הקפד על אבטחת וורדפרס על ידי העברת wp-config.php לתיקיה שאינה ציבורית

במקרה שעדיין לא היכרת, הרשה לי להכיר לך את שלך wp-config.php קובץ. אם אתה מנהל וורדפרס המארח את עצמו.בלוג org, wp-config.php שלך מכיל את שם המשתמש של מסד הנתונים MySQL, את סיסמת מסד הנתונים MySQL, את מפתחות האימות של WordPress ומידע רגיש אחר. בעזרת מידע זה, קיד או פריצת סקריפט מקבלים גישה לכל פיסת תוכן בבלוג הוורדפרס שלך, ומעניק להם חופש רסן למחוק את הפוסטים שלך, להכניס קוד זדוני, קישור אחורי לאתרי פורנו לא חוקיים, או כל דבר אחר שהם רוצים.

כברירת מחדל, wp-config.php יושב באותה תיקיה כמו הבלוג שלך ב- WordPress. לכן, אם דף הבית של הבלוג שלך נמצא בכתובת mysite.com/blog, כך גם ה- wp-config.php שלך. זה לא פזיז כמו שזה נראה מכיוון שקובצי .php הם סקריפטים בצד השרת שמעובדים על ידי השרת. כשאתה מסתכל על קובץ .php, אתה למעשה מסתכל על הפלט של הקובץ. כך גם כאשר אתה צופה במקור. הדרך היחידה להוריד את הקוד הגולמי של קובץ .php היא באמצעות FTP.

אבל רק בגלל שאתה לא יכול לגשת לקובץ .php בדרך כלל לא אומר שאתה תמיד בטוח ...

תאונות קורות וקיימות פגיעויות. אם תצורת ה- PHP של שרת האינטרנט שלך מתפרקת, סוגי MIME שלך אינם מוגדרים כראוי, או ששרת האינטרנט שלך מוגדר באופן שגוי, דף האינטרנט שלך עשוי בסופו של דבר להגיש טקסט רגיל במקום פלט PHP מעובד; זה רק כמה דוגמאות. ובדיוק כמו להיות מושבתים במהלך מפגן באולם באולם התיכון, זה לוקח רק שבריר שנייה ולפני שתוכלו להחזיר את הבריקים שלכם הם ראו הכל. כן, הם ראו הכל.

בגרובי פוסט זה, אני אראה לך כיצד לשמורwp-config.php שלך עם שמות המשתמש והסיסמאות שלך בבסיס הנתונים ב- MySQL (r). אף ששום אתר או בלוג אינם ניתנים להפרשה במאה אחוז, טיפ מהיר זה יביא להקשות על פריצת הבלוג של וורדפרס עבור פולשים מעשיים מאשר אתר שלא נקט אמצעי זהירות אלה. בדרך כלל פשוט מספיק להיות בטוח יותר מהשכנה שלך בכדי להרתיע את מאמצי ההאקר לאתר אחר שאינו משלך. זכור, אם אתה אי פעם ביער עם קבוצה של אנשים ודוב מופיע - אתה לא צריך לרוץ מהר יותר מהדוב, פשוט מהר יותר מאשר האנשים האחרים. (וכל מה שמתבדח הצידה, Bear mace הוא הכי טוב שלך אם אתה אי פעם באמת במצב הזה)

העברת קובץ wp-config.php שלך

עם הרשאות הקובץ הנכונות וכןמוגדר שרת אינטרנט, שמירה על קובץ wp-config.php באותה תיקיה ציבורית כמו שאר הבלוג שלך אמור להיות בסדר גמור. אבל, כשמדובר בהגנה על האתר שלך, האבטחה היא בצל (או ככל הנראה אוגרה); ככל שכבות רבות יותר, כך יש לך יותר.

קודקס הוורדפרס מאשר את הרגש הזה וממליץ להרחיק את ה- wp-config.php ממיקום ברירת המחדל שלה להתקנה. בלוגים המתארחים בעצמם של WordPress.org מאפשרים לך להעביר את ה- wp-config.php שלך לרמה אחת מהשורש של הבלוג שלך. זה טוב ויפה, אבל עבור רוב שרתי האינטרנט, דרגה אחת מעל שורש הבלוג שלך היא עדיין תיקיה public_html. עדיף שתכניס אותה לתיקיה שאינה ספריית משנה של התיקיה public_html או WWW שלך. באופן זה, הסיכוי שמישהו יגיע אליו באמצעות דפדפן אינטרנט או כל יישום HTTP אחר הוא כמעט אפס.

הנה מה שאתה עושה:

שלב 1

גש לאתר WordPress.org שלך באמצעות תוכנית FTP ונווט אל השורש.

שלב 2

הורד wp-config.php לכונן הקשיח שלך.

ביטחון WordPress - -

שלב 3

שנה את שמו למשהו שאינו wp-config.php.

אבטחת wp-config.php

תעשה את זה למשהו לא רגיש, כך שמישהו שתתקל בזה (אולי מישהו שפרץ לשרת המשותף שלך באמצעות SSH) אולי לא יכיר בזה בגלל שהוא. אז במקום לקרוא לזה "off-site-wordpress-config.php ” קורא לזה "futurama-fan-fic.php. "

שלב 4

העלה את שם ה- wp-config שלך.קובץ php לתיקיה מעל תיקיית public_html או www שלך. באופן אישי יצרתי ספרייה שלמה לקבצי תצורה מחוץ לאתר. אבל זה בטח יותר בטוח לשים אותם במקום יותר אקראי.

הדבר החשוב ביותר הוא לנסח את זה בחוץ שלך www או תיקיית public_html.

הצבת wp-config.php מחוץ ל- www

שלב 5

פתח את פנקס הרשימות או את עורך ה- PHP האהוב עליך.

הסתרת ה- wp-config.php שלך

צור קובץ wp-config.php חדש המכיל רק את הקוד הבא:

<? php
כלול ('/ home / usr / תחביבים / futurama-fan-fic.php');
?>

החלף את הספרייה כאן במיקום השרת של קובץ ה- wp-config.php ששונה לך. שים לב שזו אינה כתובת אתר, זה נתיב יחסית למיקום השרת שלך. אז מה שהופך את זה:

כוללים ('www.yourdomain.com/location/futurama-fan-fic.php');

לא יעבוד.

כפי שבטח אספת, מה שזה יעשה הוא בעצם ליצור "קיצור”לקובץ wp-config.php בפועל. אז אם מישהו מפרץ את קובץ ה- wp-config.php שלך בספריית הוורדפרס שלך, כל מה שהם ימצאו הוא קובץ שמצביע על קובץ אחר.

לשם הכיף, מומלץ להוסיף תגובה שקוראת:

// תודה מריו! אבל הנסיכה שלנו נמצאת בטירה אחרת!

שלב 6

העלה את קובץ ה- wp-config.php החדש שלך לשורש הוורדפרס שלך. החלף את הישן (גיבית את זה קודם, נכון?).

Wordpress.org אבטחה - העברת Wp-Config.php

שלב 7

זהו זה! נווט אל שורש הבלוג שלך ב- WordPress.org כדי לוודא שהוא עובד.

אם אתה מקבל שגיאה שקוראת:

אזהרה: include (/www.yourdomain.com/location/futurama-fan-fic.php ') [function.include]: נכשל בפתיחת הזרם: אין קובץ או מדריך כזה/home/usr/public_html/blog.com/wp-config.php באינטרנט 2

שגיאה אנושה: קריאה לפונקציה לא מוגדרת wp () ב /wp-blog-header.php באינטרנט 14

ואז זה אומר שהקלדת בשרתמיקום שגוי בקובץ wp-config.php ששונו. אם אתה מתקשה לקבוע את הנתיב המוחלט של הבלוג שלך, צור קובץ .php עם הקוד הבא:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

זה יראה לך את הנתיב המוחלט לכל ספרייה שבה הקובץ נמצא וגם יאיר כיצד לעבור מעל התיקיה public_html.

אם קיבלת הודעת שגיאה שקוראת:

לא נראה שיש wp-config.php קובץ. אני צריך את זה לפני שנוכל להתחיל. צריך עוד עזרה? יש לנו את זה. אתה יכול ליצור wp-config.php קובץ דרך ממשק אינטרנט, אך זה לא עובד עבור כל הגדרות השרת. הדרך הבטוחה ביותר היא ליצור את הקובץ ידנית.

ואז זה אומר שאין wp-config.קובץ php בשורש WordPress.org שלך. בדוק שוב שהעלית את הקובץ wp-config.php ששונו לשורש WordPress.org שלך או לתיקיה שמעליו וקובץ ה- wp-config.php ששונה למיקום אחר במקום להפך.

אין

סיכום

יעביר את ה- wp-config שלך.php להפוך את הבלוג שלך למגן? בוודאי שלא. אך זהו רק אחד הצעדים שתוכלו לנקוט בכדי להפוך את האתר או הבלוג שלכם לאבטחים יותר. ומבחינתי זה עוזר לי לישון טוב יותר בלילה - בדיוק כמו לשים שרשרת נוספת או בורג נוסף לדלת.

הערה: לפני שתעבור סביב מבנה הקבצים שלך, וודא שאתה מגבה את הדברים ומרגיש בנוח עם מה שאתה עושה. אתה יכול להתעסק ברצינות בבלוג הוורדפרס שלך אם תמחק את הדבר הלא נכון. הזהירו אותך.

0

מאמרים דומים

השאר תגובה