Protezione della sicurezza di WordPress Spostando wp-config.php in una cartella non pubblica

Nel caso in cui non ti sia ancora stato informato, lascia che ti presenti wp-config.php file. Se esegui un WordPress ospitato da solo.org blog, il tuo wp-config.php contiene il nome utente del database MySQL, la password del database MySQL, le chiavi di autenticazione di WordPress e altre informazioni riservate. Con queste informazioni, un hacker o uno script kiddie ha accesso a tutti i contenuti del tuo blog WordPress, dando loro libero sfogo per eliminare i tuoi post, inserire codice dannoso, backlink verso siti porno illegali o qualsiasi altra cosa desiderino.

Per impostazione predefinita, wp-config.php si trova nella stessa cartella del tuo blog WordPress. Quindi, se la homepage del tuo blog è su mysite.com/blog, lo è anche il tuo wp-config.php. Non è così spericolato come sembra dato che sono i file .php script lato server che vengono elaborati dal server. Quando stai guardando un file .php, stai effettivamente guardando l'output del file. Lo stesso vale per la visualizzazione della fonte. L'unico modo per scaricare il codice non elaborato di un file .php è tramite FTP.

Ma solo perché normalmente non puoi accedere a un file .php non significa che sei sempre al sicuro ...

Gli incidenti accadono e le vulnerabilità esistono. Se la configurazione PHP del tuo server web si interrompe, i tuoi tipi MIME non sono impostati correttamente o il tuo server web è configurato in modo errato, la tua pagina web potrebbe finire per servire solo testo anziché output PHP elaborato; questo è solo alcuni esempi. E, proprio come essere depiantato durante un raduno nell'auditorium del liceo, ci vuole solo una frazione di secondo e prima che tu possa riavere i tuoi mutandoni hanno visto tutto. Sì, hanno visto tutto.

In questo groovyPost, ti mostrerò come mantenerewp-config.php con i nomi utente e le password del database MySQL sicuri (r). Sebbene nessun sito Web o blog sia al 100% non hackerabile, questo breve suggerimento renderà più difficile l'hacking del tuo blog WordPress per i potenziali intrusi di un sito che non ha preso queste precauzioni. Di solito, essere più sicuri del tuo vicino è sufficiente a scoraggiare gli aspiranti sforzi di un hacker verso un sito diverso dal tuo. Ricorda, se sei mai nei boschi con un gruppo di persone e si presenta un orso, non devi correre più veloce dell'orso, solo più veloce delle altre persone. (e a parte gli scherzi, la mazza dell'orso è la soluzione migliore se ci si trova davvero in quella situazione)

Spostamento del file wp-config.php

Con i permessi dei file corretti e una correttaserver web configurato, mantenendo il tuo file wp-config.php nella stessa cartella pubblica del resto del tuo blog dovrebbe andare perfettamente bene. Ma, quando si tratta di proteggere il tuo sito Web, la sicurezza è una cipolla (o Ogre apparentemente); più strati, più ne hai.

Il Codice WordPress afferma questo sentimento econsiglia di spostare wp-config.php lontano dalla posizione di installazione predefinita. I blog self-hosted di WordPress.org ti consentono di spostare il tuo wp-config.php di un livello dalla radice del tuo blog. Va bene e va bene, ma per la maggior parte dei server web è un livello superiore alla radice del tuo blog ancora una cartella public_html. È meglio metterlo in una cartella che non è una sottodirectory della cartella public_html o WWW. In questo modo, le possibilità che qualcuno lo raggiunga tramite un browser Web o qualsiasi altra applicazione HTTP è praticamente nulla.

Ecco cosa fai:

Passo 1

Accedi al tuo sito WordPress.org tramite un programma FTP e vai alla radice.

Passo 2

Scarica wp-config.php sul tuo disco rigido.

sicurezza wordpress

Passaggio 3

Rinominalo in qualcosa di diverso da wp-config.php.

proteggere wp-config.php

Rendilo qualcosa di privo di senso, quindi qualcuno che si imbatte in esso (forse qualcuno che ha violato il tuo server condiviso tramite SSH) potrebbe non riconoscerlo per quello che è. Quindi, invece di chiamarlo "off-site-wordpress-config.php” chiamalo "futurama-fan-fic.php“.

Passaggio 4

Carica il tuo wp-config rinominato.file php in una cartella sopra la cartella public_html o www. Personalmente, ho creato un'intera directory per i file di configurazione off-site. Ma probabilmente è più sicuro metterli in un posto più casuale.

La cosa più importante è dirlo al di fuori del tuo www o cartella public_html.

mettendo wp-config.php fuori da www

Passaggio 5

Apri il blocco note o il tuo altro editor PHP preferito.

Nascondere il tuo wp-config.php

Crea un nuovo file wp-config.php che contiene solo il seguente codice:

<? Php
include ( ‘/ home / usr / hobby / Futurama-fan-fic.php’);
?>

Sostituisci la directory qui con la posizione del server del tuo file wp-config.php rinominato. Nota che questo non è un URL, è un percorso relativo alla posizione del tuo server. Quindi, rendendolo:

includi ("www.tuodominio.com/location/futurama-fan-fic.php");

non funzionerà.

Come probabilmente avrai raccolto, ciò che farà sarà essenzialmente creare un "scorciatoia"Al tuo vero file wp-config.php. Quindi, se qualcuno hackera il tuo file wp-config.php nella tua directory di WordPress, tutto ciò che troveranno è un file che punta a un altro file.

Per divertimento, potresti voler aggiungere un commento che reciti:

// Grazie Mario! Ma la nostra principessa è in un altro castello!

Passaggio 6

Carica il tuo nuovo file wp-config.php nella tua radice di WordPress. Sovrascrivi il vecchio (hai eseguito il backup prima, giusto?).

Wordpress.org Sicurezza - Spostamento di Wp-Config.php

Passaggio 7

Questo è tutto! Passa alla radice del tuo blog WordPress.org per assicurarti che abbia funzionato.

Se ricevi un errore che dice:

avvertimento: include (/www.yourdomain.com/location/futurama-fan-fic.php ’) [function.include]: impossibile aprire il flusso: nessun file o directory in/home/usr/public_html/blog.com/wp-config.php in linea 2

Errore fatale: Chiama la funzione indefinita wp () in /wp-blog-header.php in linea 14

Quindi significa che hai digitato il serverposizione errata nel file wp-config.php modificato. Se riscontri problemi nel determinare il percorso assoluto del tuo blog, crea un file .php con il seguente codice:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Questo ti mostrerà il percorso assoluto per qualunque directory si trovi nel file e illuminerà anche come spostarti sopra la cartella public_html.

Se ricevi un messaggio di errore che dice:

Non sembra esserci a wp-config.php file. Ne ho bisogno prima di poter iniziare. Serve ancora aiuto? Ce l'abbiamo. Puoi creare un wp-config.php file tramite un'interfaccia web, ma non funziona per tutte le configurazioni del server. Il modo più sicuro è creare manualmente il file.

Quindi significa che non esiste wp-config.file php nella tua radice di WordPress.org. Controlla di aver caricato il file wp-config.php modificato sul tuo root di WordPress.org o la cartella appena sopra di esso e il file wp-config.php rinominato in un'altra posizione, piuttosto che viceversa.

Non

Conclusione

Spostando il tuo wp-config.php rendere il tuo blog antiproiettile? Certamente no. Ma è solo uno dei passaggi che puoi adottare per rendere il tuo sito web o blog più sicuro. E per me, mi aiuta a dormire meglio di notte, proprio come mettere una catena extra o catenaccio sulla porta.

Nota: Prima di muoverti nella struttura dei file, assicurati di eseguire il backup delle cose e di sentirti a tuo agio con quello che stai facendo. Potresti rovinare seriamente il tuo blog WordPress se elimini la cosa sbagliata. Sei stato avvisato.

0

Articoli simili

lascia un commento