Pagerinkite „WordPress“ saugumą perkeldami wp-config.php į neviešą aplanką

Jei dar nebuvote susipažinęs, leiskite man jus supažindinti su jūsų wp-config.php byla. Jei vykdote savarankišką „WordPress“.„org“ tinklaraštyje, jūsų wp-config.php yra jūsų „MySQL“ duomenų bazės vartotojo vardas, „MySQL“ duomenų bazės slaptažodis, „WordPress“ autentifikavimo raktai ir kita neskelbtina informacija. Turėdamas šią informaciją, įsilaužėlis ar scenarijaus vaikas gauna prieigą prie kiekvieno „WordPress“ tinklaraščio turinio, suteikdamas jiems nemokamą laisvę ištrinti jūsų įrašus, įterpti kenksmingą kodą, atgalinę nuorodą į nelegalias pornografijos svetaines ar dar ką nors, ko jie nori.

Pagal numatytuosius nustatymus, wp-config.„php“ yra tame pačiame aplanke, kuriame yra jūsų „WordPress“ tinklaraštis. Taigi, jei jūsų tinklaraščio pagrindinis puslapis yra „mysite.com/blog“, tai yra jūsų „wp-config.php“. Tai nėra tokia neapgalvota, kaip atrodo, nes yra .php failai serverio pusės scenarijai kuriuos apdoroja serveris. Kai žiūrite į .php failą, iš tikrųjų žiūrite į failo išvestį. Tas pats pasakytina ir apie tai, kai žiūrite šaltinį. Vienintelis būdas atsisiųsti neapdorotą .php failo kodą yra per FTP.

Tačiau vien todėl, kad paprastai negalite pasiekti .php failo, dar nereiškia, kad visada esate saugūs ...

Nelaimingi atsitikimai vyksta ir pažeidžiamumų yra. Jei jūsų interneto serverio PHP konfigūracija sugenda, jūsų MIME tipai nėra tinkamai nustatyti arba jūsų interneto serveris yra kitaip neteisingai sukonfigūruotas, jūsų svetainė gali pateikti paprasto teksto, o ne apdoroto PHP išvestį; tai tik keli pavyzdžiai. Ir lygiai taip pat, kaip ir depantuojant per aukštųjų mokyklų auditoriją, tai užtruks tik sekundę ir, kol galėsite sugrąžinti savo batelius į viską, ką jie matė. Taip, jie viską matė.

Šiame groovyPost aš jums parodysiu, kaip išlaikytijūsų „wp-config.php“ su „MySQL“ duomenų bazės naudotojų vardais ir slaptažodžiais saugus (r). Nors nė viena svetainė ar tinklaraštis nėra visiškai nepriekaištinga, dėl šio greito patarimo jūsų „WordPress“ tinklaraštis įsilaužimas bus sudėtingesnis galimiems įsibrovėliams nei svetainė, kuri nesiėmė šių atsargumo priemonių. Paprastai pakanka būti tik saugesniems už savo kaimyną, kad atgrasytumėte potencialių įsilaužėlių pastangas nukreipti į kitą nei jūsų svetainę. Atminkite, kad jei jūs kada nors esate miške su grupe žmonių ir pasirodo lokys, jums nereikia bėgti greičiau už lokį, tik greičiau nei kitiems žmonėms. (ir visi juokaujame, kad meškėnai yra geriausia, jei esate iš tikrųjų tokioje situacijoje)

„Wp-config.php“ failo perkėlimas

Su teisingais failo leidimais ir teisingaisukonfigūruotame interneto serveryje, „wp-config.php“ failo laikymas tame pačiame viešame aplanke kaip ir visas jūsų tinklaraštis turėtų būti tobulas. Bet kai reikia apsaugoti jūsų svetainę, saugumas yra svogūnas (arba Ogre, matyt); kuo daugiau sluoksnių, tuo daugiau jo gavai.

„WordPress Codex“ patvirtina šią nuostatą irrekomenduoja perkelti „wp-config.php“ nuo numatytosios diegimo vietos. „WordPress.org“ priglobti tinklaraščiai leidžia perkelti savo „wp-config.php“ į viršų vienu lygiu aukštyn nuo jūsų tinklaraščio šaknies. Viskas gerai ir gerai, bet daugumai interneto serverių aukščiau jūsų tinklaraščio šaknies yra aukščiau vis tiek „public_html“ aplankas. Geriausia įdėti jį į aplanką, kuris nėra jūsų „public_html“ ar „WWW“ aplankas. Tokiu būdu tikimybė, kad kas nors ją pateiks per interneto naršyklę ar bet kurią kitą HTTP programą, yra beveik lygi.

Štai ką jūs darote:

1 žingsnis

Pasiekite savo „WordPress.org“ svetainę naudodamiesi FTP programa ir eikite į šaknį.

2 veiksmas

Į savo standųjį diską atsisiųskite „wp-config.php“.

3 žingsnis

Pervardykite jį į kitą nei wp-config.php.

Padarykite tai kažkuo nesąmoningu, todėl jį užklupęs asmuo (galbūt kažkas, įsilaužęs į jūsų bendrą serverį per SSH) gali neatpažinti to, kas tai yra. Taigi, užuot jį pavadinę „„off-site-wordpress-config.php“ Vadink tai "futurama-fan-fic.php. “

4 žingsnis

Įkelkite pervardytą „wp-config“.php failą į aplanką, esantį virš jūsų public_html arba www aplanko. Asmeniškai aš sukūriau visą katalogą, skirtą ne įmonės konfigūracijos failams. Bet tikriausiai saugiau juos sudėti kur nors atsitiktiniau.

Svarbiausia - sudėti lauke Jūsų www arba „public_html“ aplankas.

5 žingsnis

Atidarykite užrašų knygelę ar kitą mėgstamą PHP redaktorių.

Sukurkite naują „wp-config.php“ failą, kuriame yra tik šis kodas:

<? php
įtraukti ('/ namai / usr / pomėgiai / futurama-fan-fic.php');
?>

Čia pakeiskite katalogą pervardyto failo wp-config.php serverio vieta. Atminkite, kad tai nėra URL, tai yra kelias, palyginti su jūsų serverio vieta. Taigi, padarydami:

įtraukti (‘www.yourdomain.com/location/futurama-fan-fic.php’);

neveiks.

Kaip jūs tikriausiai jau susirinkote, tai iš esmės sukurs „trumpesnis kelias“Į jūsų tikrąjį„ wp-config.php “failą. Taigi, jei kas nors nulaužtų jūsų „wp-config.php“ failą jūsų „WordPress“ kataloge, viskas, ką jie ras, yra failas, nukreipiantis į kitą failą.

Dėl įdomumo galite pridėti komentarą:

// ačiū Mario! Bet mūsų princesė yra kitoje pilyje!

6 žingsnis

Įkelkite savo naują „wp-config.php“ failą į „WordPress“ šaknį. Perrašykite seną (jūs pirmiausia tai palaikėte, tiesa?).

„Wordpress.org“ sauga - judanti „Wp-Config.php“

7 žingsnis

Viskas! Eikite į savo „WordPress.org“ tinklaraščio šaknį ir įsitikinkite, kad jis veikė.

Jei gaunate klaidą, kurioje rašoma:

Įspėjimas: įtraukti (/www.domenas.com/lokacija/futurama-fan-fic.php ’) [function.include]: nepavyko atidaryti srauto: tokio failo ar katalogo/home/usr/public_html/blog.com/wp-config.php prisijungęs 2

Fatališka klaida: Kvietimas į neapibrėžtą funkciją wp (), esanti /wp-blog-header.php prisijungęs 14

Tada tai reiškia, kad įvedėte serverįneteisinga vieta jūsų modifikuotame „wp-config.php“ faile. Jei kyla problemų nustatant absoliutų savo tinklaraščio kelią, sukurkite .php failą su tokiu kodu:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Tai parodys absoliučią bet kurio katalogo, kuriame yra failas, kelią, taip pat paaiškins, kaip judėti virš viešojo_html katalogo.

Jei gaunate klaidos pranešimą, kuriame rašoma:

Panašu, kad nėra wp-config.php byla. Man to reikia, kad galėtume pradėti. Reikia daugiau pagalbos? Mes tai gavome. Galite sukurti wp-config.php failą per žiniatinklio sąsają, tačiau tai neveikia visų serverio sąrankų atveju. Saugiausias būdas yra rankiniu būdu sukurti failą.

Tada tai reiškia, kad nėra wp-config.php failas jūsų „WordPress.org“ šaknyje. Dar kartą patikrinkite, ar įkėlėte modifikuotą „wp-config.php“ į savo „WordPress.org“ šaknį arba aplanką, tiesiai virš jo, ir pervadintą „wp-config.php“ failą į kitą vietą, o ne atvirkščiai.

Išvada

Perkels jūsų „wp-config“.php, kad jūsų dienoraštis būtų neperšaunamas? Tikrai ne. Bet tai tik vienas iš žingsnių, kuriuos galite atlikti norėdami padaryti savo svetainę ar tinklaraštį saugesnį. O man tai padeda geriau miegoti naktį - lygiai taip pat, kaip ant durų uždėti papildomą grandinę ar strypą.

Pastaba: Prieš pradėdami nesigilinti į failų struktūrą, būtinai susikurkite atsargines kopijas ir jaustis gerai, ką darote. Jei ištrinsite netinkamą dalyką, galite rimtai suklaidinti savo „WordPress“ tinklaraštį. Jus įspėjo.