Verhard WordPress-beveiliging door wp-config.php naar een niet-openbare map te verplaatsen

Voor het geval u nog niet bekend bent, laat me u voorstellen aan uw wp-config.php het dossier. Als u een zelfgehoste WordPress uitvoert.org blog, uw wp-config.php bevat uw MySQL database gebruikersnaam, uw MySQL database wachtwoord, uw WordPress authenticatie sleutels en andere gevoelige informatie. Met deze informatie krijgt een hacker of scriptkiddie toegang tot elk deel van de inhoud op uw WordPress-blog, waardoor ze de vrijheid krijgen om uw berichten te verwijderen, schadelijke code in te voegen, backlink naar illegale pornosites of wat ze maar willen.

Standaard is wp-config.php bevindt zich in dezelfde map als je WordPress-blog. Dus als de startpagina van uw blog op mysite.com/blog is, is uw wp-config.php dat ook. Dat is niet zo roekeloos als het lijkt, aangezien .php-bestanden zijn server-side scripts die worden verwerkt door de server. Wanneer u een .php-bestand bekijkt, kijkt u eigenlijk naar de uitvoer van het bestand. Hetzelfde geldt voor wanneer u de bron bekijkt. De enige manier om de onbewerkte code van een .php-bestand te downloaden is via FTP.

Maar alleen omdat je normaal geen toegang hebt tot een .php-bestand, wil nog niet zeggen dat je altijd veilig bent ...

Er gebeuren ongevallen en er zijn kwetsbaarheden. Als de PHP-configuratie van uw webserver uitvalt, uw MIME-typen niet correct zijn ingesteld, of uw webserver anders verkeerd is geconfigureerd, kan uw webpagina uiteindelijk tekst weergeven in plaats van verwerkte PHP-uitvoer; dat zijn slechts enkele voorbeelden. En, net als tijdens een pep rally in de middelbare school auditorium, het duurt slechts een fractie van een seconde en voordat je je onderbroek terug kunt krijgen, hebben ze alles gezien. Ja, ze hebben het allemaal gezien.

In deze groovyPost laat ik je zien hoe je kunt houdenuw wp-config.php met uw MySQL-database gebruikersnamen en wachtwoorden veilig (r). Hoewel geen enkele website of blog 100% on-hackbaar is, maakt deze snelle tip het hacken van je WordPress-blog moeilijker voor potentiële indringers dan een site die deze voorzorgsmaatregelen niet heeft genomen. Gewoonlijk is alleen veiliger zijn dan uw buurman voldoende om de inspanningen van een hacker op een andere dan uw eigen site af te schrikken. Vergeet niet dat als je ooit in het bos bent met een groep mensen en er een beer opduikt, je niet sneller hoeft te rennen dan de beer, alleen sneller dan de andere mensen. (en alle grapjes opzij, Bear foelie is je beste gok als je je ooit echt in die situatie bevindt)

Uw wp-config.php-bestand verplaatsen

Met de juiste bestandsrechten en een correctgeconfigureerde webserver, uw wp-config.php-bestand in dezelfde openbare map bewaren als de rest van uw blog zou prima moeten zijn. Maar als het gaat om het beschermen van uw website, is beveiliging een ui (of Ogre blijkbaar); hoe meer lagen, hoe meer ervan je hebt.

De WordPress Codex bevestigt dit sentiment enbeveelt aan dat u uw wp-config.php weg plaatst van de standaardinstallatielocatie. Met WordPress.org zelf-gehoste blogs kunt u uw wp-config.php één niveau hoger zetten dan de root van uw blog. Dat is allemaal goed en wel, maar voor de meeste webservers is dat een niveau hoger dan uw blogwortel nog steeds een map public_html. U kunt het het beste in een map plaatsen die geen submap is van uw public_html- of WWW-map. Op die manier is de kans dat iemand het bereikt via een webbrowser of een andere HTTP-applicatie vrijwel nul.

Dit is wat je doet:

Stap 1

Ga naar uw WordPress.org-site via een FTP-programma en navigeer naar de root.

Stap 2

Download wp-config.php naar uw harde schijf.

wordpress beveiliging

Stap 3

Wijzig de naam in iets anders dan wp-config.php.

wp-config.php beveiligen

Maak er iets onzinnigs van, dus iemand die er tegenaan loopt (misschien iemand die via SSH uw gedeelde server heeft gehackt) herkent het misschien niet voor wat het is. Dus in plaats van het 'off-site-wordpress-config.php” noem het "futurama-fan-fic.php.”

Stap 4

Upload uw hernoemde wp-config.php-bestand naar een map boven uw public_html- of www-map. Persoonlijk heb ik een hele map gemaakt voor off-site configuratiebestanden. Maar het is waarschijnlijk veiliger om ze ergens willekeuriger te plaatsen.

Het belangrijkste is om het te zeggen buiten van uw www of de map public_html.

wp-config.php buiten www plaatsen

Stap 5

Open Kladblok of je andere favoriete PHP-editor.

Je wp-config.php verbergen

Maak een nieuw bestand wp-config.php dat alleen de volgende code bevat:

<? Php
include ( ‘/ home / usr / hobby / Futurama-fan-fic.php’);
?>

Vervang de map hier door de serverlocatie van uw hernoemde wp-config.php-bestand. Let op: dit is geen URL, het is een pad ten opzichte van uw serverlocatie. Dus, waardoor het:

include (‘www.uwdomein.com/location/futurama-fan-fic.php’);

zal niet werken.

Zoals je waarschijnlijk al hebt verzameld, is dit in wezen een 'kortere weg”Naar uw eigenlijke bestand wp-config.php. Dus als iemand uw wp-config.php-bestand in uw WordPress-map hackt, is er alleen een bestand dat naar een ander bestand verwijst.

Voor de lol wil je misschien een opmerking toevoegen met de volgende tekst:

// Bedankt Mario! Maar onze prinses is in een ander kasteel!

Stap 6

Upload uw nieuwe bestand wp-config.php naar uw WordPress-root. Overschrijf de oude (je hebt er eerst een back-up van gemaakt, toch?).

Wordpress.org Security - Wp-Config.php verplaatsen

Stap 7

Dat is het! Navigeer naar uw WordPress.org-blogwortel om te controleren of deze werkte.

Als u een foutmelding krijgt die luidt:

Waarschuwing: include (/www.uwdomein.com/location/futurama-fan-fic.php ’) [function.include]: kan stream niet openen: bestand of map kan niet worden geopend in/home/usr/public_html/blog.com/wp-config.php online 2

Fatale fout: Aanroep naar ongedefinieerde functie wp () in /wp-blog-header.php online 14

Dit betekent dat u de server hebt ingevoerdlocatie verkeerd in uw gewijzigde wp-config.php-bestand. Als u problemen ondervindt bij het bepalen van het absolute pad van uw blog, maakt u een .php-bestand met de volgende code erin:

<?php echo $_SERVER["DOCUMENT_ROOT"]; ?>

Dit zal u het absolute pad tonen voor de map waarin het bestand zich bevindt en zal ook laten zien hoe u zich boven de map public_html kunt verplaatsen.

Als u een foutmelding krijgt met de volgende tekst:

Er lijkt geen wp-config.php het dossier. Ik heb dit nodig voordat we aan de slag kunnen. Meer hulp nodig? We hebben het. U kunt een wp-config.php bestand via een webinterface, maar dit werkt niet voor alle serverinstellingen. De veiligste manier is om het bestand handmatig te maken.

Dan betekent dit dat er geen wp-config is.php-bestand in uw WordPress.org-root. Controleer nogmaals of u het gewijzigde wp-config.php hebt geüpload naar uw WordPress.org-root of de map erboven en het hernoemde wp-config.php-bestand naar een andere locatie, in plaats van andersom.

Dat

Gevolgtrekking

Zal je wp-config verplaatsen.php uw blog kogelvrij maken? Zeker niet. Maar het is slechts een van de stappen die u kunt nemen om uw website of blog veiliger te maken. En voor mij helpt het me om 's nachts beter te slapen - net zoals een extra ketting of nachtschoot op de deur zetten.

Opmerking: Zorg ervoor dat je een back-up maakt van de dingen en dat je je goed voelt bij wat je doet voordat je je bestandsstructuur gaat verpesten. Je kunt je WordPress-blog ernstig verpesten als je het verkeerde verwijdert. Je bent gewaarschuwd.

0

Vergelijkbare artikelen

laat een reactie achter