem 100% -ban nem hackelhető, ez a gyors tipp megkönnyíti a WordPress blogjának feltörését a potenciális betolakodók számára, mint egy olyan webhely, amely még nem tette meg ezeket az óvintézkedéseket. Általában az, hogy biztonságosabb, mint a szomszéd, elegendő ahhoz, hogy visszatartsa a leendő hackerek erőfeszítéseit a nem saját webhelyén. Ne felejtse el, ha valaha egy embercsoporttal jár az erdőben, és egy medve megjelent, akkor nem kell gyorsabban fusson, mint a medvének, csak gyorsabban, mint a többi embernél. (és minden félre viccelődve, a Medvemacska a legjobb, ha valaha is igazán van ilyen helyzetben)
A wp-config.php fájl áthelyezése
Megfelelő fájljogosultságokkal és helyesenkonfigurált webszerver, a wp-config.php fájlt ugyanabban a nyilvános mappában kell tartania, mint a blog többi részének. De amikor a webhelyet védi, a biztonság egy hagyma (vagy Ogre nyilvánvalóan); minél több réteg van, annál többet kap.
A WordPress kódex megerősíti ezt az érzetet ésjavasolja, hogy távolítsa el a wp-config.php fájlt az alapértelmezett telepítési helytől. A WordPress.org önálló üzemeltetési blogjai lehetővé teszik, hogy a wp-config.php fájlt egy szinttel feljebb feljebb helyezze a blog gyökérkönyvtárából. Mindez jó és jó, de a legtöbb webszerver számára a blog gyökerétől egy szinttel feljebb van még mindig egy public_html mappa. A legjobb, ha egy mappába helyezte, amely nem a public_html vagy a WWW mappa alkönyvtára. Ilyen módon gyakorlatilag nulla annak esélye, hogy valaki egy böngészőn vagy bármely más HTTP-alkalmazáson keresztül elérje azt.
Itt van, amit csinálsz:
1. lépés
Nyissa meg a WordPress.org webhelyet egy FTP-program segítségével, és keresse meg a gyökérképet.
2. lépés
Töltse le a wp-config.php fájlt a merevlemezére.
3. lépés
Nevezze át másnak, mint a wp-config.php.
Tegye valami értelmetlenné, tehát valaki, aki rábotlik (talán valaki, aki bejutott a megosztott kiszolgálóra az SSH-n keresztül) lehet, hogy nem ismeri fel, mi az. Tehát ahelyett, hogy „off-site-wordpress-config.php” hívd "futurama-fan-fic.php.”
4. lépés
Töltse fel az átnevezett wp-config fájlt.php fájlt a public_html vagy www mappája feletti mappába. Személy szerint én létrehoztam egy teljes könyvtárat a webhelyen kívüli konfigurációs fájlokhoz. De valószínűleg biztonságosabb, ha véletlenszerűbbre helyezi őket.
A legfontosabb dolog az, hogy megtegye kívül az ön www vagy public_html mappa.
5. lépés
Nyissa meg a jegyzettömböt vagy a másik kedvenc PHP-szerkesztőjét.
Hozzon létre egy új wp-config.php fájlt, amely csak a következő kódot tartalmazza:
<? Php
include ( „/ home / usr / hobbi / Futurama-fan-fic.php”);
?>
Cserélje le a könyvtárat az átnevezett wp-config.php fájl szerverhelyével. Vegye figyelembe, hogy ez nem egy URL, hanem egy út a kiszolgáló helyéhez viszonyítva. Tehát, így:
tartalmazza (’www.yourdomain.com/location/futurama-fan-fic.php’);
nem fog működni.
Amint valószínűleg összegyűltél, ez lényegében egy „parancsikon”Az aktuális wp-config.php fájlra. Tehát, ha valaki feltöri a wp-config.php fájlt a WordPress könyvtárban, akkor csak egy fájlra mutat, amely egy másik fájlra mutat.
A móka kedvéért érdemes hozzáfűznie egy megjegyzést:
// köszönöm Mario! De hercegnőnk egy másik kastélyban van!
6. lépés
Töltse fel az új wp-config.php fájlt a WordPress gyökérkönyvtárába. Írja felül a régielőször támogattad, igaz?).
7. lépés
Ez az! Keresse meg a WordPress.org bloggyökérét, hogy megbizonyosodjon arról, hogy működött-e.
Ha olyan hibát kap, amely a következőképpen szól:
Figyelem: include (/www.domain domain.com/location/futurama-fan-fic.php ') [function.include]: nem sikerült megnyitni a folyamot: Nincs ilyen fájl vagy könyvtár a/home/usr/public_html/blog.com/wp-config.php online 2
Fatális hiba: Hívás a nem definiált wp () függvényre /wp-blog-header.php online 14
Ez azt jelenti, hogy beírtad a szervertHelytelen a hely a módosított wp-config.php fájlban. Ha problémája van a blog abszolút elérési útjának meghatározásával, hozzon létre .php fájlt a következő kóddal:
<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>
Ez megmutatja annak a könyvtárnak az abszolút elérési útját, amelyben a fájl található, és megvilágítja, hogyan lehet a public_html mappa fölé lépni.
Ha hibaüzenetet kap:
Úgy tűnik, nincs wp-config.php fájlt. Szükségem van rá, mielőtt elindulhatnánk. További segítségre van szüksége? Megvan. Készíthet egy wp-config.php fájlt egy webes felületen keresztül, de ez nem működik minden szerverbeállításnál. A legbiztosabb módszer a fájl manuális létrehozása.
Ez azt jelenti, hogy nincs wp-config.php fájl a WordPress.org gyökérkönyvtárában. Ellenőrizze még, hogy a módosított wp-config.php fájlt feltöltette-e a WordPress.org gyökérkönyvbe vagy közvetlenül a fölött található mappába, és az átnevezett wp-config.php fájlt egy másik helyre, nem pedig fordítva.
Következtetés
A wp-config áthelyezése megtörténik.php hogy a blogod golyóálló legyen? Biztosan nem. De ez csak egyike annak a lépésnek, amelyet a webhely vagy a blog biztonságosabbá tétele érdekében tehet meg. És számomra ez segít nekem jobban aludni éjjel - akárcsak egy extra láncot vagy holttestet helyez az ajtóra.
Jegyzet: Mielőtt átmászná a fájlszerkezetet, ellenőrizze, hogy készítsen-e biztonsági másolatot a dolgokra, és jól érezzék magad, amit csinálnak. Súlyosan összezavarhatja a WordPress blogját, ha rosszul törli. Figyelmeztettek.
![A WordPress bejelentkezési oldal testreszabása [Gyors tipp]](/images/geek-stuff/customize-wordpress-login-page-quick-tip.png)
Szólj hozzá