Sacietējiet WordPress drošību, pārvietojot wp-config.php uz mapi, kas nav publiska

Ja jūs vēl neesat iepazinies, ļaujiet man jūs iepazīstināt ar jūsu wp-config.php failu. Ja palaižat pašu mitinātu WordPress.org emuārā, jūsu wp-config.php satur MySQL datu bāzes lietotājvārdu, MySQL datu bāzes paroli, WordPress autentifikācijas atslēgas un citu sensitīvu informāciju. Izmantojot šo informāciju, hakeris vai skriptu jaundzimušais piekļūst katram WordPress emuāra saturam, dodot viņiem iespēju brīvi izdzēst jūsu ziņas, ievietot ļaunprātīgu kodu, atpakaļsaiti uz nelegālajām porno vietnēm vai jebko citu, ko viņi vēlas.

Pēc noklusējuma wp-config.php atrodas tajā pašā mapē kā jūsu WordPress emuārs. Tātad, ja jūsu emuāra mājas lapa atrodas vietnē mysite.com/blog, tā ir arī jūsu wp-config.php. Tas nav tik neapdomīgi, kā šķiet, kopš .php faili ir servera puses skripti kuras apstrādā serveris. Apskatot .php failu, jūs faktiski skatāties uz faila izvadi. Tas pats attiecas uz avota apskatīšanu. Vienīgais veids, kā lejupielādēt .php faila neapstrādātu kodu, ir caur FTP.

Bet tas, ka parasti nevar piekļūt .php failam, nenozīmē, ka jūs vienmēr esat drošībā ...

Notiek negadījumi, un pastāv ievainojamības. Ja jūsu tīmekļa servera PHP konfigurācija sabojājas, MIME tipi nav pareizi iestatīti vai arī Web serveris ir nepareizi konfigurēts, jūsu vietne varētu beigties ar vienkārša teksta apstrādi, nevis apstrādātu PHP izvadi; tas ir tikai daži piemēri. Un, tāpat kā vidusskolas auditorijā, kad notiek depentēšana, tas prasa tikai sekundes daļu, un pirms jūs varat atgūt savus rokdarbniekus, viņi ir redzējuši visu. Jā, viņi to visu ir redzējuši.

Šajā groovyPost es jums parādīšu, kā saglabātjūsu wp-config.php ar MySQL datu bāzes lietotājvārdiem un drošām parolēm (r). Lai arī neviena vietne vai emuārs nav pilnībā izjaucams, šis ātrais ieteikums padarīs jūsu WordPress emuāra uzlaušanu potenciālajiem iebrucējiem grūtāku nekā vietne, kas nav ievērojusi šos piesardzības pasākumus. Parasti pietiek tikai ar to, ka esat drošāks par savu kaimiņu, lai atturētu potenciālā hakera centienus uz vietni, kas nav jūsu vietne. Atcerieties, ja jūs kādreiz atrodaties mežā kopā ar cilvēku grupu un parādās lācis - jums nav jāskrien ātrāk par lāci, tikai ātrāk nekā citiem cilvēkiem. (un, jokojot malā, lāča mācene ir jūsu labākā likme, ja jūs kādreiz patiešām atrodaties šajā situācijā)

Wp-config.php faila pārvietošana

Ar pareizām faila atļaujām un pareizikonfigurētam tīmekļa serverim, pilnīgi labi jāuztur wp-config.php fails tajā pašā publiskajā mapē kā pārējam emuāram. Bet, kad jāaizsargā jūsu vietne, drošība ir sīpols (vai Ogre acīmredzot); jo vairāk slāņu, jo vairāk to ieguvis.

Kodekss WordPress apstiprina šo uzskatu uniesaka pārvietot savu wp-config.php prom no tā noklusējuma instalēšanas vietas. Pašu mitināti emuāri WordPress.org ļauj pārvietot wp-config.php vienu līmeni uz augšu no emuāra saknes. Tas viss ir labi un labi, taču lielākajai daļai tīmekļa serveru jūsu emuāra sakne atrodas vienā līmenī joprojām mape public_html. Vislabāk to ievietot mapē, kas nav jūsu public_html vai WWW apakšdirektorija. Tādā veidā iespējas, ka kāds to sasniedz, izmantojot tīmekļa pārlūku vai jebkuru citu HTTP lietojumprogrammu, praktiski nav.

Lūk, ko jūs darāt:

1. solis

Piekļūstiet savai WordPress.org vietnei, izmantojot FTP programmu, un dodieties uz sakni.

2. solis

Lejupielādējiet cietajā diskā wp-config.php.

3. solis

Pārdēvējiet to par kaut ko citu, nevis wp-config.php.

Padariet to par kaut ko absurdu, tāpēc kāds, kurš to paklupj (iespējams, kāds, kurš ir ielauzies jūsu kopīgotajā serverī, izmantojot SSH) iespējams, to neatzīs par to, kas tas ir. Tā vietā, lai to sauktu par “ārpus vietnes WordPress-config.php ” sauc to "futurama-fan-fic.php. ”

4. solis

Augšupielādējiet savu pārdēvēto wp-config.php fails mapē virs public_html vai www mapes. Personīgi es izveidoju visu direktoriju ārpuskonfigurācijas failiem. Bet droši vien drošāk ir tos ievietot kaut kur nejaušāk.

Vissvarīgākais ir to ievietot ārpusē no jūsu www vai publiskā_html mape.

5. solis

Atveriet piezīmju bloku vai citu iecienīto PHP redaktoru.

Izveidojiet jaunu wp-config.php failu, kurā ir tikai šāds kods:

Šeit aizstājiet direktoriju ar pārdēvētā faila wp-config.php servera atrašanās vietu. Ņemiet vērā, ka šis nav URL, tas ir ceļš attiecībā pret jūsu servera atrašanās vietu. Tātad, padarot to:

nedarbosies.

Kā jūs, iespējams, esat sapulcējies, tas galvenokārt radīs “saīsne”Uz jūsu faktisko wp-config.php failu. Tātad, ja kāds uzlauzīs jūsu wp-config.php failu jūsu WordPress direktorijā, viss, ko viņi atradīs, ir fails, kas norāda uz citu failu.

Jautrības labad jūs varētu pievienot komentāru, kas skan šādi:

6. solis

Augšupielādējiet jauno wp-config.php failu WordPress saknē. Pārrakstiet veco (jūs to vispirms atbalstījāt, vai ne?).

7. solis

Tieši tā! Dodieties uz savas WordPress.org emuāra sakni, lai pārliecinātos, ka tā darbojas.

Ja tiek parādīta kļūda:

Tad tas nozīmē, ka jūs ierakstījāt serverīnepareiza atrašanās vieta modificētajā failā wp-config.php. Ja rodas grūtības noteikt emuāra absolūto ceļu, izveidojiet .php failu ar šādu kodu:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Tas parādīs absolūto ceļu neatkarīgi no tā, kurā direktorijā atrodas fails, kā arī izgaismos, kā pārvietoties virs mapes public_html.

Ja tiek parādīts kļūdas ziņojums:

Tad tas nozīmē, ka nav wp-config.php fails saknē WordPress.org. Vēlreiz pārbaudiet, vai esat augšupielādējis modificēto wp-config.php savā WordPress.org saknē vai mapē tieši virs tā un pārdēvēto wp-config.php failu citā vietā, nevis otrādi.

Secinājums

Pārvietos jūsu wp-config.php padarīt jūsu emuāru ložu necaurlaidīgu? Noteikti nē. Bet tas ir tikai viens no soļiem, ko varat veikt, lai padarītu savu vietni vai emuāru drošāku. Un man tas palīdz man labāk gulēt naktī - tāpat kā pieliekot pie durvīm papildu ķēdi vai skrūvi.

Piezīme: Pirms ķeraties pie faila struktūras, pārliecinieties, vai esat izveidojis dublēto lietu un jūtaties ērti. Ja izdzēsīsit nepareizu lietu, jūs varētu nopietni izjaukt savu WordPress emuāru. Jūs esat brīdināts.